Bußgeldübersicht

Um sicherzustellen, dass sich Unternehmen an die Vorschriften der DS-GVO halten, hat der europäische Gesetzgeber eine Reihe unterschiedlicher Sanktionen für Datenschutzverletzungen vorgesehen. Die bekannteste Sanktion, die Aufsichtsbehörden verhängen können, ist das Bußgeld. Bereits nach dem alten deutschen Datenschutzrecht konnten Verstöße gegen das Datenschutzrecht mit einem Bußgeld geahndet werden. Dieses lag aber weit unter den jetzt drohenden Summen. Mit Inkrafttreten der DS-GVO hat sich der Bußgeldrahmen um das 66-Fache erhöht. In besonders gravierenden Fällen kann daher ein Bußgeld von 20 Millionen Euro oder vier Prozent des Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist.

Der zulässige Maximalbetrag wird aber eher selten verhängt. Die Aufsichtsbehörden sind verpflichtet, bei der Festsetzung eines Bußgelds drei Kriterien zu beachten: Das Bußgeld muss abschreckend, wirksam und angemessen sein. Aktuell arbeiten die Aufsichtsbehörden an einem einheitlichen Verfahren zur Ermittlung der konkreten Höhe eines Bußgelds. Hierzu wird voraussichtlich aus der Unternehmensgröße und aus der Art der Datenschutzverletzung ein Betrag X errechnet, der anschließend anhand verschiedener Einzelfallkriterien an den individuellen Einzelfall angepasst wird. Zu den bußgeldbeeinflussenden Faktoren gehören z. B.

  • die Anzahl der von der Datenschutzverletzung betroffenen Personen.
  • Maßnahmen, die zur Schadensabwendung ergriffen wurden.
  • die Kooperationsbereitschaft mit der Aufsichtsbehörde.
  • die Anzahl vorhandener Verwarnungen oder Bußgelder.

Wie hoch ein Bußgeld im Einzelfall ausfällt, ist damit von unterschiedlichen Komponenten abhängig. Bereits verhängte Bußgelder können daher nur als grobe Orientierung dienen. Bisher gibt es nur sehr wenige Fälle, in denen ein empfindliches Bußgeld in sechs- oder siebenstelliger Höhe verhängt wurde. Nachfolgend finden Sie die bisher bekannt gewordenen Bußgelder , die aber keinesfalls als Festbeträge für vergleichbare Fälle angesehen werden dürfen. Einen einheitlichen Bußgeldkatalog wie im Straßenverkehrsrecht wird es aufgrund der von der DS-GVO vorgeschriebenen drei Einzelfallkriterien Abschreckung, Wirksamkeit und Angemessenheit auch bei einheitlichen Berechnungsmethoden nicht geben.

Bußgelder wegen unzureichenden Sicherheitsmaßnahmen

Die DS-GVO verpflichtet Unternehmen in Art. 32 dazu, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten mit angemessenen technischen und organisatorischen Maßnahmen (TOMs) zu schützen. Es muss daher mit entsprechenden Schutzmaßnahmen sichergestellt werden, dass das Risiko für Betroffene, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten, sind verschiedene Faktoren zu berücksichtigen, die in Art. 32 Abs. 1 1. Hs. DS-GVO aufgelistet sind. Hierzu gehören

  • der Stand der Technik
  • die Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • die Eintrittswahrscheinlichkeit eines Risikos (Schadens) für Betroffene
  • die Schwere des Risikos für die Rechte und Freiheiten Betroffener

Sowohl die deutschen als auch die Aufsichtsbehörden anderer Länder haben bereits eine Reihe von Bußgeldern verhängt, wenn diese Vorgaben nicht ausreichend umgesetzt worden sind.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen unrechtmäßiger Datenverarbeitung

Personenbezogene Daten dürfen nach Art. 6 DS-GVO nur verarbeitet werden, wenn diese explizit von einer Rechtsgrundlage gestattet ist. Die meisten möglichen Rechtsgrundlagen sind in Art. 6 Abs. 1 S. 1 lit. a) bis f) DS-GVO aufgelistet. Hierzu gehören

