Unternehmen werden von Datenschutzbehörden in letzter Zeit häufiger aufgrund von Verletzungen der EU-Datenschutzgrundverordnung (DSGVO) zur Kasse gebeten. DSGVO-Bussgelder wurden nach Inkrafttreten der DSGVO zunächst nur selten ausgesprochen. Doch nach einigen Monaten Schonfrist weht nun augenscheinlich ein rauerer Wind. Davon zeugen nicht nur die Beschwerden gegen grosse Konzerne wie Google, die bereits zu Bussgeldern in Millionenhöhe geführt haben. Wie ein aktueller Entscheid aus Deutschland veranschaulicht, sind auch kleinere Unternehmen davon nicht ausgenommen und müssen sich auf Bussen gefasst machen.

Die anfängliche Schonfrist ist vorbei

Das Inkrafttreten der DSGVO im Mai 2018 brachte eine Vielzahl von neuen Vorgaben mit sich und ist für betroffene Unternehmen mit einem hohen Compliance-Aufwand verbunden. Nicht zuletzt deshalb ließen die Datenschutzbehörden in den ersten Monaten erklärtermaßen noch eine gewisse Milde walten. So standen sie den Unternehmen für die korrekte Umsetzung der neuen Regelungen überwiegend noch beratend zur Verfügung und verhängten nur sehr selten direkt DSGVO-Bussgelder. Datenverarbeitende Unternehmen sollten sich aber nicht mehr in vermeintlicher Sicherheit wiegen, denn die implizit gewährte Schonfrist scheint definitiv vorbei zu sein. Bezeichnend hierfür sind sowohl mehrere kürzlich ergangene Verfügungen und laufende Verfahren gegen grosse Unternehmen, als vermehrt auch Bussgelder gegen kleinere Unternehmen.

Fehlender Auftragsverarbeitungsvertrag führt zu DSGVO-Bussgeld

Die neue Härte der Datenschützer zeigt das Beispiel des Versandunternehmens Kolibri Image (siehe dazu den Bericht auf heise.de). Dieses hatte im Mai 2018 den hessischen Datenschutzbeauftragten um Rat angefragt. Bei der Anfrage ging es um Probleme hinsichtlich des Abschlusses eines Auftragsverarbeitungsvertrages mit einem beauftragten Dienstleister, welcher Kundendaten verarbeitete. Kolibri Image hatte trotz mehrfacher Aufforderung keinen solchen Vertrag vom beauftragten Unternehmen erhalten. Gemäss Auskunft des Datenschutzbeauftragten obliege die Pflicht zum Abschluss eines solchen Auftragsverarbeitungsvertrags jedoch dem Auftraggeber und Beauftragten gleichermassen. Demnach hätte Kolibri Image diesen Vertrag selbst verfassen und dem beauftragten Dienstleister zur Unterschrift zusenden sollen.

Kolibri Image kündigte in der Folge an, diese Anweisung der Behörde nicht zu befolgen. Der hessische Datenschutzbeauftragte leitete daraufhin die Angelegenheit an die zuständige Datenschutzbehörde in Hamburg weiter. Diese ging von einem Verstoss gegen Art. 28 Abs. 3 DSGVO aus. Diese Bestimmung sieht umfassende Pflichten hinsichtlich Abschluss und Inhalt des Auftragsverarbeitungsvertrags vor. Der Vertrag muss beispielsweise Bestimmungen zu den notwendigen technischen und organisatorischen Datenschutzmassnahmen enthalten. Das Argument von Kolibri Image, wonach die Anfrage nur vorbeugend erfolgt sei, erachtete die Behörde nicht als glaubhaft. Sie verhängte in der Folge ein Bussgeld von 5’000 Euro zuzüglich 250 Euro Bearbeitungsgebühr gegen Kolibri Image.

Millionenbusse gegen Google

In anderen Dimensionen liegt das 50 Millionen Euro Bussgeld, das von der französischen Datenschutzbehörde gegen Google verhängt wurde. Es handelt sich dabei um die erste Strafe, welche in Frankreich gestützt auf eine Verletzung von DSGVO-Vorschriften erging. Der Vorwurf gegen Google lautete, dass es Informationen zum Verarbeitungszweck, zu den Datenverarbeitungen und zur Aufbewahrungsdauer nur unzureichend zugänglich gemacht habe und die Informationen zudem unklar formuliert seien. Auch die bei Usern eingeholte Einwilligung zur Anzeige personalisierter Werbung basiere auf ungenügender Information und sei damit ungültig. Ungenügend sei auch die von Google gewählte „En Bloc“-Einwilligung mit vorangekreuzten Kästchen. Daher würde keine genügende Rechtsgrundlage für einwilligungspflichtige Datenverarbeitungen vorliegen (vgl. dazu MLL-News vom 25.2.2019).

Weitere hohe DSGVO-Bussgelder zu erwarten

In Zukunft dürften weitere signifikante DSGVO-Bussgelder zu erwarten sein. So ergab kürzlich ein von noyb, einer Datenschutz-NGO, durchgeführter Test, dass mehrere grosse Streaming-Anbieter der Pflicht auf Auskunft über die Verarbeitung personenbezogener Daten (und Kopie aller zu einer Person gespeicherten Daten) gar nicht oder angeblich nur unzureichend nachkommen. Die Organisation, welche hinter dem bisher erfolgreichen Vorgehen gegen Google vor der französischen Datenschutzbehörde CNIL steht, hat daher acht Beschwerden gegen Amazon, Apple, Netflix etc. eingereicht (vgl. die Mitteilung von noyb). Auch für die in diesen Beschwerden geltend gemachten Datenschutzrechtsverletzungen sind in der DSGVO hohe Bussen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten jährlichen Umsatzes vorgesehen.

Sowohl die Google-Millionenbusse wie auch die tiefere Busse im Fall Kolibri Image zeigen, dass die Behörden vor der Verhängung von Bussgeldern nicht mehr zurückschrecken.

Weitere Informationen: