Das mussten im letzten Jahr nicht nur die „Großen“ lernen, auch kleinere und mittelständische Unternehmen geraten hier immer mehr in den Fokus. Das Thema Bußgeld wegen Verstoß gegen den Datenschutz geht also längst nicht mehr nur große Konzerne an.

Unsere Datenschutzexperten geben einen kurzen Überblick über die aktuellen Entwicklungen auf dem Schlachtfeld der datenschutzrechtlichen Bußgelder. Wir erklären die Hintergründe nach der Datenschutzgrundverordnung (DSGVO).

Bußgeld wegen Verstoß gegen den Datenschutz: Rekordstrafe für Amazon

Angefangen ganz oben. Der Onlinehandel-Gigant Amazon wurde im Sommer dieses Jahres mit einem Bußgeld von 888 Millionen US-Dollar scharf sanktioniert. Die luxemburgische Aufsichtsbehörde monierte massive Mängel in der Datenschutzpraxis des Konzernriesens, ohne einzelne Verstöße publik zu machen. Nach Medienberichten stand hier vor allem das Amazon Online Targeting in Beschuss, das Grundlage für personalisierte Werbung darstellt. Das Bußgeld beruht laut „Bloomberg“ auf einer Beschwerde der französischen Bürgerrechtsorganisation „Le Quadrature du Net“ aus dem Jahr 2018 – eingereicht direkt nach Inkrafttreten der DSGVO.

Stationärer Einzelhandel ebenso im Visier

Ein weiteres Beispiel für die Gefahr „Bußgeld“ betraf im Jahr 2021 den stationären Einzelhandel. Um unliebsame Besucher auszusortieren, installierte die spanische Supermarktkette MERCADONA, S.A eine Gesichtserkennungssoftware in ihren Märkten. Diese sollte Kunden erkennen, gegen die ein Verfahren anhängig ist. Aber auch Mitarbeiter und brave Interessenten wurden dabei natürlich aufgenommen. Klarer Verstoß gegen den Grundsatz der Datenminimierung, statuierte die spanische Aufsichtsbehörde und verhängte ein Bußgeld in Höhe von 2,5 Millionen Euro. Betroffene hätten über die Datenverarbeitung gemäß Art. 13 DSGVO informiert werden müssen, eine Datenschutzfolgenabschätzung im Sinne von Art. 35 DSGVO wäre erforderlich gewesen.

Aber auch kleinere Unternehmen stehen im Feuer

Unangekündigte Kontrollen der Datenschutzbehörden sind auch in der Bundesrepublik Deutschland keine Seltenheit – und können auch für kleinere Unternehmen erhebliche Folgen haben. So weigerte sich ein deutscher Mittelständler, die bayrischen Datenschützer in die Geschäftsräume zu lassen. Ein Zugang zu Datenverarbeitungsanlagen wurde schlicht verweigert. Das Bayerische Landesamt für Datenschutzaufsicht verhängte daraufhin ein Bußgeld in Höhe von 20.000,00 Euro. Nach Beschwerde durch das Unternehmen wurde es reduziert auf 7.000,00 Euro. Diese waren dann aber zu zahlen – einer schlechten Vorbereitung geschuldet.

Online- oder Offline: Datenschützer werden gegen alle Geschäftsmodelle aktiv

Auch aus dem deutschen e-Commerce gibt es einige alarmierende Fälle zu berichten. So trat die niedersächsische Datenschutzbehörde gegen einen Web-Shop-Anbieter auf den Plan. Dieser verwendete eine veraltete Version der Web-Shop-Anwendung xt:Commerce (Version 3.0.4 SP2.1). Die Anwendung wird bereits seit dem Jahr 2014 nicht mehr mit Sicherheitsupdates ausgestattet. Klarer Datenschutz-Fauxpas: Es bestand die begründete Gefahr, dass Passwort-Hashes ausgelesen werden können (eine Salt-Verschlüsselung fehlte). Webseitenbetreiber sind wie alle Unternehmer verpflichtet, technische und organisatorische Maßnahmen zu implementieren, um ein hinreichendes Schutzniveau für die Daten Betroffener zu gewährleisten. Maßstab ist der Stand der Technik. Seine Unachtsamkeit kostete den Webshop-Betreiber 65.500,00 Euro.

Allein die Ernennung eines Datenschutzbeauftragten ist kein ausreichender Schutzschild

Dass es auch nicht ausreicht, irgendeinen Datenschutzbeauftragten zu benennen, zeigt ein weiteres Beispiel aus dem laufenden Geschäftsjahr. 15.000,00 Euro kostete es ein luxemburgisches Unternehmen, den internen Datenschutzbeauftragten weder hinreichend auszubilden, noch in die relevanten Datenprozesse einzubinden. Die luxemburgische Aufsichtsbehörde stellte für alle europäischen Unternehmen klar, dass an Ausbildungsstand und Tätigkeit des Datenschutzbeauftragten hohe Anforderungen zu stellen sind. Insbesondere auch seine fehlende Unabhängigkeit wurde hier moniert. Datenschutzrelevante Berichte seinerseits wurden vor der Freigabe mit dem Verwaltungs- und Finanzdirektor besprochen. Die Aufgabe des Datenschutzbeauftragten stellte zudem nur eine Nebentätigkeit dar. Das reicht nicht aus, um die Pflicht zur Bestellung eines hinreichend informierten, unabhängigen Datenschutzbeauftragten zu erfüllen.

Fazit

Das waren nur wenige Beispiele für die Flut an Bußgeldern, die im Jahr 2021 bisher in der Europäischen Union verhängt wurden. Sie zeigen eins auf: Sämtliche Verantwortliche sollten unabhängig von der Unternehmensgröße vor einer Prüfung durch die Datenschutzbehörden gefeit sein. Derartige Prüfungen werden häufig durch die Beschwerden von Kunden und Mitbewerbern ausgelöst und sind im freien Markt für alle Geschäftsmodelle an der Tagesordnung. Jedem Unternehmer muss bewusst sein, dass hier bei gravierenden Verstößen gegen den Datenschutz eklatante Strafen von bis zu 4% des im letzten Jahr erzielten weltweiten Jahresumsatzes drohen (Art. 83 Abs. 5 DSGVO). Mit einem professionellen Datenschutzbeauftragten und dessen konsequenter Einbindung in sämtliche Geschäftsprozesse lassen sich Risiken minimieren und aufsichtsbehördliche Anfragen zielsicher abfangen.