• die Anbahnung eines Vertrags
• die Erfüllung einer vertraglichen Pflicht
• die Erfüllung einer gesetzlichen Pflicht
• der Schutz lebenswichtiger Interessen
• die Wahrnehmung öffentlich-rechtlicher Aufgaben
• das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten
• die Einwilligung in die Datenverarbeitung

Für spezielle Daten oder Bereiche wie etwa nach Art. 9 DS-GVO besonders sensible Daten oder Datenverarbeitungen im Beschäftigungsverhältnis gibt es weitere Normen mit zusätzlichen Rechtsgrundlagen. Ist keine der Rechtsgrundlagen einschlägig oder sind die Anforderungen an die Rechtsgrundlage nicht erfüllt (z. B. weil nicht alle Voraussetzungen an eine wirksame Einwilligung erfüllt sind oder die Interessensabwägung zu Gunsten der Betroffenen ausging), ist die Verarbeitung der Daten unzulässig. Solch unrechtmäßige Verarbeitungen persönlicher Daten wurden bereits mehrfach von deutschen und anderen europäischen Aufsichtsbehörden sanktioniert.

Deutschland

Das Bußgeld wurde gegen eine Online Bank verhängt. Die Online Bank führte eine „schwarze Liste“ mit Daten von ehemaligen Kunden. Eine solche Liste ist jedoch nur zulässig, wenn es sich um Kunden handelt, die unter Geldwäscheverdacht stehen. Die auf der schwarzen Liste geführten Personen konnten so keine Konten mehr eröffnen.

Belgien

Ein Telekommunikationsunternehmen produzierte regelmäßig ein eigenes öffentliches Telefonbuch. Der Betroffene wollte in diesem nicht mehr aufgeführt werden und widerrief seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten. Das Unternehmen kam seiner Zusicherung, die Datenverarbeitung einzustellen und andere Herausgeber über den Widerruf zu unterrichten, nicht nach.
Die Daten fanden sich später sowohl im eigenen Verzeichnis des Unternehmens als auch in denen der anderen Herausgeber wieder.

Italien

Zur Neukundenakquise beauftragte ein Unternehmen ein Callcenter, für ein drittes Unternehmen neue Kunden zu akquirieren. Zur Akquise nutze das Callcenter seine eigenen Kontakte. Hatten die Angerufenen Interesse am Abschluss eines Vertrags, wurden ihre Daten an das Unternehmen weitergeleitet. Das beauftragende Unternehmen als verantwortliche Stelle wurde dabei nirgends erwähnt und alle Vorgänge erfolgten, ohne die Betroffenen über die Datenverarbeitung zu informieren und sie über ihre Rechte aufzuklären Zudem lag keine schriftliche Einwilligung der angerufenen Personen vor, die für die telefonische Kaltakquise zwingend erforderlich gewesen wäre. Die Behörde stellte 78 Verstöße wegen unrechtmäßiger Datensammlung und 155 Verstöße wegen unzulässiger Datenverarbeitung fest.

Ein Supermarktbetreiber veröffentlichte die Kündigung gegenüber seinem Mitarbeiter für alle Kunden und Mitarbeiter sichtbar am schwarzen Brett des Marktes. Die Behörde kam zu dem Ergebnis, dass diese Veröffentlichung ohne Rechtsgrund erfolgte und zudem gegen den Grundsatz der Verhältnismäßigkeit verstieß.

Ein Mobilfunkunternehmen verarbeitete personenbezogene Daten zu Werbezwecken ohne (wirksame) Einwilligung der Betroffenen. Zudem verstießen Geschäftspraktiken gegen die Vertraulichkeit und Integrität von Daten oder waren nicht mit den datenschutzrechtlichen Grundsätzen vereinbar. Das Unternehmen wollte unter anderem Verträge abschließen, in dem der Betroffene auf Video aufgezeichnet wird, während er erklärt, den Vertrag abschließen zu wollen. Hinzu kommt, dass bei der Speicherung und Verarbeitung von Telefon- und Telematikverkehrsdaten kein angemessenes Schutzniveau gewährleistet war.

