Bußgeld wegen Verstoß gegen den Datenschutz betrifft auch kleine Unternehmen

Datenschutzverstöße führen zu empfindlichen Bußgeldern, verhängt durch die jeweils zuständige Aufsichtsbehörde.

Durchschnittliche Lesezeit: 4 Minuten

Ein Bildschirm mit dem Wort Bußgeld – Bußgeld wegen Verstoß gegen den Datenschutz kann teuer werden.

Das mussten im letzten Jahr nicht nur die „Großen“ lernen, auch kleinere und mittelständische Unternehmen geraten hier immer mehr in den Fokus. Das Thema Bußgeld wegen Verstoß gegen den Datenschutz geht also längst nicht mehr nur große Konzerne an.

Unsere Datenschutzexperten geben einen kurzen Überblick über die aktuellen Entwicklungen auf dem Schlachtfeld der datenschutzrechtlichen Bußgelder. Wir erklären die Hintergründe nach der Datenschutzgrundverordnung (DSGVO).

Bußgeld wegen Verstoß gegen den Datenschutz: Rekordstrafe für Amazon

Angefangen ganz oben. Der Onlinehandel-Gigant Amazon wurde im Sommer dieses Jahres mit einem Bußgeld von 888 Millionen US-Dollar scharf sanktioniert. Die luxemburgische Aufsichtsbehörde monierte massive Mängel in der Datenschutzpraxis des Konzernriesens, ohne einzelne Verstöße publik zu machen. Nach Medienberichten stand hier vor allem das Amazon Online Targeting in Beschuss, das Grundlage für personalisierte Werbung darstellt. Das Bußgeld beruht laut „Bloomberg“ auf einer Beschwerde der französischen Bürgerrechtsorganisation „Le Quadrature du Net“ aus dem Jahr 2018 – eingereicht direkt nach Inkrafttreten der DSGVO.

Stationärer Einzelhandel ebenso im Visier

Ein weiteres Beispiel für die Gefahr „Bußgeld“ betraf im Jahr 2021 den stationären Einzelhandel. Um unliebsame Besucher auszusortieren, installierte die spanische Supermarktkette MERCADONA, S.A eine Gesichtserkennungssoftware in ihren Märkten. Diese sollte Kunden erkennen, gegen die ein Verfahren anhängig ist. Aber auch Mitarbeiter und brave Interessenten wurden dabei natürlich aufgenommen. Klarer Verstoß gegen den Grundsatz der Datenminimierung, statuierte die spanische Aufsichtsbehörde und verhängte ein Bußgeld in Höhe von 2,5 Millionen Euro. Betroffene hätten über die Datenverarbeitung gemäß Art. 13 DSGVO informiert werden müssen, eine Datenschutzfolgenabschätzung im Sinne von Art. 35 DSGVO wäre erforderlich gewesen.

Aber auch kleinere Unternehmen stehen im Feuer

Unangekündigte Kontrollen der Datenschutzbehörden sind auch in der Bundesrepublik Deutschland keine Seltenheit – und können auch für kleinere Unternehmen erhebliche Folgen haben. So weigerte sich ein deutscher Mittelständler, die bayrischen Datenschützer in die Geschäftsräume zu lassen. Ein Zugang zu Datenverarbeitungsanlagen wurde schlicht verweigert. Das Bayerische Landesamt für Datenschutzaufsicht verhängte daraufhin ein Bußgeld in Höhe von 20.000,00 Euro. Nach Beschwerde durch das Unternehmen wurde es reduziert auf 7.000,00 Euro. Diese waren dann aber zu zahlen – einer schlechten Vorbereitung geschuldet.

Online- oder Offline: Datenschützer werden gegen alle Geschäftsmodelle aktiv

Auch aus dem deutschen e-Commerce gibt es einige alarmierende Fälle zu berichten. So trat die niedersächsische Datenschutzbehörde gegen einen Web-Shop-Anbieter auf den Plan. Dieser verwendete eine veraltete Version der Web-Shop-Anwendung xt:Commerce (Version 3.0.4 SP2.1). Die Anwendung wird bereits seit dem Jahr 2014 nicht mehr mit Sicherheitsupdates ausgestattet. Klarer Datenschutz-Fauxpas: Es bestand die begründete Gefahr, dass Passwort-Hashes ausgelesen werden können (eine Salt-Verschlüsselung fehlte). Webseitenbetreiber sind wie alle Unternehmer verpflichtet, technische und organisatorische Maßnahmen zu implementieren, um ein hinreichendes Schutzniveau für die Daten Betroffener zu gewährleisten. Maßstab ist der Stand der Technik. Seine Unachtsamkeit kostete den Webshop-Betreiber 65.500,00 Euro.

Allein die Ernennung eines Datenschutzbeauftragten ist kein ausreichender Schutzschild

Dass es auch nicht ausreicht, irgendeinen Datenschutzbeauftragten zu benennen, zeigt ein weiteres Beispiel aus dem laufenden Geschäftsjahr. 15.000,00 Euro kostete es ein luxemburgisches Unternehmen, den internen Datenschutzbeauftragten weder hinreichend auszubilden, noch in die relevanten Datenprozesse einzubinden. Die luxemburgische Aufsichtsbehörde stellte für alle europäischen Unternehmen klar, dass an Ausbildungsstand und Tätigkeit des Datenschutzbeauftragten hohe Anforderungen zu stellen sind. Insbesondere auch seine fehlende Unabhängigkeit wurde hier moniert. Datenschutzrelevante Berichte seinerseits wurden vor der Freigabe mit dem Verwaltungs- und Finanzdirektor besprochen. Die Aufgabe des Datenschutzbeauftragten stellte zudem nur eine Nebentätigkeit dar. Das reicht nicht aus, um die Pflicht zur Bestellung eines hinreichend informierten, unabhängigen Datenschutzbeauftragten zu erfüllen.

