Stand: 25.05.2023

Fünf Jahre ist es nun her, dass die Regelungen der europäischen Datenschutzgrundverordnung (kurz DS-GVO) die Anforderungen an den Datenschutz massiv verändert haben. Die Euphorie oder „Panik“ hat damals dazu geführt, dass viele Maßnahmen zur Umsetzung der „neuen“ gesetzlichen Pflichten ergriffen worden sind.

Inzwischen hat sich viel getan: während der Elan bei einigen Unternehmen wieder etwas eingeschlafen ist, wurden durch die Behörden und Gerichte viele zentrale Grundsatzfragen geklärt oder zumindest Orientierungshilfen geschaffen. So manche Vorgehensweise hat sich bei genauerem Betrachten als unnötig aufwendig erwiesen. Gleichzeitig haben gerade verärgerte Mitarbeiter oder Kunden gelernt, ihre Datenschutzrechte effektiv auszunutzen.

Es wird auch immer klarer, dass der Datenschutz gesetzlich verpflichtet, unternehmerische Prozesse aus bestimmten Perspektiven zu betrachten, die sonst allzu oft vernachlässigt werden. So gaben 2022 bereits 45 % der Vorstände an, Cyber-Angriffe als Hautgeschäftsrisiko für ihr Unternehmen zu sehen, wobei die klassische Phishing-Mail immer noch ein Dauerbrenner ist.

Fünf Jahre später sind die Anforderungen des Datenschutzes also alles andere als statisch, sondern entwickeln sich sehr schnell weiter. Ein solides Fundament ist für jedes Unternehmen – egal ob mit oder ohne Datenschutzbeauftragten – zur Pflicht geworden. Regelmäßige Schulungs- und Sensibilisierungsmaßnahmen gehören ebenso zum Standard wie die stetige Aktualisierung von Dokumenten und Dokumentationen oder die Überprüfung der ergriffenen Schutzmaßnahmen.

Um Ihnen schnell und einfach einen umfassenden Überblick über die verschiedensten Entwicklungen im Zusammenhang mit der DS-GVO zu geben, haben wir Ihnen unser persönliches 5×5 zusammengestellt: 5 Kategorien mit je 5 „Highlights“

Die fünf größten Herausforderungen im Zusammenhang mit dem Datenschutz

In den letzten Jahren gab es in den unterschiedlichsten Bereichen Umstände, die im Hinblick auf den Datenschutz äußerst interessant waren. So manche Thematik hat Unternehmen und Datenschutzbeauftragte zum Schwitzen gebracht.

Aber was waren die fünft größten Herausforderungen, denen sich Unternehmen im Datenschutz stellen mussten. Unsere Top-Fünf sind:

Das Thema Cybersicherheit nimmt stetig an Bedeutung zu, Statistiken und Zahlen gibt es viele – von Jahr zu Jahr werden diese erschreckender. Besonders in Erinnerung geblieben ist uns der Hackerangriff auf die Exchange-Konten im Frühjahr 2021. So viele Datenschutzverletzungen galt es selten den verschiedensten Behörden zu melden – wobei jedes Meldeformular jeder Behörde selbstverständlich unterschiedliche Anforderungen an die Informationen bei der Meldung stellt. Heute ist es keine Frage des Ob, sondern vielmehr des Wann geworden. Zu den größten Herausforderungen zählt deshalb zweifelsohne der Schutz des Unternehmens vor Maleware & Co. Unser Datenschutztipp „Cybersicherheit: Gefahr durch Phishing“ enthält wertvolle Tipps und aktuelle Betrugsmaschen.

Eine der größten Herausforderungen in den letzten Jahren war die Corona-Pandemie. Während es inhaltlich im Datenschutz wichtige Fragestellungen zu klären gab und die schnell ändernden gesetzlichen Vorgaben die parallel weitergeltenden Datenschutzregeln nicht im Blick hatten, fehlten in vielen Betrieben auch die personellen und zeitlichen Ressourcen für das Thema. Ausführlich widmen sich unserer Datenschutztipps „Datenschutz – trotz Corona eine zentrale Unternehmensaufgabe“„Impfen und Testen: welche Daten dürfen Arbeitgeber erheben und verarbeiten?“ und „Beschäftigtendatenschutz in der Corona-Krise“ diesen Fragestellungen.