Der Verantwortliche eines italienischen Theaters veröffentlichte ein Dokument auf der Website des Theaters, welches neben den Namen der Mitarbeiter auch sensible Gesundheitsdaten enthielten. So konnte man durch die auf dem Dokument angegebenen Daten Rückschlüsse auf die Gesundheit der Mitarbeiter ziehen.

Niederlande

Ein niederländisches Unternehmen führte im Jahr 2017 unangekündigt ein Zeiterfassungssystem ein, bei dem die Mitarbeiter ihre Zeiten über einen Fingerabdruckscan erfassen mussten. Dadurch sollte ein missbräuchlicher Gebrauch verhindert werden. Der Verantwortliche konnte allerdings keine wirksame Einwilligung der Beschäftigten nachweisen. Eine Ausnahmeregelung zum Einwilligungserfordernis lag nach Ansicht der Aufsichtsbehörde nicht vor, der Fingerabdruckscan sei weder erforderlich noch verhältnismäßig. Zudem waren die Daten neben dem Zeiterfassungssystem auch in einem anderen Dateisystem gespeichert. Unter den gespeicherten Informationen befanden sich auch biometrische Daten von bereits ausgeschiedenen Mitarbeitern.

Polen

Die Geldbuße betraf das Verfahren im Zusammenhang mit der Tätigkeit eines Unternehmens, das die Daten der betroffenen Personen aus öffentlich zugänglichen Quellen verarbeitete und die Daten für kommerzielle Zwecke nutzte. Das Unternehmen hat aus Kostengründen ausschließlich die Betroffenen informiert, deren E-Mail-Adressen bekannt waren. Die Übrigen wurden nicht direkt in Kenntnis gesetzt, sondern nur über eine Informationsklausel auf der Website. Dies reicht nach Ansicht der polnischen Aufsichtsbehörde nicht aus.

Spanien

Der Verantwortliche hat per WhatsApp ein Dokument an einen Dritten geschickt, das Vor- und Nachname sowie Personalausweisnummer (DNI) einer Mutter und ihrer zwei Kinder enthielt. Er hatte die Betroffenen weder informiert noch deren Einwilligung eingeholt.

Eine Bank kontaktierte einen ehemaligen Kunden im Zusammenhang mit einer Rechtsangelegenheit. Dieser hatte allerdings bereits seit 16 Jahren weder eine geschäftliche noch vertragliche eine Beziehung zu der Bank mehr. Die Bank konnte auch nicht darlegen, weshalb die Kundendaten über einen derart langen Zeitraum gespeichert wurden.

Ein Telekommunikationsanbieter führte bei dem Datensatz eines Kunden eine Adress- und Namensänderung durch, ohne den Kunden in aus, ohne die Informationen ausreichend zu verifizieren. Dies führte dazu, dass die Informationen mit Daten eines Dritten verknüpft wurden. Dieser Vorgang stellte nach Ansicht der Behörde eine Datenverarbeitung ohne Einwilligung des Betroffenen dar, für den aber keine andere Rechtsgrundlage vorliegt.

Ungarn

Die Geldbuße wurde gegen das Bürgermeisteramt der Stadt Kecskemét verhängt, nachdem das Amt den Namen eines Whistleblowers offengelegt hatte. Ein Mitarbeiter einer von ihr beaufsichtigten Organisation hatte eine Beschwerde gegen seinen Arbeitgeber eingereicht. Nachdem die Organisation von der Beschwerde erfahren hatte, bat sie um Einzelheiten, um Nachforschungen anzustellen zu können. Dabei gab die örtliche Regierung versehentlich den Namen des Beschwerdeführers bekannt. Erschwerend kam hinzu, dass der betreffende Mitarbeiter im Anschluss entlassen wurde.

