Erste Datenschutzbußgelder in 2022

Das Jahr 2022 hat gerade erst begonnen und schon haben die Datenschutzaufsichtsbehörde verschiedener Länder Bußgelder verhängt. Möglicherweise nutzen Verantwortliche die Einzelheiten zu den verhängten Bußgeldern als Möglichkeit, das eigene Datenschutzsystem in ihrer Einrichtung einer Neueinschätzung zu unterziehen. Ist eventuell ein Trend zu beobachten, wofür Bußgelder aktuell besonders oft verhängt werden? Wir werfen einen Blick darauf, wie es schon Datenschutzbußgelder in 2022 geben kann, wofür und was zu tun ist.

Schon erste Bußgelder im Januar?!

Bußgelder in Sachen Datenschutz werden nicht einfach von heute auf morgen verhängt. Ihnen gehen mindestens Überprüfungen unterschiedlicher Natur und Korrespondenzen zwischen der jeweils zuständigen Behörde und dem Verantwortlichen voraus. Wenn es also schon eine lange Liste an Bußgeldern im Januar gibt, begannen die Prüfungen etc. mindestens schon im letzten Jahr.

Weiterhin häufige Gründe für Bußgelder

Schauen wir also, was in diesem Monat besonders häufig ein Bußgeld verursachte:

Überwachung und unrechtmäßige Aufnahmen

Verantwortliche bzw. Einrichtungen, die personenbezogene Daten verarbeiten, benötigen hierfür eine Rechtsgrundlage. Soll eine Videoüberwachung zum Einsatz kommen, basiert dies sehr oft auf dem berechtigten Interesse des Verantwortlichen (Art. 6 Abs. 1 lit. f) DSGVO). Da eine Videoüberwachung generell als invasiv gilt, ist strengstens darauf zu achten, nur die Bereiche zu erfassen, dass ein Verantwortlicher dabei nur das eigene Grundstück filmt. Unabdingbar ist auch eine Datenschutz-Folgenabschätzung, denn ein Verantwortlicher muss auch beachten, ob hierbei seine Interessen tatsächlich schwerer wiegen als die der betroffenen Personen.

Hierzu waren die Datenschutzaufsichtsbehörde in Spanien und Luxemburg aktiv und verhängten Bußgelder in Höhe von bis zu EUR 6.800:

1)     EUR 6.800 wegen Überwachung von Beschäftigten, einer Straße und benachbarter Grundstücke sowie fehlende Informationen (Link).

2)    EUR 1.500 aufgrund dauerhafter Überwachung des Arbeitsplatzes von Beschäftigten und fehlender Informationen hierzu (Link).

3)    EUR 1.500 als Folge fehlender Informationen zur Videoüberwachung von Geschäftsräumen (Link – scheinbar noch keine Informationen vorliegend).

4)    EUR 1.500 durch eine unberechtigte Installation einer Videoüberwachungsanlage (Link).

Mehr zum Thema der Videoüberwachung können Interessierte auch in unserem Beitrag hier lesen.

Ungenügende Maßnahmen zum Datenschutz und zur Datensicherheit

Eine Einrichtung, die personenbezogene Daten verarbeitet, hat gemäß Art. 32 Abs. 1 DSGVO sicherzustellen, dass sie der Art der Verarbeitung personenbezogener Daten angemessene technische und organisatorische Maßnahmen implementiert. Hierzu gehört auch die regelmäßige oder anlassbezogene Re-Evaluierung dieser Maßnahmen.

Auch in diesem Jahr kam es schon zu Bußgeldern aufgrund unzureichender technischer und organisatorischer Maßnahmen:

1)     EUR 300.000 wegen u. a. fehlender technischer und organisatorischer Maßnahmen, wodurch Passwörter im Klartext übermittelt wurden (Link).

2)    EUR 9.773 aufgrund unzureichender technischer und organisatorischer Maßnahmen für den Betrieb der IT-Infrastruktur (Link).

3)    EUR 398.851 als Folge eines zu niedrigen Standards von Maßnahmen zum Datenschutz und zur -sicherheit (Link).

4)    EUR 2.400, da das Maß der ergriffenen technischen und organisatorischen Maßnahmen nicht dem Risiko für die Rechte und Freiheiten bei Verarbeitung ihrer Daten entsprach (Link).

5)    EUR 153.120 nach u. a. einem unverschlüsselten Versand sensibler personenbezogener Daten von Patienten und Ärzten (Link).

Rechtswidriger Einsatz von Cookies

Dies wird sicherlich noch weiterhin ein Grund sein, dass Bußgelder gegen Verantwortliche verhängt werden. Kurz: Cookies dürfen nur mit ausdrücklicher, informierter, freiwilliger Zustimmung des Nutzers eingesetzt werden, sofern sie nicht tatsächlich technisch notwendig sind. Durch Inkrafttreten des TTDSG und seinem § 25 Abs. 1 ist dies nun sogar expliziter regelt.

