1,2 Milliarden Euro Bußgeld – diese Rekordstrafe wurde am 22. Mai 2023 gegen Facebook-Mutterkonzern Meta verhängt. Es ist das Ergebnis eines Rechtsstreits, der vor zehn Jahren mit den Enthüllungen von Edward Snowden angefangen hat. Facebook transferiert Nutzerdaten in die USA, wo diese ohne richterliche Anordnung von US-Geheimdiensten eingesehen werden können. Obwohl die DSGVO erst seit fünf Jahren gilt, gab es auch davor bereits Regelungen, die die Verarbeitung von personenbezogenen Daten einschränken.
Dass DSGVO-Bußgelder Unternehmen aller Größenordnungen treffen können, zeigen die folgenden, exemplarisch ausgewählten Beispiele. Eine Übersicht der DSGVO-Bußgelder gibt es zum Beispiel hier.
525.000€ Bußgeld wurde aufgrund eines Interessenskonflikts des betrieblichen Datenschutzbeauftragten (DSBs) verhängt. Dieser hatte in einer anderen Funktion Entscheidungen getroffen, die dann in der Funktion des DSBs unabhängig kontrolliert werden sollten. Das Bußgeld wurde im September 2022 gegen die Tochtergesellschaft eines Berliner Handelskonzerns verhängt. Laut Art. 38 Abs. 6 der DSGVO dürfen nur solche Personen als DSB ernannt werden, die keinen Interessenkonflikten unterliegen. Trotz der erteilten Warnung wurde die Doppelrolle weitergeführt und anschließend ein Bußgeld verhängt.
Insgesamt 55.000€ Bußgeld wurde wegen Verwendung öffentlicher Daten aus dem Grundbuch ohne geeignete Einwilligung verhängt. Ein Vermessungsingenieur hat die öffentlich zugänglichen Daten aus dem Grundbuch genutzt, um Besitzer von Grundstücken anzuschreiben. 50.000€ Bußgeld mussten vom Bauträger gezahlt werden, für 5.000€ musste der Vermessungsingenieur selbst aufkommen. Es gab weder eine geeignete Grundlage für die Verarbeitung der Daten (Art. 6 DSGVO) noch wurden Informationen zur Datenverarbeitung zur Verfügung bereitgestellt (Art. 14 DSGVO).
65.500€ Bußgeld musste ein Webseiten-Betreiber zahlen, der gegen Art. 25 und Art. 32 der DSGVO verstoßen hat. Nachdem der Betreiber einen Datenschutzvorfall an die Behörden gemeldet hat, wurde dessen Webseite auch technisch geprüft. Dabei stellte sich heraus, dass eine seit 2014 veraltete Anwendung verwendet wurde, die nicht mehr mit Sicherheitsupdates versorgt wird. Zusätzlich wurden die Passwörter der Kunden nicht ausreichend kryptographiert und geschützt. Immerhin hat der Betreiber die Kunden bereits nach dem Datenschutzvorfall aufgefordert, das Passwort zu ändern. Dadurch wurde das Bußgeld etwas abgemildert.
13.000€ musste ein Unternehmen zahlen, das Daten ohne Einwilligung mit dem Mutterkonzern geteilt hat. Das Kundenkonto war konzernweit angelegt und einsehbar ohne, dass für die einzelnen Unternehmen jeweils eine Einwilligung eingeholt worden ist. Die DSGVO kennt kein Konzernprivileg. Zusätzlich liegt hier eine gemeinsame Verantwortung vor, welche eine Vereinbarung erfordert, die die Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den Betroffenen darstellt (Art. 26 DSGVO). Solch eine Vereinbarung lag jedoch nicht vor, weshalb das Bußgeld nach einem Hinweis an die Behörde in Hamburg verhängt wurde.
6.500€ kostete die unsachgemäße Entsorgung von Unterlagen mit personenbezogenen Daten eine Apotheke in Baden-Württemberg. Diese hat u. a. Testergebnisse, Rezepte und Kassenbelege intakt oder nur grob zerrissen in den normalen Mülleimern entsorgt. Mit diesem Vorgehen verstießen die Mitarbeitenden der Apotheke gegen Art. 5 DSGVO, der eine Verarbeitung mit angemessener Sicherheit der personenbezogenen Daten sowie den Schutz vor unrechtmäßiger Verarbeitung, Schädigung oder Zerstörung vorsieht. Die hierfür eingeführten technischen und organisatorischen Maßnahmen (u. a. vorhandene Aktenvernichter) wurden nicht in ausreichendem Maße genutzt.
Fazit
Vor allem nach Beschwerden von Konkurrenten oder der Bevölkerung an die Aufsichtsbehörden, werden Unternehmen hinsichtlich des Datenschutzes gründlich geprüft. Hierzu reicht oft nur das Fehlverhalten eines einzelnen Mitarbeitenden, das bei den Betroffenen sauer aufstößt. Unternehmen sollten daher Mitarbeitende regelmäßig schulen und sensibilisieren. Zusätzlich ist auch das regelmäßige Überprüfen der technischen und organisatorischen Maßnahmen von essenzieller Bedeutung, da auch diese immer auf dem „aktuellen technischen Stand“ sein müssen. Gerade Unternehmen in wirtschaftlichen Schwierigkeiten oder kleine Unternehmen verkraften auch niedrige Bußgelder kaum. Das frühzeitige Investment in ein solides Datenschutz-Management zahlt sich also langfristig immer aus.