Ein ungarisches Unternehmen führte zur Fehleranalyse und -behebung eine Testdatenbank, in der über neun Jahre hinweg durchgehend personenbezogene Daten gespeichert wurden. Nach Ansicht der Aufsichtsbehörde fehle es sowohl für die Erhebung als auch für die Verarbeitung der Daten an einem zulässigen Zweck. Zudem waren die technischen und organisatorischen Maßnahmen nicht ausreichend, was eine große Gefahr von Missbrauch und Hacking mit sich brachte.
Die Höhe des Bußgeldes orientiert sich an der langen Dauer der unrechtmäßigen Datenerhebung sowie an dem Ausmaß der Datenbank.

Bußgelder wegen Fehlern bei der Erfüllung von Betroffenenrechten

Die Betroffenenrechte ist der Sammelbegriff für die Rechte, die den Personen zustehen, deren Daten verarbeitet werden. Die DS-GVO hat die Rechtsposition der Betroffenen erheblich gestärkt und in Kapitel 3 eine ganze Reihe unterschiedlicher Rechte geregelt. Zu diesen Rechten gehören:

  • Recht auf Auskunft (Art. 15 DS-GVO)
  • Recht auf Berichtigung (Art. 16 DS-GVO)
  • Recht auf Löschung (Art. 17 DS-GVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
  • Widerruf der Einwilligung (Art. 7 DS-GVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO)

Macht eine betroffene Person eines oder mehrere dieser Rechte geltend, macht die DS-GVO strenge Vorgaben zur Bearbeitung solcher Anfragen. Fehler bei der Bearbeitung von Betroffenenanfragen landen sehr schnell bei der Aufsichtsbehörde. Grund dafür ist das Beschwerderecht, das Betroffenen zusteht und leicht geltend zu machen ist. Um sich bei der Aufsichtsbehörde zu beschweren, reicht es oft aus, ein Onlineformular auszufüllen. Die Behörde ist dann aber verpflichtet, den Vorgang zu prüfen. Daher wurden in diesem Bereich bereits etliche Bußgelder verhängt:

Deutschland

Das Bußgeld wurde gegen einen Lieferdienst für eine Reihe von einzelnen Verstößen verhängt. Bei den meisten geahndeten Einzelverstößen handelt es sich um die Verletzung von Betroffenenrechten wie unerwünschte Werbung, die Missachtung von Löschfristen, die Missachtung des Werbewiderspruchs sowie von Auskunftsersuchen. Außerdem spielte bei der Höhe des Bußgelds auch das Ausbleiben weiterer Maßnahmen zur pflichtgemäßen Erfüllung von Betroffenenrechten eine Rolle. Das Unternehmen wurde im Vorfeld bereits mehrfach aufgefordert, seine grundsätzlichen strukturellen Organisationsprobleme zu beheben.

Ausführlichere Informationen zum Bußgeld und den Betroffenenrechten finden Sie in unserem Blogartikel „Auskunft, Löschung, Widerruf, Widerspruch – Betroffenenrechte richtig erfüllen„!

Ungarn

Ein Mitarbeiter hat gegenüber seinem ehemaligen Arbeitgeber sein Auskunftsrecht nach Art. 15 DS-GVO geltend gemacht. Dieser bearbeitete die Anfrage verspätet und unvollständig.

Italien

Der Betroffene machte gegenüber seinem ehemaligen Arbeitgeber sein Auskunftsrecht gem. Art. 15 DS-GVO geltend und verlangte insbesondere Informationen aus dem Fahrtenschreiber sowie zu seinen Fahrten. Da der Verantwortliche gegenüber dem Betroffenen erklärte, nicht im Besitz der Daten zu sein und auf das Auskunftsersuchen der nationalen Aufsichtsbehörde nicht reagierte, verhängte diese ein Bußgeld wegen Verstößen gegen Art. 12, 15 DS-GVO.

Niederlande

Ein niederländisches Kreditinstitut verlangte für die Abfrage digital in der Datenbank gespeicherter Daten eine Gebühr. Lediglich einmal pro Jahr konnten Betroffene kostenlos Auskunft verlangen. Die zuständige Aufsichtsbehörde bewertete dieses Vorgehen als unzulässig, insbesondere, da insbesondere im Bereich der Kreditwürdigkeit eine schnelle und einfache Abfrage wichtig ist.

