#3 Strafen

Strafen

Heut wollen wir uns mal dem Thema „Strafen“ widmen denn wir glauben, dass viele gar nicht wissen welche Folgen es hat wenn der Datenschutz nicht eingehalten wird.

Solche Kosten sind wirklich unnötig für Unternehmen, Vereine, Freiberufler und sonstige am wirtschaftskreislauf Gebundene. Zumal man sich in kurzer Zeit in einen wirtschaftlichen Totalschaden fahren kann.

Es gibt eine Reihe von Auflagen die durch die DSGVO oder dem BDSG umzusetzen sind. Hier muss völlig individuell geprüft werden, was umzusetzen ist. Wie schon der Anwalt sagt: Es kommt darauf an! Sich aber gar nicht mit der Thematik zu beschäftigen, es halbherzig auszuführen oder gar „Copy and Paste“ zu betreiben kann sehr schnell nach hinten losgehen. Außerdem führt dies zu einem schlechten Bild bei Ihren Kunden als auch Mitarbeitern. Professionalität strahlt man eben nicht nur mit oberflächlicher Werbung, schöner Einrichtung und einem Internetauftritt aus, sondern mit der Einhaltung von Regeln, geordneten Abläufen und ein vernünftiges (Management-) System. Informieren Sie sich welche gesetzlichen Vorgaben Sie umsetzen müssen denn Unwissenheit schützt nicht vor Strafe!

Wer kann Sie angreifen?

Prinzipiell wäre hier zu antworten, dass es beinahe jeder kann der sich ein bisschen damit auskennt. Vor allem sind es wohl böswillige Kunden, (Ex-)Mitarbeiter oder die Konkurrenz. In der Vergangenheit haben sich aber auch darauf spezialisierte Abmahnanwälte etabliert. Diese durchleuchten natürlich erstmal Ihre Webseite und was man sonst noch so über Sie bzw. Ihr Unternehmen findet. Vielleicht finden Sie sogar den Kontakt zu Ihren Mitarbeitern und holen sich dort ein paar wichtige Informationen. Hierbei müssen wir Ihnen nahelegen, dass die Schulungen Ihrer Mitarbeiter nicht nur gesetzlich vorgeschrieben sind, sondern auch einen hohen Stellenwert haben, um sich vor Angriffen von außen zu schützen. Ihre Mitarbeiter tragen nämlich zu einem hohen Maße beim Datenschutz bei.

Selbstverständlich gibt es nicht nur die „schwarzen Schafe“ weil viel Unternehmen noch nicht wach geworden sind und noch immer persönliche Daten verarbeiten ohne den Datenschutz zu beachten. Bitte denken Sie mal an Ihr Kontaktfeld auf der Webseite. Ist dieser Datenschutzkonform? Vielleicht informieren Sie ihre Kunden mit einem Newsletter. Kann der Kunde jederzeit mit einem Klick den Newsletter beenden?

Aber auch die Datenschutzbehörde schaut sich im Internet um und konzentriert sich nicht mehr nur auf die großen Unternehmen! In den vergangenen zwei Jahren haben die Datenschutzbehörden massiv ihr Personal verstärkt.

Unwissenheit schützt nicht vor Strafe

Welche Strafen erwarten Sie?

Der Bußgeldkatalog der DSGVO sieht Geldbußen von bis zu 20 Millionen Euro vor (Art. 83 DSGVO). Die Aufsichtsbehörde darf aber auch Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres als Geldbuße verhängen. Der höhere Wert wird festgesetzt und das tut jedem weh. Wie hoch das Bußgeld ist wird vom Landesbeauftragten für Datenschutz im Einzelfall entschieden.

Im Artikel 82 der DSGVO wird der Schadensersatz beschrieben und dann vom jeweiligen Gericht festgelegt.

Wann droht eine Strafe?

Verstoßen Unternehmen gegen die Datenschutzgrundverordnung weil sie personenbezogene Daten nicht nach DSGVO-Vorgaben verarbeiten, drohen empfindliche Bußgelder. Solche drohen wenn:

-Keine oder eine fehlerhafte Datenschutzerklärung auf der Webseite eingebunden ist (Copy and Paste!)

-Personenbezogene Daten über Kontaktformulare unverschlüsselt übertragen werden (https)

-Kein Datenschutzbeauftragter benannt wurde, obwohl man verpflichtet ist (ab 20MA)

-Eine Datenschutzverletzung vertuscht wurde

-Daten erfasst werden ohne dass der Betroffene eingewilligt hat (Bsp. Cookie-Hinweis wenn man seine Nutzer durch GoogleAnalytics trackt).

Die Behörde prüft dann

-Art, Schwere und Dauer des Verstoßes

-Vorsatz oder Fahrlässigkeit

-Grad der Verantwortung durch technische und organisatorische Maßnahmen

-lagen frühere Verstöße gegen Datenschutzrecht vor

-Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde

-Kategorien der durch den Verstoß betroffenen Daten

-Art und Weise, wie der Verstoß bekannt geworden ist (vor allem Selbstanzeige)

und legt das Bußgeld fest.

Vergangene Bußgelder

35 Millionen H&M

Mit der Überwachung von hunderten Mitarbeiterinnen und Mitarbeitern des Servicecenters in Nürnberg hat der Konzern gegen den Datenschutz verstoßen. Nach Urlaubs- und Krankheitsabwesenheiten hätten Vorgesetzte einen „Welcome Back Talk“ geführt und anschließend in etlichen Fällen nicht nur konkrete Urlaubserlebnisse, sondern auch Krankheitssymptome und Diagnosen dokumentiert. Somit eine Art Profiling betrieben. Einige Vorgesetzte hätten sich auch „über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden angeeignet, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte“, hieß es. Als Strafe wurden 35 Millionen gesetzt. H&M hat dem mittlerweile eingewilligt und geht in keine Berufung.

5.000€ immaterieller Schadenersatz – Düsseldorf

In diesem Fall wurde nicht rechtzeitig auf das Auskunftsrecht eines Mitarbeiters reagiert und somit hat man im März 2020 ( 9ca6557/18) entschieden, dass das Unternehmen 5000€ an den betroffenen Mitarbeiter zahlen muss. Betroffenenrechte hat jeder Unternehmer wahrzunehmen wenn diese ein verlangt werden.  Im besten Fall beschreibt man sogar den Prozess im Handbuch.

1.000€ immaterieller Schadensersatz – Darmstadt

Hierbei wurde einem Bewerber 1000€ zugesprochen weil eine E-Mail mit empfindlichen Bewerberdaten (Gehaltsvorstellung etc.), irrtümlicherweise an einem Dritten versendet wurde.

Unsere Empfehlung für diesen Blog

Sich in finanzielle Schräglage durch Bußgelder wegen eines fehlenden Datenschutzes zu führen, ist kein unternehmerisches Risiko sondern absolute Wagnis. Schützen Sie Sich und stellen Sie sich konform dem Datenschutzrecht auf.

Gern unterstützen wir Sie dabei und schauen uns in einem Datenschutzaudit die vorhandenen Prozesse an und weisen auf, welche Lücken noch geschlossen werden müssen. Wir stehen Ihnen als externer Datenschutzbeauftragter gern zur Seite!