Erste Bußgelder: Die DSGVO zeigt ihre Zähne
Fazit nach einem Jahr Datenschutz-Grundverordnung
Gemessen an dem fast schon hysterischen Hype zur DSGVO, der im Mai 2018 seinen Höhepunkt hatte, ist es um die DSGVO wieder ruhiger geworden. Aber wer jetzt meint „alles halb so wild“ liegt damit falsch. Im Januar 2019 hat die Europäische Union einen ersten Statusbericht in Form einer Infografik geliefert.
Sie zeigt, dass europaweit schon mehr als 40.000 Fälle gemeldet wurden, bei denen Daten abgeflossen, unbeabsichtigt veröffentlicht oder gehackt wurden. Solche Datenverluste sind nach DSGVO meldepflichtig. Die Anzahl der allgemeinen Beschwerden aufgrund der DSGVO liegen in Europa bis Anfang 2019 bei über 90.000.
Bußgelder sind dagegen bisher nur recht wenige verhängt worden. Anfang September 2018 wurde bekannt, dass die Login-Daten von knapp 1,9 Mio. Accounts der Plattform Knuddels gestohlen wurden. Der Anbieter hatte die E-Mail-Adressen und Passwörter im Klartext gespeichert. Er hatte zwar schon 2012 auf gehashte Passwörter umgestellt, die alten aber nicht gelöscht.
Da die Betreiber der Plattform vollumfänglich mit dem Datenschutzbeauftragten zusammengearbeitet und umfangreiche Sicherheitsvorkehrungen getroffen haben, sind sie mit einem Bußgeld von 20.000 Euro davongekommen. Die IT-Anpassungen haben aber Kosten im sechsstelligen Bereich verursacht.
Google muss in Frankreich aufgrund von Verstößen gegen die DSGVO 50 Mio. Euro Strafe zahlen. Der Internet-Konzern hat Android-Nutzerinformationen zur Datenverarbeitung über zahlreiche Dokumente verstreut. Für User ist es dadurch sehr schwer, sich einen kompletten Überblick zu verschaffen.
In Österreich hatte ein Wettbüro mit einer Videokamera seinen Eingangsbereich, aber leider auch einen beträchtlichen Teil des öffentlichen Raums mit einer Kamera beobachtet und damit überwacht. Das ist nicht erlaubt und hat zu einem Bußgeld von 4.800 Euro plus Verfahrenskosten (insgesamt ca. 5800 Euro) geführt.
Im Februar musste ein Privatmann für das wiederholte Verschicken von E-Mails mit offenen Verteilern – bei denen also alle Empfänger die E-Mail-Adressen aller anderen Empfänger sehen konnten – mit einer Zahlung von knapp 2.630 Euro begleichen. Der als „Behördentroll“ bekannt gewordene Mann hat die Strafe schon gezahlt.
Gerade der letzte Fall ist auch für Arbeitnehmer und Freelancer von Belang. Wer personenbezogene Daten von Dritten (hier die E-Mail-Adresse, die oft auch den vollständigen Namen enthält) veröffentlicht oder ungefragt weitergibt, verstößt gegen die DSGVO. Das ist natürlich unstrittig. Interessant ist, dass die Behörden das auch verfolgen und sanktionieren.
- GULP ist seit über 20 Jahren ein führendes Projektportal sowie Personalagentur.
- Mit einem GULP Profil präsentieren Sie sich zahlreichen potentiellen Auftraggeber:innen.
- Sie können auch selbst aus einer Vielzahl von Projekten wählen und sich bewerben.
Das ist aber lange noch nicht alles. Wie eine interessante Umfrage unter Datenschutzbeauftragten im Handelsblatt zeigt, sind viele Bußgeldverfahren schon eingeleitet oder noch anhängig und dürften bald zu neuen Bußgeldern führen. Die Anzahl der Anfragen und Beschwerden wegen der DSGVO sind teilweise auf das Doppelte und Dreifache gestiegen und setzen die Behörden unter gehörige Arbeitslast. Gerade Vereine und kleine Unternehmen, die sich Rechtsanwälte nicht leisten können oder wollen, haben viele Fragen.
Scheinbar hat das Thema „DSGVO“ viele Unternehmen erst wachgerüttelt, die auch schon vorher gegen geltende Datenschutzregeln verstoßen haben. Der Hamburger Datenschützer Caspar vermutet außerdem, „dass in vielen Bereichen ein hoher Nichtbefolgungsgrad der Datenschutzregelungen existieren dürfte.“
Als Freelancer kann man sich hier in eine gute Position manövrieren und seine Auftraggeber bei Datenschutzfragen beraten und auf offensichtlichen Handlungsbedarf hinweisen.
Immerhin nehmen viele Unternehmen die Pflicht sehr ernst, Datenschutzpannen den Behörden melden zu müssen. Dies hat laut der Sprecherin der Berliner Datenschutzbehörde zu einer Verzwölffachung der Meldungen im Vergleich zu 2017 geführt.
Für Entwickler von Apps für Smartphones und Tablets – und damit auch für viele Freelancer in diesem Bereich – gilt wegen der DSGVO auch, dass Apps die Kontaktdaten des Herstellers enthalten müssen, über die eine rechtssichere Kommunikation möglich ist (E-Mail reicht da nicht), und einfach verständliche und vollumfängliche Erklärungen zu enthalten haben, welche User-Daten die App erhebt und der Anbieter verarbeitet. Auch bei Apps gilt das Prinzip der Datensparsamkeit und „Privacy by Design“.
Wie der Testlauf eines Datenschutzscanners des Instituts für Angewandte Informatik der Quadriga Hochschule Berlin gezeigt hat, gibt es bei Apps noch enormen Nachholbedarf. Vielfach fehlt eine Datenschutzerklärung oder ist nur auf Englisch vorhanden. Die Angabe der Kontaktdaten ist mangelhaft oder aber es werden widerrechtlich Gerätekennungen erhoben und verarbeitet, obwohl dies nicht nötig ist. Hier sollten Freelancer ihre Auftraggeber aufklären, was Nachlässigkeiten an dieser Stelle für Folgen haben kann.
Aktuelle Fälle zeigen: Die DSGVO und die Anwendung der Datenschutzbehörden wird sich nicht auf „die Großen der Szene“ wie Google und Facebook beschränken. Es kann letztlich jeden treffen, der sich nicht an die Gesetze hält, sogar Privatleute. Als Partner seiner Auftraggeber müssen Freelancer dabei auch die Rolle des DSGVO-Beraters einnehmen und dafür sorgen, dass die Entwicklung von Apps und Dienstleistungen DSGVO-konform abläuft, um Bußgelder zu vermeiden.
Auch wenn die Anzahl an verhängten Strafen noch gering ist, sollte man nicht darauf hoffen, unterm Radar fliegen zu können. Sollte es dennoch zu einem Vorfall kommen, wirkt sich eine intensive Zusammenarbeit mit den Behörden meist positiv und bußgeldhemmend aus.
Lesermeinungen zum Artikel
Es wurden noch keine Bewertung abgegeben.