Einen der größten Aufschreie gab es wohl, als im Sommer 2020 der Europäische Gerichtshof (EuGH) das sog. EU-Privacy-Shield abkommen für ungültig erklärt hat. Ohne Umsetzungsfrist war damit am 16.07.2020 die rechtliche Basis für den Datenaustausch mit us-amerikanischen Unternehmen weggefallen. Es galt sich Alternativen zu überlegen, Verträge und Datenschutzinformationen anzupassen. Die aktuellsten Entscheidungen zum sog. Drittstaatentransfer finden Sie in unserem Datenschutztipp „Wichtige Entscheidungen zur Datenübermittlung in Drittstaaten“.

Wenn es nicht schon die DS-GVO getan hat, spätestens das TTDSG hat uns gelehrt: nicht alle Cookies sind süß! Cookies und externe Dienste auf einer Homepage datenschutzkonform einzubinden ist eine echte Wissenschaft geworden. In vielen Konstellationen ist ein sog. Consentbanner unumgänglich. Diese richtig einzustellen, ist aber eine Kunst. Wie schwierig die Analyse der eingesetzten Dienste im Einzelfall werden kann, hat im Sommer und Herbst 2022 die betrügerische Abmahnwelle wegen des unzulässigen Einsatzes von Google Webfonts gezeigt. Die Abmahnungen waren zwar unzulässig, in der Sache hatten die Betrüger aber häufig recht – und das obwohl die Schriften doch lokal gehostet waren! Wichtige Tipps finden Sie in unserem Datenschutztipp „Tracking & Co.: datenschutzkonformer Einsatz von Cookies auf Homepages“. Fehler bei der Cookiebannergestaltung können durchaus teuer werden, wie unser Datenschutztipp „Fehler bei Cookie-Banner-Gestaltung: 30.000 Euro Bußgeld“ zeigt.

Besonders groß war schließlich die Herausforderung, Verständnis dafür zu schaffen, dass Datenschutz zur Chefsache geworden ist – trotz guter Mitarbeiter und externen Datenschutzbeauftragten. Viele Aufgaben können delegiert und fachkundiger Rat eingeholt werden – die Verantwortung bleibt aber bei der Geschäftsleitung persönlich haften. Sie ist verantwortlich dafür, angemessene Maßnahmen zum Schutz zu treffen, Datenvearbeitungsvorgänge zu analysieren, Prozesse zu entwickeln und Richtlinien aufzustellen. Kommen sie dieser persönlichen Pflicht nicht ordnungsgemäß nach, können sie sogar persönlich haftbar sein. Ausführliche Erläuterungen finden Sie in unserem Datenschutztipp „Datenschutz bleibt Chefsache“.

Die fünf skurrilsten Urteile und Geschichten zum Thema Datenschutz

In den letzten Jahren gab es auch im Datenschutz etwas zu lachen – auch wenn mit diesem Thema eher selten eine lustige Seite in Verbindung gebracht wird – wir haben die Beweise, dass es das tatsächlich gibt. Die Bandbreite der amüsanten, seltsamen oder einfach nur skurrilen Geschichten ist unendlich breit – angefangen vom Server auf der Damentoilette und ausführlichen Abwesenheitslisten von Mitarbeitern über kreative Methoden und Auslegungen im Bereich der technischen und organisatorischen Maßnahmen (sog. TOMs) bis hin zu unwissenden Rechtsanwälten.

Aus allen erlebten, erzählten und gelesenen Geschichten und Fällen haben wir Ihnen unsere fünf Highlights in der Rubrik „skurrile Urteile und Geschichten rund um das Thema Datenschutz zusammengestellt:

Dass in einem Scheidungsverfahren oftmals mit harten Bandagen gekämpft wird, ist wohl eher die Regel als die Ausnahme. Dass die beteiligte Ehefrau aber auch noch wegen eines vermeintlichen Datenschutzverstoßes gegen das zuständige Amtsgericht in Person der vorsitzenden Richterin vorgeht, kommt dagegen nicht alle Tage vor. Die Richterin hatte sich das streitgegenständliche Haus der zu scheidenden Eheleute auf Google Maps angesehen und daraus Rückschlüsse auf die Grundfläche des Hauses gezogen. Die Ehefrau sah in der Recherche eine Datenschutzverletzung, weil sie der Verwendung des Tools nicht zugestimmt hatte. Sie verlangte daher von der Richterin Schadensersatz in Höhe von 2.000 Euro. Ausführliche Informationen zu dem Fall und die doch sehr vernünftige Entscheidung des Gerichts finden Sie in unserem Datenschutztipp „Scheidungskrieg: Ehefrau verklagt Amtsgericht wegen Nutzung von Google Maps“.

Legt ein Anwalt klage ein, sollte die Auswahl des richtigen Rechtswegs für den Rechtstreit zum kleinen 1×1 gehören – sollte man meinen! Dass nicht alle Anwälte sattelfest bei den verschiedenen Gerichtsbarkeiten sind, belegt der Fall des weit verbreiteten Cookie-Consentools Cookiebot. Mithilfe der Software soll eine datenschutzkonforme Einwilligung für den Einsatz von Cookies und externen Diensten auf Firmenhomepages eingeholt werden. Ausgerechnet bezüglich dieses Tools legte ein User Beschwerde wegen der Verletzung von Datenschutzbestimmungen ein. Das Wiesbadener Verwaltungsgericht verbot der verklagten Hochschule den Einsatz des Tools auch tatsächlich. Bei der Überprüfung des Urteils zog das Folgegericht die Entscheidung aber wieder ein, weil der Rechtsanwalt die Klage beim falschen Gericht eingelegt hatte: für den Streit war das Verwaltungsgericht sachlich unzuständig. Ausführliche Informationen finden Sie in unserem Datenschutztipp „Rechtsstreit um Cookiebot: Rechtsanwalt wählt falschen Rechtsweg“.

Unglaublich aber wahr: Ein Unternehmen wollte mit Hilfe des Datenschutzbeauftragten prüfen, ob sich die Mitarbeiter an die goldene Regel halten, keine fremden USB-Sticks anzuschließen. Es ist schließlich ein Klassiker, mit dem Schadsoftware ins Unternehmen geschleust wird. Um zu testen, wie sensibel die geschulten Mitarbeiter wirklich sind, besprachen der Geschäftsführer Herr Müller und sein Datenschutzbeauftragter in dem Unternehmen mehrere präparierte USB-Sticks „zu verlieren“. Die USB-Sticks waren selbstverständlich mit verführerischen Beschriftungen versehen wie z.B. „Beförderungsliste“ oder „Bilder Betriebsfeier Betriebsrat“ oder „Bilder Müller“. Wird einer der Sticks in einen PC des Unternehmens angesteckt, erhält der Administrator eine entsprechende Information.

Trotz der Schulung und Lippenbekenntnisse der Mitarbeiter wurden fast alle USB-Sticks an einem betrieblichen Rechner angesteckt. Besonders faszinierend war aber, dass ein Mitarbeiter den Stick mit der Aufschrift „Bilder Müller“ zu dem – in die Aktion eingeweihten – Geschäftsführer brachte. Dieser war neugierig, was für Bilder von ihm auf dem Stick sein sollten und steckte den Stick selbst an seinem eigenen Rechner an – wie gut, dass es „nur“ ein Test des Datenschutzbeauftragten war …

(Quelle: Datenschutzpraxis 08/2021)

Der Auskunftsanspruch gehört zu den zentralen Rechten von betroffenen Personen und ist bei Unternehmen in der Regel mit einigem Arbeitsaufwand verbunden. Den wohl größten Aufwand verursachte das Auskunftsersuchen einer Privatperson gegenüber einer Aktiengesellschaft in Wertheim. Das Auskunftsersuchen war nicht nur zeitintensiv in der Bearbeitung, sondern war auch Gegenstand von insgesamt vier verschiedenen Klagen. Die erste Klage gegen die AG endete mit der Anerkennung des geltend gemachten Anspruchs auf Datenauskunft durch die AG. In einem zweiten Verfahren musste man sich aber anschließend mit dem Streitwert des Auskunftsersuchens beschäftigen. Da die AG die Auskunft trotz Anerkennung immer noch nicht ordnungsgemäß erteilte, wurde in einem erneuten Prozess die Verhängung eines Zwangsgelds beantragt. Schließlich legte die AG gegen die Festsetzung des Zwangsgelds noch Beschwerde ein. Ausführliche Informationen zu allen vier Streitigkeiten finden Sie in unserem Datenschutztipp „Skurriler Streit: ein Auskunftsersuchen und vier Gerichtsprozesse“

Wird eine Datenauskunft nicht fristgemäß erteilt, kann die auskunftsuchende Person Schadensersatz verlangen. Viele Gerichte sprachen hierfür Beträge von durchschnittlich 500 bis 2000 Euro zu. Den wohl höchsten Schadensersatz wegen einer verspäteten Datenauskunft bekam kürzlich eine Feuerwerkskörperfabrik vom Arbeitsgericht Oldenburg auferlegt: für eine Datenauskunft mit fast zweijähriger Verspätung erhielt der ehemalige Fabrikangestellte Schadensersatz in Höhe von 10.000 Euro zugesprochen (AG Oldenburg, Urteil vom 09.02.2023 – Az.3 CA 150/21).

Die Überprüfung von gesperrten bzw. nicht gesperrten Bildschirmen zählt zum Standardprogramm vieler Datenschutztermine vor Ort. Die Sperrung des Bildschirms funktioniert üblicherweise durch die simple Tastenkombination Windows+L. Kommt man zurück, ist der Bildschirm mit dem Nutzerkennwort wieder zu entsperren. Beim Betriebsrundgang meinte ein Mitarbeiter, dem Datenschutzbeauftragten eine viel einfachere und schnellere Methode zeigen zu können. Er hatte nämlich nur einen Knopf hierfür zu drücken – an der Rückseite des Bildschirms. In der Tat: der Bildschirm war damit in Windeseile an- und ausgeschaltet. Nur den Datenschutzanforderungen genügt diese Methode nicht – der Knopf kann schließlich von jeder Person „ganz einfach“ betätigt werden …

Die Sperrung des Bildschirms ist in den meisten Fällen notwendig, um die Vertraulichkeit zu wahren. Sie kann aber auch vor seltsamen Mails bewahren – wie eine Geschichte aus dem Homeoffice belegt. Der Mitarbeiter sitzt am heimischen Arbeitsplatz und verfasst gerade eine Mail. Diese soll vor dem Versand aufgrund der enthaltenen sensiblen Daten verschlüsselt werden. Es klingelt an der Tür, der Mitarbeiter öffnet und lässt den Bildschirm wie er ist. Als er an seinen PC zurückkehrt wird das seltsame Gefühl nicht los, dass er noch etwas fertig machen wollte. Es war aber keine Datei oder Mail offen. Einige Minuten später erhält er eine Mail vom Kunden, dessen Nachricht er vor der Unterbrechung bearbeitet hatte: er wollte wissen, wie er die erhaltene Mail entschlüsseln kann. Diesen hatte der Mitarbeiter nicht zur Hand und konnte sich beim besten Willen nicht daran erinnern. Des Rätsels Lösung: während der Mitarbeiter sich um den Postboten an der Tür kümmert, lief die hauseigene Katze einmal über die Tastatur … sie erwischte dabei nicht nur eine Reihe kryptischer Zeichen für die Verschlüsselung, sondern betätigte auch den Senden-Button. Aus Sicht des Datenschutzes die wohl sicherste Verschlüsselung der Welt. Der Kunde hatte zum Glück Humor und die Mail wurde nochmal aufgesetzt.

(Inspiration aus der Datenschutzpraxis Ausgabe 08/2022 und 11/2022)

Die fünf wichtigsten Fragen im Zusammenhang mit Datenschutz vor Gericht

Auch die Gerichte hatten in den letzten Jahren mit dem Datenschutz alle Hände voll zu tun. Schließlich mussten zu den großen Themen im Datenschutz erst einmal Entscheidungen her, die der neuen Rechtsordnung entprechen. Der Blumenstrauß der Themen vor Gericht ist dabei bunt, wobei manche Fragestellungen durchaus Schwerpunkte bilden.

Wir haben hier die fünf wichtigsten Fragen im Zusammenhang mit Datenschutz vor Gericht zusammengestellt.

Die DS-GVO räumt Betroffenen in Art. 82 die Möglichkeit ein, für Datenschutzverletzungen Schadensersatzansprüche gegen den verantwortlichen Datenverarbeiter geltend zu machen. Umfasst sind hiervon sowohl materielle als auch immaterielle Schäden. Nach anfänglicher Zurückhaltung neigen deutsche Gerichte immer mehr dazu, für DS-GVO-Verstöße vergleichsweise hohes Schmerzensgeld zuzusprechen. Nach dem Datenschutzrecht soll dem Betroffenen nicht nur der erlittene Schaden ersetzt werden, sondern es soll auch eine abschreckende Wirkung erzielt werden. Wie hoch der Schadensersatz im Einzelfall ausfällt, liegt im Ermessen der Richter. Erst kürzlich hat der EuGH in einer wegweisenden Entscheidung die drei zentralen Voraussetzungen für das Bestehen eines Schadensersatzanspruchs aufgestellt. Alle wichtigen Informationen zu dieser wichtigen Entscheidung finden Sie in unserem Datenschutztipp „Aktuelle Urteile und Bußgelder“.

Folgende Beträge wurden Betroffenen in den letzten Jahren u.a. zugesprochen:

  • 500 Euro für eine unberechtigte Schufa-Auskunft (OLG Koblenz, Urteil v. 18.05.2022, Az.: 5 U 2141/21)
  • 2000 Euro für den Fehlversand einer Gesundheitsakte (OLG Düsseldorf, Urteil v. 28.10.2021, Az.: 16 U 275/20)
  • 300 Euro für eine unzulässige Werbemail (AG Pfaffenhofen, Urteil vom 09.09.2021, Az.: 2 C 133/21)
  • 5000 Euro für die Veröffentlichung eines Musikvideos ohne Zustimmung (LG Darmstadt, Urteil vom 04.09.2019, Az.: 23 O 159/18)
  • 1000 Euro für den Versand einer Antwort an einen Bewerber an den falschen Empfänger (LG Darmstadt, Urteil vom 26.05.2020, Az.: 13 O 244/19)

Eine Übersicht aller Entscheidungen finden Sie in unserer Rechtsprechungsübersicht in der Rubrik Urteile zum Schadensersatzanspruch bei Datenschutzverletzungen

Gerade die Arbeitsgerichte mussten sich vielfach mit den formellen und inhaltlichen Anforderungen des Anspruchs auf Auskunft nach Art. 15 DS-GVO auseinandersetzen. Herrschte nach dem Inkrafttreten der DS-GVO im Mai 2018 noch große Unsicherheit, was nun im Umgang mit personenbezogenen Daten beachtet werden muss und wie die Normen der Verordnung auszulegen sind, haben mittlerweile gerichtliche Urteile und Bußgeldentscheidungen in einigen Punkten für mehr Klarheit gesorgt. Die Gerichte mussten sich unter anderem mit folgenden Detailfragen rund um das Recht auf Auskunft beschäftigen:

  • Begriff der Datenkopie (EuGH, Urteil v. 04.05.2023, Az.: C-487/21)
  • Umfang der Offenlegung von Empfängern in der Datenauskunft (EuGH, Urteil v. 12.01.2023, Az.: C-154/21)
  • Auslegung des Begriffs personenbezogenes Datum (u.a. BGH, Urteil vom 15.06.2021, Az.: VI ZR 576/19)
  • Anforderung an die Identifizierung der betroffenen Person (u.a. OLG Stuttgart, Urteil vom 31.03.2021, Az.: 9 U 34/21)
  • Herausgabe der Kopie des E-Mail Verkehrs (u.a. LAG Niedersachsen, Urteil vom 09.06.2020, Az.: 9 Sa 608/19)

Eine Übersicht aller Entscheidungen finden Sie in unserer Rechtsprechungsübersicht in der Rubrik Urteile zum Auskunftsrecht

Zu den absoluten Klassikern vor Gericht zählten Fragen rund um das Thema Videoüberwachung. Sehr ausführliche Leitlinien zum Umfang der notwendigen Interessensabwägung das Verwaltungsgericht Mainz vorgeben. Das Urteil sowie die später folgenden Entscheidungen anderer Gerichte machen deutlich, welche strengen Anforderungen an eine datenschutzkonforme Videoüberwachung gestellt werden. Jede eingesetzte Kamera sowie die Aufzeichnungswinkel müssen genau geprüft und analysiert werden, ob die Videoüberwachung in der geplanten Form zulässig ist. Ausführliche Hintergrundinformationen finden Sie in unseren Datenschutztipps „Erstes Urteil zur Videoüberwachung: Genaue Abwägung aller Interessen notwendig“ und „Videoüberwachung und Datenschutz – auf glattem Eis mit etlichen Stolperfallen“.

