DSGVO Verstöße und deren Bußgelder
Datenschutzbestimmungen, wie in der Datenschutzgrundverordnung (DSGVO) beschrieben, müssen eingehalten werden. Geschieht dies nicht, so müssen Unternehmen mit Bußgeldern rechnen – und die haben es in sich!
Die häufigsten Fehler
Die am häufigsten gemeldeten Datenschutzverstöße 2019 waren
- Postfehlversand,
- Hackingangriffe/Malware/Trojaner,
- E-Mail-Fehlversand,
- Diebstahl eines Datenträgers,
- Versendung einer E-Mail mit offenem Adressverteiler,
- Verlust eines Datenträgers sowie
- Fax-Fehlversand.
Aufgrund fehlerhaften Umgangs mit Daten wurden in 2019 von der Bußgeldstelle des Datenschutzbeauftragten Bußgelder in Höhe von 207.140 Euro verhängt. Die höchsten Geldbußen waren nach eigenen Angaben zwei Bußgeldbescheide in Höhe von jeweils 80.000 Euro – in beiden Fällen handelte es sich um Datenpannen: In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht. In einem weiteren Fall hatte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß entsorgt. Der unsachgemäße Umgang mit personenbezogenen Daten stellt also ein erhebliches Problem dar.
Für die unter Art. 83 Abs. 5 DSGVO aufgelisteten, gravierenden DSGVO-Verstöße wird ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr eines Unternehmens fällig, abhängig davon, welcher Wert der höhere ist.
Auch die weniger gravierenden DSGVO-Verstöße, welche unter Art. 83 Abs. 4 aufgelistet sind, werden mit bis zu 10 Millionen Euro oder, wenn es sich um ein Unternehmen handelt, bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr eines Unternehmens sanktioniert.
Aktuelle und Bußgeldverhängungen
Ein Verstoß gegen die DSGVO stellt auch das Überwachen von Mitarbeitenden dar. Aufgrund dessen hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Oktober 2020 einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. In einem Service Center in Nürnberg wurden personenbezogene Daten von Mitarbeiter:innen (u.A. Krankheitssymptome und Diagnosen, persönliche Urlaubserlebnisse, familiäre Probleme und religiöse Bekenntnisse) in Mitarbeiter-, Einzel- und Flurgesprächen angeeignet und daraufhin digital erfasst, um eine Art Profil für die Mitarbeitenden anzulegen. Mehr dazu in der Pressemitteilung: https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
Unter https://www.enforcementtracker.com/ finden Sie eine Auflistung von Bußgeldern, welche bisher von den europäischen Aufsichtsbehörden verhängt wurden. (Die Liste beinhaltet lediglich erteilte Bußgelder, welche öffentlich gemacht wurden und z.B. durch die Medien gegangen sind. Die Liste wird andauernd aktualisiert.)
Wie verhalte ich mich im Falle einer Datenschutzverletzung?
Wenn Ihnen ein Verstoß gegen die DSGVO bekannt ist oder sie einen Verstoß vermuten, so sollten Sie sich beim Datenschutzbeauftragten des jeweiligen Unternehmens oder dem zuständigen Landesbeauftragten für Datenschutz melden. Schnelles Handeln ist in diesem Fall entscheidend, da die DSGVO vorschreibt, dass eine Datenschutzverletzung innerhalb von 72 Stunden gemeldet werden muss.
Um Datenschutzverletzungen einen Schritt voraus zu sein, empfehlen wir Unternehmen ihre Mitarbeitenden auf solche Situationen vorzubereiten. Das können Sie beispielsweise mit unserem Datenschutz-Audit.