Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

Heuking Kühn Lüer Wojtek

Update Datenschutz
IP, Media & Technology

Nr. 53 | 01.02.2019


Erste Bußgelder durch Aufsichtsbehörden wegen Verstößen gegen die DSGVO
Regina Glaser, LL.M., Torsten Groß, LL.M.


Die Datenschutzgrundverordnung (DSGVO) sieht im Vergleich zum alten Datenschutzrecht eine signifikante Erhöhung der Bußgelder bei Gesetzesverstößen vor. Es können Bußgelder von bis zu 20 Millionen Euro oder in Höhe von 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem was höher ist (Art. 83 Abs. 5 DSGVO). In den ersten Monaten nach der Einführung der DSGVO im Mai 2018 blieb es diesbezüglich aber recht ruhig. Nun ändert sich das jedoch.

50 Millionen EUR Bußgeld für Google LLC

Mittlerweile verhängen die Aufsichtsbehörden vermehrt Bußgelder. Besonders herauszuheben ist hierbei das am 21. Januar 2019 von der der französischen Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) verhängte Bußgeld in Höhe von 50 Millionen Euro gegen Google LLC. Diese stellte mehrere datenschutzrechtliche Verstöße bei Google fest. In der Bekanntmachung auf ihrer Website führt CNIL als Begründung aus, Google komme seinen Informationspflichten gegenüber seinen Benutzern nicht ordnungsgemäß nach und stelle die Verarbeitungsprozesse nicht transparent genug dar. Zudem seien die Einwilligungserklärungen für die Benutzer zur Datennutzung für personalisierte Werbung nicht wirksam eingeholt worden. Die Benutzer würden zuvor nicht ausreichend informiert, außerdem würden die Einwilligungen nicht ausreichend zwischen den einzelnen Verarbeitungsvorgängen unterscheiden.

Als Gründe für die Höhe des Bußgeldes führt CNIL im Wesentlichen an, dass es sich um einen dauerhaften Verstoß handele, der (zumindest bis zur Entscheidung des CNIL) andauere. Erschwerend komme hinzu, dass es sich um eine riesige Datenmenge handelt, die eine Vielzahl von Dienstleistungen betrifft und für die nahezu endlose Kombinationsmöglichkeiten bestehen. Durch die große Verbreitung des Google-Betriebssystems Android seien von diesem Datenschutzverstoß eine Vielzahl von Menschen betroffen. Das gegen Google verhängte Bußgeld verdeutlicht, welch einschneidende Sanktionsmittel die Aufsichtsbehörden nach dem neuen Recht zur Verfügung haben, aber auch welche Kriterien bei der Bußgeldfestsetzung berücksichtigt werden.

20.000 EUR Bußgeld für „Knuddels.de“

Auch in Deutschland werden mittlerweile vermehrt Bußgelder verhängt. Im November 2018 hatte der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg bereits ein Bußgeld in Höhe von 20.000 EUR gegen das Chatportal „Knuddels.de“ verhängt. Das Unternehmen war im Sommer 2018 Opfer eines Hackerangriffs geworden, bei dem die Hacker personenbezogene Daten erbeutet hatten. Dies war u.a. deswegen möglich, da die Passwörter der Kunden im Klartext auf dem Unternehmerserver gespeichert waren. Hinzu war gekommen, dass Knuddels es versäumt hatte, rechtzeitig die neue Version des Betriebssystems aufzuspielen.

Im Gegensatz zum jetzigen Verfahren in Frankreich gegen Google blieb die Summe jedoch recht gering. Grund hierfür war laut dem LfDI, dass das Unternehmen gut mit der Aufsichtsbehörde kooperiert und sich um schnelle und vollständige Aufklärung bemüht habe. Auch habe das Unternehmen selbst erhebliche wirtschaftliche Nachteile durch diese Datenpanne erlitten. Eine ähnliche Argumentation könnte auch im Bußgeldverfahren gegen Google Berücksichtigung gefunden haben, allerdings zu Lasten von Google. Je mehr Daten Google sammelt und speichert (im vorliegenden Fall unrechtmäßig), desto mehr profitiert das Unternehmen wirtschaftlich davon. CNIL erklärte, dass Googles Geschäftsmodell zumindest teilweise auf der Personalisierung von Werbung beruhe und deswegen die Einhaltung der Datenschutzgesetze höchste Priorität haben müsse.

Bußgeldverfahren in Deutschland

Insgesamt haben die deutschen Aufsichtsbehörden laut einer Umfrage des Handelsblattes bis Mitte Januar 2019 41 Bußgelder verhängt. Eine Vielzahl von weiteren Verfahren laufe allerdings. Das bisher höchste Bußgeld in Deutschland beträgt 80.000 EUR. In diesem Fall waren Gesundheitsdaten, also sensible und besonders zu schützende personenbezogene Daten, öffentlich abrufbar gewesen.

