Bußgeld wegen Verstoß gegen den Datenschutz betrifft auch kleine Unternehmen

Datenschutzverstöße führen zu empfindlichen Bußgeldern, verhängt durch die jeweils zuständige Aufsichtsbehörde.

Durchschnittliche Lesezeit: 4 Minuten

Ein Bildschirm mit dem Wort Bußgeld – Bußgeld wegen Verstoß gegen den Datenschutz kann teuer werden.

Das mussten im letzten Jahr nicht nur die „Großen“ lernen, auch kleinere und mittelständische Unternehmen geraten hier immer mehr in den Fokus. Das Thema Bußgeld wegen Verstoß gegen den Datenschutz geht also längst nicht mehr nur große Konzerne an.

Unsere Datenschutzexperten geben einen kurzen Überblick über die aktuellen Entwicklungen auf dem Schlachtfeld der datenschutzrechtlichen Bußgelder. Wir erklären die Hintergründe nach der Datenschutzgrundverordnung (DSGVO).

Bußgeld wegen Verstoß gegen den Datenschutz: Rekordstrafe für Amazon am 16. Juli 2021

Angefangen ganz oben. Der Onlinehandel-Gigant Amazon wurde im Sommer dieses Jahres mit einem Bußgeld von 888 Millionen US-Dollar scharf sanktioniert. Die luxemburgische Aufsichtsbehörde monierte massive Mängel in der Datenschutzpraxis des Konzernriesens, ohne einzelne Verstöße publik zu machen. Nach Medienberichten stand hier vor allem das Amazon Online Targeting in Beschuss, das Grundlage für personalisierte Werbung darstellt. Das Bußgeld beruht laut „Bloomberg“ auf einer Beschwerde der französischen Bürgerrechtsorganisation „Le Quadrature du Net“ aus dem Jahr 2018 – eingereicht direkt nach Inkrafttreten der DSGVO.

Stationärer Einzelhandel ebenso im Visier

Ein weiteres Beispiel für die Gefahr „Bußgeld“ betraf im Jahr 2021 den stationären Einzelhandel. Um unliebsame Besucher auszusortieren, installierte die spanische Supermarktkette MERCADONA, S.A eine Gesichtserkennungssoftware in ihren Märkten. Diese sollte Kunden erkennen, gegen die ein Verfahren anhängig ist. Aber auch Mitarbeiter und brave Interessenten wurden dabei natürlich aufgenommen. Klarer Verstoß gegen den Grundsatz der Datenminimierung, statuierte die spanische Aufsichtsbehörde und verhängte ein Bußgeld in Höhe von 2,5 Millionen Euro. Betroffene hätten über die Datenverarbeitung gemäß Art. 13 DSGVO informiert werden müssen, eine Datenschutzfolgenabschätzung im Sinne von Art. 35 DSGVO wäre erforderlich gewesen.

Aber auch kleinere Unternehmen stehen im Feuer

Unangekündigte Kontrollen der Datenschutzbehörden sind auch in der Bundesrepublik Deutschland keine Seltenheit – und können auch für kleinere Unternehmen erhebliche Folgen haben. So weigerte sich ein deutscher Mittelständler, die bayrischen Datenschützer in die Geschäftsräume zu lassen. Ein Zugang zu Datenverarbeitungsanlagen wurde schlicht verweigert. Das Bayerische Landesamt für Datenschutzaufsicht verhängte daraufhin ein Bußgeld in Höhe von 20.000,00 Euro. Nach Beschwerde durch das Unternehmen wurde es reduziert auf 7.000,00 Euro. Diese waren dann aber zu zahlen – einer schlechten Vorbereitung geschuldet.

Online- oder Offline: Datenschützer werden gegen alle Geschäftsmodelle aktiv

Auch aus dem deutschen e-Commerce gibt es einige alarmierende Fälle zu berichten. So trat die niedersächsische Datenschutzbehörde gegen einen Web-Shop-Anbieter auf den Plan. Dieser verwendete eine veraltete Version der Web-Shop-Anwendung xt:Commerce (Version 3.0.4 SP2.1). Die Anwendung wird bereits seit dem Jahr 2014 nicht mehr mit Sicherheitsupdates ausgestattet. Klarer Datenschutz-Fauxpas: Es bestand die begründete Gefahr, dass Passwort-Hashes ausgelesen werden können (eine Salt-Verschlüsselung fehlte). Webseitenbetreiber sind wie alle Unternehmer verpflichtet, technische und organisatorische Maßnahmen zu implementieren, um ein hinreichendes Schutzniveau für die Daten Betroffener zu gewährleisten. Maßstab ist der Stand der Technik. Seine Unachtsamkeit kostete den Webshop-Betreiber 65.500,00 Euro.