Besonders aktiv war dabei die französische Datenschutzaufsichtsbehörde:

1)     EUR 90.000.000 aufgrund der fehlenden Möglichkeit, dem Einsatz von Cookies genauso einfach ablehnen wie annehmen zu können (Link).

2)    EUR 60.000.000 auch wieder aus dem Grund, dass es nicht so einfach gestaltet war, die Cookies abzulehnen wie sie anzunehmen waren (Link).

3)    EUR 16.000, da Cookies sofort bei Aufruf der Seite ohne Zustimmung und dazugehöriger Information eingesetzt wurden (Link).

4)    EUR 1.000 wegen dem Einsatz optionaler Cookies sofort bei Zugriff auf die Webseite des Verantwortlichen (Link).

Mehr zum Thema Cookies, was ein Verantwortlicher vermeiden sollte und was zu beachten ist, liefern folgende unsere Beiträge „Datenschutz: Manche Cookies kosten„, „Cookies – Bußgelder beim Einsatz vermeiden„, „Cookies – Einwilligung oder berechtigtes Interesse“ und „BGH: Cookie-Einwilligung von Webseiten„.

Die Höhe eines Bußgeldes

Verantwortliche sollten sich bei der Bußgeldhöhe für andere Einrichtungen nicht von scheinbar niedrigen Beträgen täuschen lassen. Gemäß Art. 83 Abs. 5 DSGVO kann ein Bußgeld bis zu EUR 20 Millionen oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Dies bedeutet nicht, dass ein Verantwortlicher einschätzen kann, wie hoch ein mögliches Bußgeld ausfallen wird. – Genauer auf das Thema Bußgelder gehen wir in unserem Beitrag hier ein. –

Kooperationsbereitschaft und Schuldeingeständnis

Es gab Fälle, in denen ein Bußgeld durch Kooperationsbereitschaft und Schuldeingeständnis beträchtlich reduziert wurde. So geschah es beispielsweise auch bei dem oben genannten Beispiel mit dem Bußgeld von EUR 2.400, was anfänglich eine Höhe von EUR 4.000 hatte.

Einspruch

Durch Einspruch gelang es 1&1 Telecom GmbH ein Bußgeld von anfänglich EUR 9.550.000 auf 10 % dieses Betrages zu reduzieren (Urteil vom 11.11.2020 – 29 OWi 1/20). Von der Möglichkeit, gerichtlich gegen ein Bußgeld vorzugehen, machen bisher scheinbar noch wenige Unternehmen Gebrauch.

Unverhältnismäßig niedrige Bußgelder

Viel häufiger kommt es allerdings vor, dass verhängte Bußgelder als zu niedrig erscheinen. Gleich schon im Januar 2021 gab die Landesbeauftragte für den Datenschutz Niedersachsen eine Pressemitteilung heraus (Link), in der sie bekanntgab, gegen NBB notebooksbilliger.de ein Bußgeld von EUR 10,4 Millionen verhängt zu haben. So soll der Umsatz von NBB notebooksbilliger.de im Jahr 2019 EUR 870 Millionen betragen haben. EUR 10,4 Millionen sind davon gerade etwas mehr als 1 %. Am 02.09.2021 verkündete die irische Datenschutzaufsichtsbehörde ein Bußgeld von EUR 225 Millionen gegen WhatsApp Ireland Ltd. (Link). Berichten zufolge kam dies 0,08 % des Umsatzes der gesamten Meta Platforms-Gruppe gleich (Link).

Fazit

Dass es zu einem Datenschutzvorfall kommt, der gegebenenfalls zu melden ist und ein Bußgeld nach sich ziehen kann, ist nicht auszuschließen. Selbst in Einrichtungen mit bestmöglichem Aufwand im Einklang mit der DSGVO zu agieren und einen angemessenen Standard technischer und organisatorischer Maßnahmen beizubehalten, kann es immer noch zu Datenpannen kommen. Datenschutzaufsichtsbehörden ziehen aber bei der Bemessung eines Bußgeldes in Betracht, welchen Aufwand ein Verantwortlicher betreibt, um Datenschutz und -sicherheit zu gewährleisten. Dann sehen sie vielleicht sogar davon ab, ein Bußgeld zu verhängen.

Die Lösung

Der Datenschutz und die DSGVO sind unser Tagesgeschäft. Folglich können wir Sie beraten und Ihnen helfen, die Vorgaben der DSGVO einzuhalten und Datenschutzvorfälle, Bußgelder, Rufschäden, Abmahnungen und Schadenersatzansprüche möglichst vorzubeugen. Rufen Sie uns also am besten noch heute an. Wir erstellen für Sie gern ein unverbindliches Angebot.