Ungarn

Das Bußgeld wurde gegen ein Finanzinstitut verhängt, weil es unrechtmäßig den Antrag eines Kunden auf Löschung seiner Telefonnummer zurückgewiesen hatte. In seiner Entscheidung betonte die Aufsichtsbehörde, dass die Telefonnummer des Kunden nicht zum Zweck des Inkassobetriebs erforderlich ist, da der Gläubiger auch mit dem Schuldner auf dem Postweg kommunizieren kann. Daher verstieß die weitere Speicherung der Telefonnummer des Schuldners gegen die Grundsätze der Datenminimierung und der Zweckbindung.

Bußgelder wegen Datenschutzfehlern auf der Homepage

Auch bei der Gestaltung einer Website gilt die eiserne Datenschutzregel: werden personenbezogene Daten des Homepagenutzers verarbeitet, benötigt der Verantwortliche dafür zum einen eine Rechtsgrundlage und zum anderem muss er den User über die Verarbeitung informieren. Besonders heikel sind dabei alle Anwendungen und Plugins, die personenbezogene Daten an Dritte wie Google weitergeben.

Da eine Website ein digitales Aushängeschild eines jeden Unternehmens und von sämtlichen Personen leicht einsichtbar ist, fallen Datenschutzverstöße auf Websites besonders schnell auf. So mancher Datenschutzverstoß wurde auch schon von den Behörden mit einem Bußgeld geahndet:

Deutschland

Ein mittelständisches Lebensmittelhandwerksunternehmen stellte über seine Website ein Bewerbungsportal zur Verfügung, über das Bewerbungsunterlagen eingereicht werden konnten. Allerdings war weder die Übertragung der Daten noch deren Speicherung verschlüsselt oder mit einem Passwortschutz versehen. Hinzukam, dass die Bewerberdaten aufgrund einer Verknüpfung mit Google frei über die Suchmaschine abrufbar waren.

England

Dieser Vorfall betraf die Weiterleitung des Nutzerverkehrs auf der Firmenhomepage der Britisch Airways zu einer betrügerischen Website, über die Kundendaten von den Hackern gesammelt wurden. Es wird angenommen, dass ca. 500.000 Kunden betroffen waren. Die Untersuchung des ICO ergab, dass aufgrund der unzureichenden Sicherheitsvorkehrungen im Unternehmen eine Reihe von Informationen abgegriffen wurden, einschließlich Log-in-Daten, Zahlungsinformationen und Reisebuchungsdetails sowie Namen und Adressen.

Frankreich

Das Bußgeld wurde gegen eine Versicherung verhängt, da aufgrund massiver Sicherheitsprobleme auf der Website mehrere tausend Kundendaten ungeschützt waren. Diese konnten über Hyperlinks abgerufen werden, die über eine Internetsuchmaschine ermittelt werden konnten. Betroffen waren unter anderem Führerscheindaten, Kontoauszüge und Registrierungskarten sowie konkrete Dokumente. Nachdem die Versicherung auch nach Aufforderung der zuständigen Aufsichtsbehörde keine ausreichenden Verbesserungen umsetzte, verhängte diese ein Bußgeld und mahnte die Umsetzung erneut an.

Malta

Weil geeignete Sicherheitsmaßnahmen auf der Internetseite einer Landesbehörde fehlten, wurden über 10 Gigabyte persönliche Daten über eine einfache Google-Suche für die Öffentlichkeit leicht zugänglich. Die Mehrheit dieser Daten enthielt hochsensible Informationen und Korrespondenzen zwischen Einzelpersonen und der Behörde selbst.

Norwegen

Unzureichende Sicherheitsmaßnahmen ermöglichte es jedem, sich in die verschiedenen Informationssysteme einer Grundschule einzuloggen und auf diese Weise auf verschiedene Kategorien personenbezogener Daten zuzugreifen. Der Vorfall betraf Computerdateien mit Benutzernamen und Kennwörtern für über 35.000 Benutzerkonten von Schülern und Mitarbeitern. Die Anzahl der Betroffenen, bei denen es sich mehrheitlich um Kinder handelte, erhöhte das Bußgeld. Die Gemeinde der Schule war zuvor sowohl von der Behörde als auch von einem internen Hinweisgeber gewarnt worden, dass die Datensicherheit unzureichend ist.