Fazit

Das waren nur wenige Beispiele für die Flut an Bußgeldern, die im Jahr 2021 bisher in der Europäischen Union verhängt wurden. Sie zeigen eins auf: Sämtliche Verantwortliche sollten unabhängig von der Unternehmensgröße vor einer Prüfung durch die Datenschutzbehörden gefeit sein. Derartige Prüfungen werden häufig durch die Beschwerden von Kunden und Mitbewerbern ausgelöst und sind im freien Markt für alle Geschäftsmodelle an der Tagesordnung. Jedem Unternehmer muss bewusst sein, dass hier bei gravierenden Verstößen gegen den Datenschutz eklatante Strafen von bis zu 4% des im letzten Jahr erzielten weltweiten Jahresumsatzes drohen (Art. 83 Abs. 5 DSGVO). Mit einem professionellen Datenschutzbeauftragten und dessen konsequenter Einbindung in sämtliche Geschäftsprozesse lassen sich Risiken minimieren und aufsichtsbehördliche Anfragen zielsicher abfangen.

Gut zu wissen!

Datenschutzverstöße werden auch im Jahr 2021 streng sanktioniert. Die Bußgelder erstrecken sich bis in den Bereich mehrerer hundert Millionen Euro. Sämtliche Branchen und Unternehmensgrößen sollten auf aufsichtsbehördliche Prüfverfahren vorbereitet sein. Insbesondere die Bestellung eines fachlich versierten und unabhängigen Datenschutzbeauftragten erleichtert die Kommunikation mit den Datenschützern. Durch zuverlässige Einbindung des Datenschutzbeauftragten können empfindliche Bußgelder vermieden werden.

Datenschutzerklärung Online-Shop

Inhalte Verbergen

1 Bußgeld wegen Verstoß gegen den Datenschutz: Rekordstrafe für Amazon

2 Stationärer Einzelhandel ebenso im Visier

3 Aber auch kleinere Unternehmen stehen im Feuer

4 Online- oder Offline: Datenschützer werden gegen alle Geschäftsmodelle aktiv

5 Allein die Ernennung eines Datenschutzbeauftragten ist kein ausreichender Schutzschild

6 Fazit

Unsere Top-Vorlagen zum Thema

Datenschutzvereinbarung Home-Office

Das große Datenschutz-Paket

Bestellung Datenschutzbeauftragter

Checkliste Datenschutz Home-Office

User suchten auch nach folgenden Themen

Erbrecht

Vorsicht bei diesen Formulierungen im Testament

5 Minuten

Beim Testament kommt es nicht nur auf die richtige Form an. Auch auf die genaue Formulierung des letzten Willens kommt es an. Wichtig ist es vor allem, dass der Erblasser sich unmissverständlich ausdrückt.

Vorsorge

Wer braucht eine Betreuungsverfügung?

4 Minuten

Es gibt leider viele Ursachen, die dazu führen können, dass ein Mensch plötzlich betreuungsbedürftig wird. Ein Unfall oder eine schwere Erkrankung – von einem Augenblick auf den nächsten kann jeder von uns in eine Lage geraten, in der er selbst nicht mehr handeln kann.

Ein Erbe tippt auf einen Taschenrechner. Er macht für den verstorbenen Erblasser eine Steuererklärung nach dem Tod.

Erbrecht

Steuererklärung nach dem Tod – das müssen Erben beachten!

3 Minuten

Im Jahr 2022 sind rund 1,06 Millionen Menschen in Deutschland verstorben. Dabei werden nicht nur trauernde Angehörige hinterlassen, sondern auch unerledigte Angelegenheiten, wie zum Beispiel die letzte Steuererklärung.

Ein Maler und Lackierer mit verschmutzter Arbeitskleidung. Wer ist für die Reinigung der Arbeitskleidung zuständig.

Arbeitsrecht

Reinigung der Arbeitskleidung – wer trägt die Kosten?

3 Minuten

Besondere Berufs- oder auch Schutzkleidung gehört in vielen Branchen zum Alltag. Es versteht sich von selbst, dass dabei eine regelmäßige Reinigung der Arbeitskleidung unabdingbar ist.

Ein Mann schaut schockiert auf den Bildschirm seines Laptops. Er hat soeben eine erhöhte Drittanbieterrechnung erhalten.

Datenschutz

Forderung eines Drittanbieters auf der Handyrechnung

2 Minuten

Wenn auf der Abrechnung eines Mobilfunkanbieters plötzlich Forderungen von Drittanbietern auftauchen, stellt sich die Frage, an wen man sich wenden muss, wenn man Einwände hat. Nicht selten verweist der eigene Anbieter den Drittanbieter. Zu Recht?

Jetzt anfordern und 5 eur gutschein sichern!*

Der kostenlose Formblitz-Newsletter