Rufen Sie uns an

+49 (0) 6196 97344 - 00

Close
Kontakt per Mail

information@entplexit.com

Close

Passende Downloads

entplexit_DSGVO - Datenschutzgrundverordnung 2018

Close

Newsroom
Compliance

Zurück
15. Februar 2019

Wird 2019 das Jahr der Datenschutzkontrollen?

Datenschutzgrundverordnung – inwieweit führen die Aufsichtsbehörden überhaupt Kontrollen durch?

Dies und vieles mehr werden wir von unseren Kunden gefragt. Wurden bereits Bußgelder von Aufsichtsbehörden verhängt? Hierzu gibt es vereinzelt Informationen der jeweiligen Aufsichtsbehörden. Schaut man jedoch einmal in die europäischen Nachbarländer, so zeigt sich schon jetzt ein etwas anderes Bild.

CNIL in Frankreich verhängt ein Bußgeld in Höhe von 50 Millionen Euro!

Jüngst, am 25.01.2019 verhängte die französische Datenschutzbehörde ein Bußgeld nach Art. 83 DSGVO in Höhe von 50 Millionen Euro. Die Behörde hatte die Auffassung, dass die Transparenz der untersuchten Datenverarbeitung nicht ausreichend gewährleistet war. Ein weiterer Punkt war die Schaltung von Werbung ohne entsprechende Rechtsgrundlage. Hierbei fehlten die entsprechenden Einwilligungen.

Portugal verhängte 400.000 Euro als Strafe für ein Krankenhaus

Demnach soll ein Krankenhaus bei Lissabon insgesamt 400.000 Euro Strafe zahlen, unter anderem weil zu viele Personen Zugriff auf Patientendaten gehabt hätten. Laut der vorliegenden Informationen hat der Krankenhausbetreiber „bewusst“ IT-Technikern Zugang zu Daten verschafft. Diese sollten eigentlich nur von Ärzten eingesehen werden dürfen. Es konnte nachgewiesen werden, dass ein Profil mit unbegrenztem Zugang zu personenbezogenen Daten (Gesundheitsdaten) problemlos erstellt werden konnte. Angeblich waren 2018 nur 296 Ärzte in dem Krankenhaus beschäftigt, im System waren jedoch insgesamt 985 aktive Benutzer als „Arzt“ registriert.

Österreich verhängt Bußgeld gegen ein Lokal

Auch wenn das Bußgeld in Höhe von 4.800,- Euro gering erscheint, hat es doch für den Betreiber ein Lokales sicherlich Wirkung. Der Betreiber des Lokals setzte eine Videoüberwachung ein. Diese Kamera war leider so installiert, dass ein großer Teil des Gehwegs mit gefilmt wurde. Damit ist eine Überwachung des öffentlichen Raumes erfolgt.

Aufsichtsbehörde Baden-Württemberg verhängte 2018 Bußgelder von bis zu 80.000 Euro

Die Aufsichtsbehörde ahndete zwei Unternehmen und verhängte einmal 20.000 Euro und einmal 80.000 Euro. Hierbei wurden zum einen Daten inkl. Passwörter entwendet, da keine ausreichenden Sicherheitsmechanismen vorhanden waren. Im anderen Fall wurden Gesundheitsdaten veröffentlicht, weil keine ausreichenden Schutzmechanismen vorhanden waren.

Diese zwei Beispiele zeigen sehr deutlich, dass Datenschutzrecht nicht nur juristische, sondern erst recht auch technische Maßnahmen erfordert.

Aufsichtsbehörde Baden-Württemberg kündigt Kontrollen an!

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (Baden-Württemberg) Stefan Brink hat für das Jahr 2019 verstärkte Kontrollen angekündigt, um möglichen Datenschutzverstößen aufzuspüren. Die Anzahl der Kontrollen im Jahr 2018 hielt sich noch in einem normalen Rahmen. Doch dies soll sich in Zukunft ändern.