Polen

Ein Sportverband veröffentlichte personenbezogene Daten von Richtern, die eine Schiedsrichterlinz erhalten haben. Es wurden jedoch nicht nur ihre Namen angegeben, sondern auch ihre genauen Adressen und PESEL-Nummern. Mittlerweile gibt für die Veröffentlichung eines so breiten Spektrums an Schiedsrichterinformationen keine rechtlichen Gründe mehr. Die Veröffentlichung der Daten führt zu einem potenziellen Missbrauchsrisiko Obwohl der Verband selbst seinen eigenen Fehler bemerkte, wurde aufgrund der fehlgeschlagenen Versuche, die Daten zu entfernen, eine Geldbuße verhängt. Bei der Festsetzung der Höhe der Geldbuße wurden unter anderem auch die Dauer der Zuwiderhandlung und die große Anzahl von Betroffenen (585 Richter) berücksichtigt. Positiv angerechnet wurde aber die gute Zusammenarbeit mit der Aufsichtsbehörde und, dass den Betroffenen kein nachweisbarer Schaden entstanden ist.

Spanien

Auf der Website einer weltweit bekannten Möbelkette wurden auf die Endgeräte der User bis zu 23 Cookies geladen. Hierfür wurde weder die Einwilligung der Betroffenen abgefragt noch war ein Hinweis auf die erforderliche Widerrufsmöglichkeit vorhanden .

Bußgelder wegen Datenschutzfehler bei der Werbung

Werbung gehört zu den Bereichen, bei denen aus Datenschutzsicht besonders leicht viele Fehler gemacht werden. Gleichzeitig fällt genervten Werbeempfängern der Gang zur Aufsichtsbehörde leicht. Zwar können Werbemaßnahmen laut dem Erwägungsgrund Nr. 47 zur DS-GVO als berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO angesehen werden, jedoch ist dies gerade kein Freifahrtschein. Im Gegenteil: auch im Werbebereich bestehen umfangreiche Datenschutzpflichten und nicht immer gilt Art. 6 Abs. 1 S. 1 DS-GVO wirklich. Es muss daher jede Werbemaßnahme geprüft werden, es sind umfangreiche Informationen der Empfänger nötig, klare Prozesse und ein gut geschultes Personal. Auch wenn die Einhaltung der datenschutzrechtlichen Spielregeln im Werbebereich damit zeit- und kostenintensiv ist, die Verletzung der Vorgaben ist keine Bagatelle und kann hohe Bußgelder mit sich ziehen.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Deutschland

Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden personenbezogene Daten, wie z.B. Kontaktdaten und die Krankenkassenzugehörigkeit, der Teilnehmer erfasst. Diese Daten wurden später für Werbezwecke verwendet, wobei in rund 500 Fällen keine Einwilligung der Betroffenen vorlagen. Grund hierfür waren mangelhafte technisch-organisatorische Maßnahmen.

Weitere Informationen zu diesem Bußgeld finden Sie auch in unserem Blogartikel „Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld„!

Großbritannien

Ein britisches Unternehmen versendete über 16 Millionen Werbe-E-Mails. Die Firma holte zwar von den Betroffenen vorab eine Einwilligung ein, jedoch waren diese aufgrund mehrerer Mängel unwirksam. Zum einen wurde bemängelt, dass die Einwilligungen nicht freiwillig abgegeben worden sind. Zum anderen waren die Angaben weder spezifisch genug noch transparent gestaltet.

Bußgelder wegen unzulässiger Videoüberwachung

An vielen Stellen sind Videokameras in der heutigen Zeit kaum mehr wegzudenken. Sie schmücken die allermeisten Bahnhöfe, Tankstellen und Verkaufsräume. Dennoch sind sie aus der datenschutzrechtlichen Sicht ein sehr dünnes Eis und oft unzulässig. Um eine Videoüberwachung datenschutzkonform einsetzen zu können müssen nämlich folgende Punkte beachtet werden:

  • Detaillierte Zweckbeschreibung und Begründung der Erforderlichkeit der Videoüberwachung
  • Die Interessenabwägung nach 6 Abs. 1 lit. f DS-GVO muss zugunsten des Unternehmens ausfallen
  • Es sind bestimmte Einstellungen bei der Videotechnik erforderlich
  • Kennzeichnung des überwachten Bereichs mit speziellen Hinweisschildern
  • Definition einer kurzen Löschfrist für die Aufzeichnung
  • Bereitstellung einer ausführlichen Datenschutzinformationen

Da diese Pflichten bußgeldbewährt sind, kommt es bei Verstößen regelmäßig zu hohen Bußgeldern. Auch die Schadensersatzpflichten gegenüber den gefilmten Personen wegen der Verletzung des Persönlichkeitsrechts dürfen nicht unterschätzt werden.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen Verstoß gegen das Prinzip der Datenminimierung

Das Prinzip der Datenminimierung verbirgt sich in Art. 5 Abs. 1 lit. c) DS-GVO und gehört damit zu den Grundpfeilern der DS-GVO. Demnach muss immer darauf geachtet werden, dass nur so wenige personenbezogene Daten wie möglich verarbeitet werden. Entscheidend für die Art der Daten ist stets der Zweck der Datenverarbeitung. Im Rahmen dieser gesetzlich zwingend vorgeschriebenen Datenminimierung ist insbesondere darauf zu achten, dass:

  • personenbezogene Daten dem „Zweck angemessen“ sind
  • personenbezogene Daten auf das „notwendige Maß beschränkt“ werden und
  • unnötige Datenkopien vermieden werden

Der Leitgendanke der Datenminimierung zieht sich wie ein roter Faden durch alle Bereiche der Datenverarbeitung – vom Umfang der Verarbeitung der personenbezogener Daten über die Dauer der Aufbewahrung bis hin zu den Zugriffsberechtigungen. Wird der Grundsatz nicht ausreichend beachtet, verhängen die Aufsichtsbehörden regelmäßig Bußgelder.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen Verstoß gegen das Transparenzgebot

Einer der wesentlichen Grundgedanken der DS-GVO ist, dass jede Person Herrin über ihre Daten sein soll. Jede Person soll genau wissen (können), was mit ihren Daten passiert. Ohne Transparenz bei der Verarbeitung von Daten würde der Datenschutz als solcher ins Leere laufen. Sie müssen betroffene Personen einer Datenverarbeitung deshalb ganz genau darüber aufklären, welche Daten Sie auf welche Weise zu welchem Zweck verarbeiten und welche Rechte ihnen dabei zustehen. Diese Informationen müssen leicht zugänglich und in einer klaren und verständlichen Sprache formuliert sein. Fehlende oder nicht ausreichende Transparenztexte waren bereits häufig Gegenstand von Bußgeldverfahren.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen Verletzung der Löschpflichten

Zu den wichtigsten Punkten der DS-GVO gehört auch, dass die unbegrenzte Speicherung von personenbezogenen Daten nicht erlaubt ist. Personenbezogene Daten müssen gelöscht werden, wenn

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder,
  • die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d.h. Internetangebote wie Medien, Webshops oder Online-Spiele erhoben wurden.

Ein Unternehmen muss somit nach der DS-GVO dafür Sorge tragen, dass konkrete Löschkonzepte entwickelt werden und zudem bei jedem Verfahren die vorgesehene Löschfrist angegeben wird. Speichern Unternehmen personenbezogene Daten trotz Wegfalls des Zwecks oder ist es Unternehmen technisch überhaupt nicht möglich Daten zu löschen, werden Aufsichtsbehörden hellhörig.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen unzulässiger Auftragsverarbeitung

Werden bei der Zusammenarbeit mit anderen Unternehmen personenbezogene Daten verarbeitet, gibt es in der DS-GVO unter anderem die Konstellation der weisungsgebundenen Auftragsverarbeitung. Liegt eine solche vor, gibt es einige wichtige Voraussetzungen zu beachten. So ist die Auftragsverarbeitung nur zulässig, wenn sie auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV) erfolgt, die die Mindestanforderungen von Art. 28 Abs. 3 DS-GVO erfüllt.

