Datenschutzaufsichtsbehörden verhängen bundesweit erste Bußgelder Beschwerden von Betroffenen als Auslöser
Bundesweit sind bereits in 41 Fällen Bußgeldbescheide wegen DSGVO-Verstößen ergangen. Dabei werden die meisten Bußgeldverfahren durch Beschwerden von Betroffenen ausgelöst.
Seitens der Datenschutzaufsichtsbehörden scheint die anfängliche Schonfrist hinsichtlich der Auferlegung von Bußgeldern bei der Umsetzung der DS-GVO vorbei zu sein. Laut Handelsblatt vom 18.01.2019 sind bisher bereits in 41 Fällen Bußgeldbescheide wegen DSGVO-Verstößen ergangen. Diese Bußgelder sollen sich wie folgt auf fünf Bundesländer aufteilen: Nordrhein-Westfalen (33), Hamburg (3), Baden-Württemberg (2), Berlin (2) und Saarland (1). Beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) würden derzeit 85 Bußgeldverfahren nach der DS-GVO laufen.
Laut Handelsblatt habe der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 Euro bislang die höchste Einzelstrafe verhängt. Auf-grund unzureichender interner Kontrollmechanismen seien Gesundheitsdaten im Internet gelandet. Zuvor sei auch von dieser Aufsichtsbehörde gegen ein Chat-Portal das erste Bußgeld in Höhe von 20.000 € ergangen. Das Unternehmen habe unverschlüsselt Passwörter von Nutzern gespeichert, die nach einem Hackerangriff im Netz aufgetaucht seien.
Die meisten Bußgeldverfahren würden durch Beschwerden von Betroffenen ausgelöst, aber auch durch gemeldete Datenpannen. Daraufhin würden die Behörden mit Ermittlungen starten. Laut Handelsblatt seien typische bußgeld-auslösende Fälle u. a.: die Einsehbarkeit von Kontoauszügen durch Dritte beim Online-Banking, die unbefugte Kopie von Kundendaten auf einen Webshop nach Hackerangriff, die Aufzeichnung von Telefonaten bei der Feuerwehr (nicht nur Notrufe), unzulässige Werbemails, die Dashcam-Nutzung, die Verwendung eines offenen E-Mail-Verteilers, eine unzulässige Videoüberwachung, eine unzulässige Speicherung sensibler Daten auf Webservern, die im Internet öffentlich sind oder die Veröffentlichung von Patientendaten, die auf Speichermedien in „fremde Hände“ gelangt sind.
Aufsehen erregt hat v. a. die Auferlegung eines Bußgeldes wegen eines fehlenden Auftragsverarbeitungsvertrages. Am 20.01.2018 berichtete „heise online“ aus einem ihnen vorliegenden Bußgeldbescheid des Hamburgische Beauftragten für Datenschutz und Informationsfreiheit vom 17.12.2018, dass gegen ein kleines Versandunternehmen für den fehlenden Abschluss eines Auftragsverarbeitungsvertrages ein Bußgeld in Höhe von 5.000 € zuzüglich 250 € Gebühren, verhängt worden sei. Das Unternehmen habe bei dem Hessischen Beauftragten für Datenschutz um Rat gefragt, was in dem Fall zu tun sei, wenn der beauftragte Dienstleister – trotz mehrfacher Aufforderung - keinen Auftragsverarbeitungsvertrag zum entsprechenden Abschluss zusenden würde. Nach Auffassung der hessischen Datenschutzbehörde müsse auch der Auftraggeber auf einen entsprechenden Abschluss hinwirken, eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zur Unterschrift zusenden. Dabei sei auch auf die auf der Internetseite verfügbare Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO hingewiesen worden.
Der Versanddienstleister sei der vorgeschlagenen Vorgehensweise nicht nachgekommen und habe einen Anwalt beauftragt, woraufhin die hessische Datenschutzbehörde die Sache an den zuständigen Kollegen aus Hamburg abgab. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bestätigte die Auffassung der hessischen Datenschutzbehörde. Für die Bußgeldhöhe (5.000 €) sei als erschwerend anzusehen gewesen, dass sich das Unter-nehmen trotz anderweitiger Auskunft des hessischen Datenschutzbeauftragten dafür entschieden habe, auf die Zuarbeit des Dienstleisters zu warten. Damit habe es sich vorsätzlich gegen eine datenschutzkonforme Verarbeitung entschieden. Gegen den Bescheid ist beabsichtigt, Widerspruch einzulegen. Es bleibt demnach abzuwarten, wie hiernach entschieden wird.
In Anbetracht dieser Entscheidung ist jedem Verantwortlichen anzuraten, zu prüfen, ob mit allen Dienstleistern, an die personenbezogene Daten herausgegeben wurden und werden sollen, Auftragsverarbeitungsverträge (oder bei einer gemeinsamen Verantwortlichkeit eine Vereinbarung zur gemeinsamen Verantwortlichkeit) abgeschlossen wurden. Sofern es noch an einem Auf-tragsverarbeitungsvertrag fehlt, sollte auf einen entsprechenden Abschluss gedrängt werden und ggf. ein vorausgefüllter Auftragsverarbeitungsvertrag zur weiteren Ergänzung und Unterzeichnung übermittelt werden. Eine Formu-lierungshilfe steht auf der Internetseite der hessischen Datenschutzbehörde zur Verfügung (s.o.).