Blog: Hartmann Rechtsanwälte
11.12.2018

Das erste Bußgeld wegen eines Datenschutzverstoßes in Deutschland

Das bisher scharfe Schwert, der seit dem 25.05.2018 unmittelbar geltenden Datenschutz-Grundverordnung, die hohen Bußgelder, hat zugestoßen. Das ist auch gut so, denn andernfalls würde die Motivation der Verantwortlichen vor der Umsetzung der datenschutzrechtlichen Vorschriften verloren gehen.

Bereits im Oktober hat die portugiesische Datenschutzbehörde bekannt gegeben, dass ein Krankenhaus ein Bußgeld in Höhe von 400.00,00 € zahlen muss. Im Wesentlichen deswegen, weil zu viele Personen mit der Berechtigung eines Arztzugriffs auf Patientendaten zugreifen konnten. Tatsächlich waren drei Mal mehr Arztzugriffe im IT-System erstellt worden, als Ärzte im Krankenhaus angestellt waren. Darüber hinaus fehlten Prozesse zur Schließung von Benutzerkonten beim Ausscheiden von Mitarbeitern.

Hier zeigt sich, dass ein Berechtigungskonzept alleine nicht ausreicht, um dem Grundsatz der Datenminimierung gerecht zu werden. Denn jeder Mitarbeiter darf nur so viel wie nötig, aber auch nur so wenig wie möglich an Daten verarbeiten.

Nun wurde auch in Deutschland das erste Bußgeld verhängt. Ein deutsches Social-Network-Unternehmen muss wegen unzureichender Datensicherheit 20.000,00 € zahlen. Im September wurde das Unternehmen Opfer eines Hackerangriffs, bei dem von ca. 330.000 Nutzern E-Mail-Adressen, Pseudonyme und Passwörter entwendet und veröffentlicht worden sind. Nach Meldung der Datenpanne bei der zuständigen Landesdatenschutzbehörde Baden-Württembergs ist aufgefallen, dass das Unternehmen Passwörter unverschlüsselt im Klartext vorgehalten hat. Dabei ist das verhängte Bußgeld, nach Aussage des Landesdatenschutzbeauftragten, nur deshalb so gering ausgefallen, weil das Unternehmen in „vorbildlicher Weise“ mit der Landesdatenschutzbehörde Baden-Württembergs kooperiert hat.

Der erste Vorfall in Deutschland, bei dem eine Datenschutzaufsichtsbehörde ein Bußgeld verhängt hat, zeigt, dass die datenschutzrechtlichen Bestimmungen in praktikabler Weise und nicht im Wettbewerb der möglichst hohen Bußgelder angewandt werden. Da bereits die Umstrukturierungsmaßnahmen dem Unternehmen teuer zu stehen kamen, sollte die finanzielle Gesamtbelastung durch die Geldbuße nicht zu hoch ausfallen. Schließlich sollten die Bußgelder nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein.

Gerne können Sie sich mit dem Landesbeauftragten Baden-Württembergs, Herrn Dr. Brink, auf unserer Jahresauftaktveranstaltung am 23.01.2019 in der Rohrmeisterei in Schwerte austauschen.

Auch in den anderen Bundesländern muss davon ausgegangen werden, dass die Landesdatenschutzaufsichtsbehörden nicht untätig bleiben. So verweist der Präsident der Bayerischen Landesdatenschutzbehörde (BayLDA), Herr Kranig, erst jüngst auf einen aktuellen Beschluss des VGH Bayern vom 26.09.2018, Az.: 5 CS 18.1157. Danach war eine Unterlassungsanordnung der BayLDA rechtmäßig und damit einhergehend, das Marketing-Tool „Facebook Custom Audience über die Kundenliste“ rechtwidrig. Herr Kranig kündigte bereits an, diese Entscheidung zum Anlass zu nehmen und Prüfungen auf weitere Branchen auszuweiten und Verstöße nach dem neuen Bußgeldrahmen der DSGVO zu sanktionieren.

Mit dem Marketing-Tool können Unternehmen ihre Kunden, die zugleich Nutzer von Facebook sind, auf dem sozialen Netzwerk gezielt bewerben. Dazu erstellt ein Unternehmen als Online-Shop eine Liste seiner Kunden und Interessenten mit Name, Wohnort, E-Mail-Adresse und Telefonnummer. Diese Kundenliste wird dann im Facebook-Konto des Online-Shops an Facebook hochgeladen, so dass ein Abgleich der Kundenliste und Facebooknutzern erfolgen kann. Somit kann der Online-Shop dann Werbekampagnen auf Facebook für seine Kunden starten.

Da die Weitergabe der Kundendaten des Online-Shop-Betreibers an Facebook ohne deren Einwilligung erfolgt und es sich hierbei auch nicht um Auftragsverarbeitung handelt, ist die Datenweitergabe rechtswidrig.

Sofern Sie keine Einwilligung Ihrer Kunden zur Weitergabe an Facebook eingeholt haben, ist davon abzuraten das Tool zu nutzen.

The following two tabs change content below.

Rechtsanwältin