Sowohl das fehlen als auch inhaltliche Mängel und die Nichteinhaltung der geregelten vertraglichen Pflichten können mit Bußgeldern belegt werden.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen Fehler bei der Behandlung von Datenpannen

Eine Datenpanne ist ein Verstoß gegen den Datenschutz und die Datensicherheit, bei dem unbefugte Personen Zugang zu personenbezogenen Daten erhalten. Es gibt viele Möglichkeiten, dass personenbezogene Daten in unbefugte Hände gelangen, ob verloren, bestohlen oder gehackt – es kann jedem Unternehmen passieren. Egal ob bewusst oder unbewusst, eine Datenpanne ist gravierend und deshalb sieht die DS-GVO ganz bestimmte Regelungen für einen solchen Fall vor. In Art. 33 und 34 DS-GVO wird beschrieben, wie Verantwortliche im Falle einer Datenpanne vorzugehen haben.

  1. Meldung an die Aufsichtsbehörde: Eine Datenpanne muss immer innerhalb von 72 Stunden gemeldet werden, außer diese stellt voraussichtlich kein Risiko für den Betroffenen dar
  2. Benachrichtigung der betroffenen Person: Besteht ein hohes Risiko für die Rechte und Freiheiten des Betroffenen muss dieser informiert werden.
  3. Technisch-organisatorische Maßnahmen zur Beseitigung des Vorfalls
  4. Dokumentation der Datenschutzverletzung

Die Meldung bei der Aufsichtsbehörde ist unangenehm und hat in vielen Fällen Nachfragen oder gar konkrete Überprüfungen der Datenschutzsituation im Unternehmen zur Folge. Gerade weil die Versuchung bei Unternehmen groß ist, der Meldepflicht nicht nachzukommen, um keine schlafenden Hunde zu wecken, ist auch diese Pflicht bußgeldbewährt. Bußgelder wurden dabei schon für gänzlich fehlende Meldungen aber auch für zu spät erfolgte Meldungen verhängt. Die

Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder wegen fehlender Benennung oder Meldung eines Datenschutzbeauftragten

Die Frage ab wann ein Datenschutzbeauftragter bestellt werden muss oder sollte, beschäftigt viele Unternehmen. Die Aufgabe des Datenschutzbeauftragten ist die Einhaltung von datenschutzrechtlichen Vorgaben in einem Unternehmen zu prüfen und zu überwachen.

Die Ernennung eines Datenschutzbeauftragten kann daher in vielen Fällen sinnvoll sein. Sind die Vorrausetzungen für die Bestellpflicht nach Art. 37 DS-GVO oder § 38 BDSG erfüllt, stellt die fehlende Benennung einen Bußgeldtatbestand dar. Dieser wird auch dann erfüllt, wenn zwar ein Datenschutzbeauftragter bestellt ist, dieser aber aufgrund fehlender fachlicher Qualifikation oder eines Interessenskonflikts nicht geeignet ist.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Bußgelder gegen Privatpersonen oder Arbeitnehmer

Bisher wird hauptsächlich davon berichtet, dass Unternehmen, Organisationen oder Vereine bei Verstößen gegen die DS-GVO Bußgeldtechnisch belangt werden. Vielen völlig unbekannt ist jedoch, dass es auch einzelne Personen treffen kann. Denn grundsätzlich müssen auch Privatpersonen, die personenbezogene Daten erheben und verarbeiten, die DS-GVO beachten. Eine Ausnahme hiervon stellt Art. 2 Abs. 2 lit. c DSGVO dar, denn danach ist die DS-GVO nicht anwendbar, solange die personenbezogenen Daten im persönlichen oder privaten Umfeld verwendet werden. Anders sieht das ganze dann wieder aus, wenn man personenbezogene Daten online veröffentlich und diese somit einer breiten Öffentlichkeit zugänglich macht. In einem solchen Fall handelt es sich dann nicht mehr um eine Verarbeitung zu ausschließlich persönlichen Zwecken.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.