Die Gerichte mussten sich unter anderem mit folgenden Themen rund um die Zulässigkeit von Videoüberwachung beschäftigen:

  • Umfang des Persönlichkeitsrechts von Nachbarn bei Erfassung der Grundstücke (AG Bad Ilburg, Urteil v. 12.11.2021, Az.: 4 C 366/21)
  • Zulässigkeit einer durchgehenden Videoüberwachung im Fitnessstudio (VG Ansbach, Urteil v. 23.02.2022, Az.: 14 K 20.00083)
  • Zulässigkeit der Überwachung von Kassenbereichen in Supermärkten und Co. (BAG, Urteil vom 23.08.2018, Az.: 2 AZR 133/18)

Eine Übersicht aller Entscheidungen finden Sie in unserer Rechtsprechungsübersicht in der Rubrik Urteile zur Verarbeitung von Bild- und Videoaufnahmen

Ob Wettbewerber oder Verbände für Verstöße gegen die datenschutzrechtlichen Vorgaben eine Abmahnung nach den Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG) aussprechen dürfen, konnte bis jetzt noch nicht eindeutig geklärt werden – dabei haben sich schon viele Gerichte mit dieser zentralen Fragestellung beschäftigt. Eine Zusammenfassung der aktuellen Rechtsprechung zu dem Thema finden Sie in unserem Datenschutztipp „Abmahnfähigkeit von Datenschutzverletzungen“. Eine Übersicht aller Entscheidungen können Sie unserer Rechtsprechungsübersicht in der Rubrik „Urteile zur Abmahnfähigkeit von Datenschutzverstößen“ entnehmen.

Was dürfen, können, sollen oder müssen Behörden und Aufsichtsbehörden tun? Viele Gerichte mussten sich mit Fragestellungen rund um die Aufgaben der Datenschützer kümmern. Dabei ging es nicht nur um den Sonderkündigungsschutz interner Datenschutzbeauftragter, sondern z.B. auch darum,

  • ob die Behörden nur die Abschaltung von Kameras verlangen dürfen oder auch deren Demontage (VG Mainz, Urteil v. 24.09.2020, Az.: 1 K 548/19.MZ)
  • ob Betroffene die Entscheidungen der Behörden prüfen lassen können (VG Ansbach, Urteil v. 16.03.2020, Az.: 14 K 19.00464)
  • ob Betroffene ein bestimmtes Ergebnis ihrer Beschwerde bei der Behörde einklagen können (OVG Koblenz, Urteil vom 26.10.2020, Az.: 10 A 10613/20.OVG)
  • welche Mitwirkungspflichten Betroffene bei einer Beschwerde haben (VG Mainz, Urteil vom 22.07.2020, Az.: 1 K 473/19.MZ)

Eine Übersicht aller Entscheidungen finden Sie in unserer Rechtsprechungsübersicht in der Rubrik Urteile zu Rechten und Pflichten der Aufsichtsbehörden und Datenschutzbeauftragten

Die 5 wichtigsten Datenschutzpflichten im Arbeitsalltag

Die DS-GVO enthält zahlreiche Einzelpflichten, die Unternehmen zur Gewährleistung der verschiedenen Grundsätze aus Art. 5 DS-GVO bei der Verarbeitung personenbezogener Daten einhalten müssen. Die meisten Pflichten treffen dabei jedes Unternehmen – unabhängig von der Größe und Art der Datenverarbeitung. Sobald personenbezogene Daten verarbeitet werden, gelten die Spielregeln der DS-GVO. Da kaum ein Unternehmen ohne Mitarbeiter und Ansprechpartner auskommt, müssen sich alle Unternehmen daran halten.

Wir haben die aus unserer Sicht fünf wichtigsten Datenschutzpflichten zusammengestellt:

Im Betriebsalltag werden die meisten Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden und Datenschutzpflichten verletzt werden könnten, von Beschäftigten durchgeführt. Eine wörtliche Pflicht zur Schulung enthält die DS-GVO zwar nicht, aber die Wichtigkeit der Mitarbeitersensibilisierung sollte dennoch nicht unterschätzt werden, denn eine der größten Gefahrenquellen für Datenschutzverletzungen ist der Mensch – und dies nicht zwingend aus bösem Willen oder Vorsatz! Bereits eine kleine Unachtsamkeit oder Unwissenheit kann zu einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) führen.