Oft werden die Bußgeldverfahren von Beschwerden von Betroffenen – vor allem unzufriedene Mitarbeiter oder Kunden - bei den Behörden angestoßen. Zudem müssen Datenpannen von der verantwortlichen Stelle gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Daraus kann sich im Anschluss ebenfalls ein Bußgeldverfahren entwickeln. Wettbewerber beobachten ihre Konkurrenten ebenfalls und melden sie auch den Behörden. Nicht zu vernachlässigen sind zudem die Kontrollbefugnisse der Aufsichtsbehörden. Die Behörden haben verschiedene Instrumentarien in der Hand, um verantwortliche Stellen aktiv zu überprüfen. Dies umfasst u.a. den Zugang zu Räumlichkeiten, einschließlich Datenverarbeitungsanlagen und -geräten (Art. 58 Abs. 1 f) DSGVO).

Manche Landesdatenaufsichtsbehörden äußern sich insgesamt noch recht zurückhaltend bezüglich der Verhängung von Bußgeldern. Allerdings sollten sich Unternehmen nicht darauf verlassen. Sie sollten die nun öffentlich gewordenen Bußgelder vielmehr zum Anlass nehmen, ihr bisheriges Datenschutzkonzept weiterhin in regelmäßigen Abständen zu überprüfen und, falls notwendig, anzupassen. Sollte es trotzdem zu einer Datenpanne kommen, ist zu berücksichtigen, dass die Aufsichtsbehörden kooperatives Verhalten und spürbaren Aufklärungswillen seitens der verantwortlichen Stelle honorieren.



Autoren

Heuking Kühn Lüer Wojtek

Regina Glaser, LL.M. ist Partnerin und Rechtsanwältin bei Heuking Kühn Lüer Wojtek und Mitglied der Taskforce Datenschutz.

Heuking Kühn Lüer Wojtek

Torsten Groß, LL.M. ist Rechtsanwalt bei Heuking Kühn Lüer Wojtek und Mitglied der Taskforce Datenschutz.


Kontakt
T +49 211 600 55-168
F +49 211 600 55-160
E datenschutz@heuking.de

Besuchen Sie auch unsere Themenseite zum Datenschutzrecht:
Microsite Datenschutz
Task-Force-Datenschutz
Heuking Kühn Lüer Wojtek
Dr. Christian Appelbaum
Heuking Kühn Lüer Wojtek
Dr. Ubbo Aßmus
Heuking Kühn Lüer Wojtek
Felix Drefs
Heuking Kühn Lüer Wojtek
Alexa Finke, LL.M.
Heuking Kühn Lüer Wojtek
Regina Glaser, LL.M.
Heuking Kühn Lüer Wojtek
Torsten Groß, LL.M.
Heuking Kühn Lüer Wojtek
Anne Heisig
Heuking Kühn Lüer Wojtek
Maike Katharina Hinz
Heuking Kühn Lüer Wojtek
Britta Hinzpeter, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Thomas Jansen
Heuking Kühn Lüer Wojtek
Dr. Philip Kempermann, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Lutz Martin Keppeler
Heuking Kühn Lüer Wojtek
Dr. Markus Klinger
Heuking Kühn Lüer Wojtek
Michael Kuska, LL.M., LL.M.
Heuking Kühn Lüer Wojtek
Astrid Luedtke
Heuking Kühn Lüer Wojtek
Marcel Maybaum
Heuking Kühn Lüer Wojtek
Antje Münch, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Søren Pietzcker, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Wolfgang G. Renner, LL.M.
Heuking Kühn Lüer Wojtek
Dr. Dirk Stolz
Heuking Kühn Lüer Wojtek
Dr. Frederik Wiemer
Heuking Kühn Lüer Wojtek
Dr. Florian Winzer
Heuking Kühn Lüer Wojtek
Dr. Hans Markus Wulf




Ich möchte den Newsletter
> abbestellen

> bestellen









Heuking Kühn Lüer Wojtek
© 2019 Heuking Kühn Lüer Wojtek

PartGmbB von Rechtsanwälten und Steuerberatern*
Georg-Glock-Str. 4, 40474 Düsseldorf

* Datenschutzinformationen / Registerangaben / Liste der Partner: www.heuking.de

Informationen darüber, wie Heuking Kühn Lüer Wojtek mit Ihren personenbezogenen Daten umgeht,
zu welchen Zwecken Ihre Daten verarbeitet werden, die Rechtsgrundlagen der Verarbeitung und
welche Rechte Sie haben, können Sie unter www.heuking.de nachlesen.

datenschutz@heuking.de