01. Januar 2023
Die EU-Datenschutz-Grundverordnung (DSGVO) ist seit nunmehr knapp einem Jahr für die Verarbeitung personenbezogener Daten in Deutschland sowie in den anderen EU-Mitgliedstaaten und den EWR-Staaten zu beachten. Durch die Einführung der DSGVO wurde der Bußgeldrahmen für Datenschutzverstöße in Deutschland von ursprünglich bis zu 300.000 Euro auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes angehoben.
Dieser deutlich erweiterte Bußgeldrahmen sorgte im Vorfeld der Anwendbarkeit der DSGVO für große Unruhe und war auch einer der Treiber für Unternehmen, sich aktiv mit dem Thema Datenschutz und DSGVO-Compliance auseinanderzusetzen. Zuständig für die Verhängung der Bußgelder sind die Datenschutzbehörden. Doch wie gehen die Datenschutzbehörden derzeit mit diesem Sanktionsinstrument um?
Nach unserer Wahrnehmung agieren die Aufsichtsbehörden in Deutschland bislang bei der Verhängung von Bußgeldern eher noch zurückhaltend: Unternehmen erhalten von den Datenschutzbehörden bei Datenschutzverstößen nicht selten zunächst eine Verwarnung – unter gleichzeitigem Hinweis auf die Bußgeldpflichtigkeit bei wiederholtem Verstoß.
Bußgelder aufgrund von Überprüfungen und Beschwerden
Gleichwohl nehmen die Datenschutzbehörden auch bereits Überprüfungen von Unternehmen vor, um etwaige Datenschutzverstöße zu identifizieren. Aus solchen Überprüfungen können sich Bußgeldverfahren ergeben. Jedoch können Bußgelder auch auf Beschwerden betroffener Personen zurückgehen, die bei der Verarbeitung der sie konkret betreffenden personenbezogenen Daten die Aufsichtsbehörden auf einen Datenschutzverstoß des agierenden Unternehmens hingewiesen haben.
Gerade die Anzahl solcher Beschwerden ist nach Einführung der DSGOV enorm gestiegen. Einige Aufsichtsbehörden sprechen nach veröffentlichten Informationen von einem Anstieg um 30 % im Vergleich zum Vorjahr. Hintergrund hierfür dürfte nicht zuletzt die zunehmende Sensibilisierung der Betroffenen im Hinblick auf datenschutzrechtliche Bestimmungen sein.
Gesundheitswesen im Fokus der Behörden
Auf Grundlage der DSGVO sind – soweit aus öffentlichen Quellen ersichtlich – in Deutschland ca. 50 Bußgelder verhängt worden. Das höchste in Deutschland bekannt gewordenes Bußgeld beläuft sich auf
80.000 Euro; der Datenschutzverstoß ergab sich in diesem Falle aus der Veröffentlichung von Gesundheitsdaten im Internet, die auf unzureichende interne Kontrollmechanismen der verantwortlichen Stelle zurückzuführen waren.
Aufgrund der Sensibilität von Gesundheitsdaten ist zu erwarten, dass Bußgelder im Gesundheitswesen eher überdurchschnittlich hoch ausfallen dürften. So verhängte z.B. die portugiesische Aufsichtsbehörde ein Bußgeld in Höhe von 300.000 Euro gegen ein Krankenhaus in Portugal, in dessen IT-Systemen Nutzer mit der Benutzerrolle „Techniker“ auf personenbezogene Daten von Patienten zugreifen konnten, die eigentlich nur für Ärzte hätten einsehbar sein dürfen.
E-Mails können teuer werden
Bebußt wurden weiterhin das Versenden unzulässiger Werbemails, die Verwendung offener E-Mail-Verteiler, unzulässige Arten der Datenspeicherung, das versehentliche Bekanntgeben von personenbezogenen Daten gegenüber Dritten und die unbefugte Kopie oder Bekanntgabe von personenbezogenen Daten durch Hackerangriffe.
Von Relevanz sind bei datenschutzrechtlichen Zuwiderhandlungen neben den drohenden Bußgeldern der DSGVO auch etwaige Schadensersatzansprüche der Betroffenen, die der Höhe nach nicht begrenzt sind.
BDO Legal unterstützt Unternehmen sowohl bei der Herstellung der Datenschutz-Compliance zur Vermeidung als auch bei der Abwehr von Bußgeldern und Schadensersatzansprüchen betroffener Personen. Sprechen Sie uns hierzu gerne an. Denn auch in Bußgeldverfahren bestehen Verteidigungsmöglichkeiten, die Unternehmen für sich nutzen sollten. Dies gilt insbesondere, wenn es um Datenverarbeitungsvorgänge geht, an deren Fortführung die betroffenen Unternehmen auch in der Zukunft Interesse haben.