Aus diesem Grund ist es unerlässlich, Beschäftigten klare Vorgaben zum Umgang mit Daten im Arbeitsalltag zu geben sowie sie regelmäßig zu schulen und zu sensibilisieren. Ausführlich Informationen und Tipps finden Sie in unserem Datenschutztipp „Schulung und Sensibilisierung von Mitarbeitern – Standardpflicht für alle Unternehmen“.

Ein wichtiger Bestandteil des Datenschutzes ist deshalb die Sicherheit der Datenverarbeitung nach Art. 24 Abs. 1, 32 DS-GVO. Danach sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung bestimmter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Ausführliche Informationen sowie Bewertungen einzelner Maßnahmen finden Sie in unserem Datenschutztipp „TOMs – welche Maßnahmen gehören zum ‚angemessenen Schutzniveau‘?“.

Arbeitgeber, die Ihren Arbeitnehmern das Arbeiten im Homeoffice oder am mobilen Arbeitsplatz erlauben, sind verpflichtet die Datenschutzkonformität der Datenverarbeitungen auch am heimischen Arbeitsplatz sicherzustellen. Hierzu müssen verschiedene Spielregeln aufgestellt und technische Schutzvorkehrungen getroffen werden. Diese sind nicht nur aus Datenschutzsicht wichtig, sondern gewinnen auch mit steigender Cyberkriminalität immer mehr an Bedeutung. Viele Angreifer suchen bewusst den Weg über das Homeoffice, weil sie wissen, dass die Sicherheitsvorkehrungen hier meist leichter zu druchbrechen sind. Ausführliche Informationen zum Thema Homeoffice finden Sie in unserem Datenschutztipp „Datenschutz im Homeoffice“.

Nach Art. 5 Abs. 2 DS-GVO müssen Unternehmen die Pflichten der DS-GVO nicht nur beachten, sondern die Einhaltung auch nachweisen können. Durch die Komplexität und Vielschichtigkeit der verschiedenen Aufgaben und Pflichten im Datenschutz lässt sich diese Aufgabe nur mit Hilfe eines Datenschutzmanagement-Systems bewerkstelligen. Für den Aufbau eines solchen Systems gibt es verschiedenste Ansätze, wobei sich webbasierte digitale Lösungen in letzter Zeit mehr und mehr durchsetzen. Ein gutes System sollte folgende Punkte gewährleisten:

  • strukturierte und vollständige Erfassung des Unternehmens in allen Facetten, die datenschutzrechtlich relevant sind.
  • strukturierte und nachweisbare Abbildung verschiedenster Datenschutzpflichten (z.B. Abschluss von AV-Verträgen, Führen des Verzeichnis der Verarbeitungstätigkeiten VVT, Dokumentation der Mitarbeiternachweise, Prüfung von Betroffenenanfragen und Datenschutzverletzungen etc.)
  • Führung eines detaillierten Maßnahmen- und Projektplans
  • Workflowbasierte Aufgabenteilung 

Strukturierte und klare On- bzw. Offboarding-Prozesse sind nicht nur aus personalwirtschaftlicher Sicht wichtig, sondern beide Prozesse haben auch aus datenschutzrechtlicher Perspektive eine immense Bedeutung. Als sog. organisatorische Maßnahmen gehören sie nach Art. 32 DS-GVO zu den angemessenen Maßnahmen, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zu schützen. Welche Themen unbedingt auf die Onboarding-Checkliste bzw. Offboarding-Checkliste gehören finden Sie in unserem Datenschutztipp „On- und Offboarding datenschutzkonform gestalten“.

Die 5 fazinierendsten Bußgelder im Datenschutz

Den mit Abstand größten Schrecken verursachten die um das 66fache gestiegenen Bußgelder, die bei Verletzung von Datenschutzpflichten von den Aufsichtsbehörden verhängt werden können. Die Gesamtsumme der verhängten Bußgelder ist dabei kontinuierlich von Jahr zu Jahr gestiegen und pünktlich zum Jubiläum der DS-GVO hat der amerikanische Internetriese Meta von der irischen Aufsichtsbehörde ein Rekordbußgeld in Höhe von 1,2 Milliarden Euro für seine datenschutzwidrigen Praktiken erhalten.

Wir haben in unserer letzten Kategorie die fünf faszinierendsten Bußgelder zusammengestellt:

Zu den faszinierendsten Bußgeldern gehört zweifelsohne das Millionenbußgeld gegen eine Krankenkasse in Baden-Württemberg. Diese hat ein Gewinnspiel durchführt und dabei die datenschutzrechtlichen Vorgaben genau gekannt. Über die Teilnehmerkarten wurde die Zustimmung zum anschließenden Versand von Werbeinformationen eingeholt. Beim Versand der ersten Aktionen wurde aber versäumt, die Teilnahmekarten zu sortieren. Die Werbung wurde daher an alle Teilnehmer des Gewinnspiels verschickt – unabhängig davon, ob diese dem Erhalt von Werbepost zugestimmt haben oder nicht. Der Versand von Werbung erfolgte damit in Teilen ohne Rechtsgrundlage und war rechtswidrig. Die Aufsichtsbehörde betonte in Ihrer Pressemitteilung, dass Datenschutz eine Daueraufgabe ist, die regelmäßige Kontrollen und Anpassungen erfordert. Ausführliche Hintergrundinformationen zu diesem Bußgeld finden Sie in unserem Datenschutztipp „Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld“.

Faszinierend ist auch das Bußgeld, das ein Finanzinstitut in Ungarn in Kauf nahm. Es stritt sich mit einem Kunden darüber, seine Telefonnummer zu löschen und beharrte darauf, die Telefonnummer für den Zweck des Inkassobetriebs zwingend notwendig sei. Dieser Auffassung folgte die Aufsichtsbehörde nicht, denn Gläubiger können genauso gut auch über den Postweg kommunizieren. Die weitere Speicherung der Telefonnummer verstieß gegen die Grundsätze der Datenminimierung und Zweckbindung. Die Aufsichtsbehörde sanktionierte dies mit einem Bußgeld in Höhe von 3.200 Euro. Die Löschung der Telefonnummer des einen Kunden wäre weit günstiger gewesen als dieses vierstellige Bußgeld und der dazukommende Aufwand des Verfahrens für das Unternehmen.

Ein Elektromarkt hat von der Aufsichtsbehörde Niedersachsen ein fünfstelliges Bußgeld erhalten, weil der in seinem Markt Mitarbeiter und Kunden unzulässig überwachte. Sowohl der Kassen- als auch der Beratungsbereich waren mit einer Videoüberwachung und teils Audioüberwachung ausgestattet. Die Aufnahmen waren zudem öffentlich auf der Website eines Kamaradienstleisters als Live-Bilder einsehbar. Die Bußgeldentscheidung ist noch nicht rechtskräftig, da der Inhaber des Elektronikmarkts Einspruch eingelegt hat.

Sich mit der Aufsichtsbehörde anzulegen, wenn diese gerade eine Prüfung durchführt, ist nicht die beste Idee. Schmerzhaft erfahren musste das auch ein Unternehmen aus Bayern. Das Bayerische Landesamt für Datenschutzaufsicht wollte im Rahmen einer unangekündigten Vorortkontrolle Zutritt zu den Geschäftsräumen. Dies verweigerte das Unternehmen und erhielt dafür ursprünglich ein Bußgeld von 20.000 Euro. Da das Unternehmen Rechtsmittel einlegte wurde die Geldbuße auf 7.000 Euro reduziert.

Scheiden Mitarbeiter aus dem Unternehmen aus, stellt sich immer die Frage: was passiert mit dem betrieblichen E-Mail-Postfach. Außeracht gelassen wird dabei häufig die Frage, wie der Account von dem Mitarbeiter genutzt worden ist. Gerade wenn Mitarbeiter auch private Kommunikationen über das Postfach führen dürfen, ist eine Weiternutzung in der Regel untersagt. Auch eine Weiterleitung von E-Mails kann schwierig werden. Auf jeden Fall unzulässig ist es aber, wenn statt den eingehenden Mails auch alle ausgehenden Mails von einem Postfach automatisch und ohne das Wissen der Mitarbeiter weitergeleitet werden. In Norwegen hat sich ein Mitarbeiter bei der Behörde über eine derartige Weiterleitung beschwert. Bei der Prüfung der Beschwerde stellte sich heraus, dass die versendeten Mails monatelang weitergeleitet worden waren. Für das Unternehmen endete der Fall mit einem Bußgeld von knapp 20.000 Euro.