Allein die Ernennung eines Datenschutzbeauftragten ist kein ausreichender Schutzschild

Dass es auch nicht ausreicht, irgendeinen Datenschutzbeauftragten zu benennen, zeigt ein weiteres Beispiel aus dem laufenden Geschäftsjahr. 15.000,00 Euro kostete es ein luxemburgisches Unternehmen, den internen Datenschutzbeauftragten weder hinreichend auszubilden, noch in die relevanten Datenprozesse einzubinden. Die luxemburgische Aufsichtsbehörde stellte für alle europäischen Unternehmen klar, dass an Ausbildungsstand und Tätigkeit des Datenschutzbeauftragten hohe Anforderungen zu stellen sind. Insbesondere auch seine fehlende Unabhängigkeit wurde hier moniert. Datenschutzrelevante Berichte seinerseits wurden vor der Freigabe mit dem Verwaltungs- und Finanzdirektor besprochen. Die Aufgabe des Datenschutzbeauftragten stellte zudem nur eine Nebentätigkeit dar. Das reicht nicht aus, um die Pflicht zur Bestellung eines hinreichend informierten, unabhängigen Datenschutzbeauftragten zu erfüllen.

Fazit

Das waren nur wenige Beispiele für die Flut an Bußgeldern, die im Jahr 2021 bisher in der Europäischen Union verhängt wurden. Sie zeigen eins auf: Sämtliche Verantwortliche sollten unabhängig von der Unternehmensgröße vor einer Prüfung durch die Datenschutzbehörden gefeit sein. Derartige Prüfungen werden häufig durch die Beschwerden von Kunden und Mitbewerbern ausgelöst und sind im freien Markt für alle Geschäftsmodelle an der Tagesordnung. Jedem Unternehmer muss bewusst sein, dass hier bei gravierenden Verstößen gegen den Datenschutz eklatante Strafen von bis zu 4% des im letzten Jahr erzielten weltweiten Jahresumsatzes drohen (Art. 83 Abs. 5 DSGVO). Mit einem professionellen Datenschutzbeauftragten und dessen konsequenter Einbindung in sämtliche Geschäftsprozesse lassen sich Risiken minimieren und aufsichtsbehördliche Anfragen zielsicher abfangen.

Gut zu wissen!

Datenschutzverstöße werden auch im Jahr 2021 streng sanktioniert. Die Bußgelder erstrecken sich bis in den Bereich mehrerer hundert Millionen Euro. Sämtliche Branchen und Unternehmensgrößen sollten auf aufsichtsbehördliche Prüfverfahren vorbereitet sein. Insbesondere die Bestellung eines fachlich versierten und unabhängigen Datenschutzbeauftragten erleichtert die Kommunikation mit den Datenschützern. Durch zuverlässige Einbindung des Datenschutzbeauftragten können empfindliche Bußgelder vermieden werden.

Inhalte Verbergen

1 Bußgeld wegen Verstoß gegen den Datenschutz: Rekordstrafe für Amazon am 16. Juli 2021

2 Stationärer Einzelhandel ebenso im Visier

3 Aber auch kleinere Unternehmen stehen im Feuer

4 Online- oder Offline: Datenschützer werden gegen alle Geschäftsmodelle aktiv

5 Allein die Ernennung eines Datenschutzbeauftragten ist kein ausreichender Schutzschild

6 Fazit

User suchten auch nach folgenden Themen

Arbeitsrecht, Corona Blog

Kündigung in der Kurzarbeit

3 Minuten

Nicht erst seit der Corona-Krise stellt sich die Frage, inwieweit ein Arbeitsvertrag während der Kurzarbeit gekündigt werden kann.

Unternehmensmanagement

Einstieg in Social Media – wie beginnen?

6 Minuten

Als Unternehmen ist man heutzutage gezwungen, sich auf Social Media zu präsentieren. Die Massen und vor allem Ihre möglichen Kunden verbringen immer mehr Zeit auf Social Media. Dieser Artikel schildert ihnen alles zum Thema, Einstieg in Social Media - wie beginnen?

Erbrecht

Erbfall im Ausland – das gilt für Nachlassangelegenheiten mit Auslandsbezug

4 Minuten

Ein Erbfall im Ausland oder der Nachlass eines in Deutschland lebenden Ausländers – bei Erbfällen mit Auslandsbezug gibt es häufig besonderen Klärungsbedarf.

Eine Frau schaut verzweifelt. Sie sitzt vor einem Rechner, der von Computerviren befallen ist.

Datenschutz

IT-Sicherheit: BSI warnt vor Einsatz von Kaspersky Virenschutzprodukten

2 Minuten

Die aktuellen Ereignisse haben leider zur Folge, dass die IT-Sicherheit vermehrt durch Schadprogramme und Viren gefährdet wird. Nun hat das BSI eine konkrete Warnung ausgesprochen, die Sie nicht ignorieren sollten.

mitarbeiter-in-der-quarantaene-weiterbezahlen (1)