Nach einer Aussage des Landesdatenschützers Stefan Brink wird 2019 “das Jahr der Kontrolle“. Er lässt damit die Befürchtungen von Unternehmen wahr werden. Die Behörde ist aufgrund des Besitzes von staatsanwaltschaftlichen Befugnissen dazu berechtigt, angekündigte und unangekündigte Kontrollen durchführen. Bei den Kontrollen dürfen die Mitarbeiter demnach auch ohne Zustimmung der verantwortlichen Stelle (Unternehmen) die Situation vor Ort begutachten und Unterlagen beschlagnahmen

Werden im Rahmen der Kontrollen Datenschutzverstöße festgestellt, so sind bei Unternehmen mit bis zu 4% des weltweiten Jahresumsatzes, je nach Art, Schwere und Dauer des Verstoßes, Bußgelder von bis zu 20 Millionen Euro möglich.

Kommt jetzt etwa tatsächlich die gefürchtete Abmahnwelle?

Die Antwort ist hier ein klares „ja“ – aber nur für einen Teil der Wirtschaft. Im Visier der Behörden sollen vorerst die großen Social-Media-Unternehmen und Unternehmen sein, die große Mengen an sensiblen Daten verarbeiten. Vereine und kleine Unternehmen haben hier vorerst wohl keine Kontrollen zu befürchten.

Es ist aber zukünftig nicht auszuschließen, dass die Kontrollen im Laufe der Jahre ausgeweitet werden und auch Vereine und kleine Unternehmen in das Visier der Datenschutzbehörden geraten.

Bei Beschwerden über eine verantwortliche Stelle (Unternehmen) bei den Aufsichtsbehörden sieht die Sache anders aus. Diese Beschwerden können z. B durch einen unzufriedenen Mitarbeiter oder durch Kunden bzw. potentielle Kunden erfolgen und haben Kontrollen der Aufsichtsbehörden zur Folge. Wenn dieser Sachverhalt eintritt, sind auch Vereine und kleine Unternehmen von Kontrollen durch die entsprechende Aufsichtsbehörde betroffen. Der Datenschutz sollte, unabhängig von der Unternehmensgröße, nach wie vor sehr ernst genommen werden, um Datenschutzverstöße und damit hohe Bußgelder zu vermeiden. Ein weiterer Punkt bei Verstößen ist der damit einhergehende Reputationsschaden bei Kunden, Mitarbeitern und Partnerunternehmen.

Aus diesem Grund ist es wichtig, die Anforderungen aus der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz zu erfüllen. Hierzu zählen die entsprechenden Verfahrensverzeichnisse, Definition der Auftragsverarbeitung inklusive des Abschlusses eines Vertrages, Verpflichtung der Mitarbeiter, Technische und organisatorische Maßnahmen, Datenschutzerklärung auf der Homepage und die Anforderungen an die Löschung der personenbezogenen Daten in Form eines Löschkonzeptes.

Fazit und Ausblick

Die Datenschutzbehörden halten sich bei der Verhängung von Bußgeldern noch zurück. Nach einen 3/4 Jahr DSGVO kann man jedoch sagen, dass die Behörden bzw. Aufsichtsbehörden uneinheitlich Bußgelder verhängen. Es ist zu sehen, dass die Bußgelder nicht die maximal mögliche Höhe erreichen. Es gilt an dieser Stelle auch die Verhältnismäßigkeit. In Gesprächen mit den Aufsichtsbehörden ist jedoch erkennbar, dass die weniger komplexen Fälle erst einmal in den Fokus gerückt sind. Zudem wurden außerhalb der Öffentlichkeit meist auch einvernehmliche Regelungen gefunden. Hier ist auch zu erwähnen, dass entsprechende Unternehmen mit geeigneter Dokumentation diese Regelungen unterstützen konnten.

Es bleibt also abzuwarten, inwieweit sich die Aufsichtsbehörden bei komplexeren Verfahren positionieren. Diese dürften auch mehr Zeit in Anspruch nehmen.

Die oben genannten Fälle zeigen jedoch sehr deutlich, dass eine reine juristische Beratung leider nicht ausreicht! Ebenso ist eine technische Bewertung der getroffenen Maßnahmen sinnvoll und gegebenenfalls eine Anpassung notwendig. Wichtig ist, dass die juristische und die technische Ausrichtung Hand in Hand einhergehen.

Weitere Informationen finden Sie auf der Seite www.entplexit.com/dsb.

DSGVO

entplexit GmbH
Kölner Straße 12
65760 Eschborn

Telefon: +49 (0) 6196 97344 - 00
Mail: