Berliner Datenschutzbehörde verhängt Rekordbußgelder nach DS-GVO i. H. v. EUR 195.407,00

23.09.2019
3 Minuten Lesezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (LfD Berlin) hat im August dieses Jahres gegen die Delivery Hero Germany GmbH ein Bußgeld in Höhe von insgesamt EUR 195.407,00 festgesetzt. Es handelt sich dabei um das bisher höchste in Deutschland verhängte Bußgeld wegen Datenschutzverstößen.

Was ist der rechtliche Hintergrund der Sanktionsentscheidung?

Mit der verbindlichen Geltung der Datenschutz-Grundverordnung (DS-GVO) seit Mai 2018 können Datenschutzbehörden in der Europäischen Union gegen Unternehmen und Privatpersonen, die gegen bestimmte Bestimmungen der DS-GVO verstoßen (z. B. bei unterbliebener oder verspäteter Antwort auf Löschungsanfragen), unter anderem Geldbußen festsetzen.

Zentrale Bußgeldregelung ist Artikel 83 DS-GVO.

Bei schweren Verstößen ist ein Bußgeld von bis zu EUR 20 Mio. oder (wenn es sich um ein Unternehmen handelt) von bis zu 4 % des im Vorjahr erzielten weltweiten Umsatzes möglich (Artikel 83 Absatz 5 DS-GVO). In Bezug auf Unternehmen gilt, dass der jeweils höhere Betrag (also EUR 20 Mio. oder 4 %) heranzuziehen ist.

Datenschutzbehörden können bei leichteren Verstößen Bußgelder von bis zu EUR 10 Mio. oder bei Unternehmen alternativ bis zu 2 % des gesamten im Vorjahr erzielten weltweiten Umsatzes festsetzen, je nach dem, was höher ist (Artikel 83 Absatz 4 DS-GVO).

Mit den verschärften Sanktionsregelungen sollen Privatpersonen und Unternehmen verstärkt dazu angehalten werden, den Schutz personenbezogener Daten ernst zu nehmen. Dafür sollen die Geldbußen in dem jeweiligen Einzelfall wirksam, verhältnismäßig und abschreckend sein. Spezielle Kriterien, die bei der Verhängung von Geldbußen berücksichtigt werden, sind in Artikel 83 Absatz 2 DS-GVO aufgeführt. Dazu gehören beispielsweise die Art und Schwere, die vorsätzliche oder fahrlässige Begehung des Verstoßes etc. Wie die verschiedenen Kriterien zu gewichten sind, ist bislang nicht festgelegt. Unlängst hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) darauf verständigt, ein neues Konzept zur Berechnung von Bußgeldern zu erarbeiten. Voraussichtlich im November 2019 wird die DSK entschließen, ob und wann dieses Berechnungskonzept veröffentlicht wird.

Es ist davon auszugehen, dass die Datenschutzbehörden künftig härter bei Datenschutzverstößen durchgreifen werden. So hat kürzlich der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Interview mit netzpolitik.org betont, es werde bald in Deutschland Bußgelder „in Millionenhöhe“ geben.

Was ist in dem konkreten Fall geschehen?

Die Delivery Hero GmbH verarbeitete unter anderem im Zusammenhang mit ihren Diensten „Lieferheld“, „Pizza.de“ und „foodora“ in großem Umfang personenbezogene Daten von Kunden.

Es kam zu vielzähligen Beschwerden von Kunden gegenüber der zuständigen Datenaufsichtsbehörde wegen des unzureichenden Umgangs mit personenbezogenen Daten und Betroffenenanfragen. Die Kunden beschwerten sich unter anderem darüber, dass Delivery Hero Anfragen auf Auskunft, Löschung oder Widerspruch nach der DS-GVO nicht ordnungsgemäß nachkam. So wurden Kundenkonten trotz Löschungsbegehren nicht gelöscht; Kunden erhielten Werbe-Mails, obwohl keine Einwilligung bzw. ein Widerspruch der Kunden vorlag; Auskünfte an betroffene Personen wurden nicht bzw. erst nach Aufforderung durch das LfD Berlin erteilt.

Die LfD Berlin stellte bei Delivery Hero grundsätzliche strukturelle Organisationsprobleme fest. Sie verwies insbesondere darauf, dass Delivery Hero über einen langen Zeitraum ihren Pflichten zur Erfüllung von Betroffenenrechten nach der DS-GVO nicht nachkam, obwohl die LfD Berlin ausdrücklich dazu aufgefordert hatte.

Wie kann ich Bußgelder nach der DS-GVO vermeiden?

In der Praxis werden die Aufsichtsbehörden oftmals durch Beschwerden von Privatpersonen (z. B. Kunden, Lieferanten etc.) auf Datenschutzverstöße aufmerksam gemacht. Daher sollten Unternehmen stets rechtzeitig innerhalb der gesetzlichen Fristen auf Betroffenenanfragen reagieren. Auf Anträge von betroffenen Personen nach den Artikeln 15 bis 22 DS-GVO, z. B. Auskunft, Löschung (Recht auf Vergessenwerden), Berichtigung, muss unverzüglich, spätestens innerhalb eines Monats reagiert werden. Unter Umständen ist eine Fristverlängerung möglich.

Alle Unternehmen, die personenbezogene Daten verarbeiten (z. B. Name, Alter, Geschlecht, Anschrift, E-Mail, Telefonnummer, IP-Adresse, Religion, Standortdaten, Fotos, Krankendaten, Augenfarbe, Kontodaten, Ausweisnummer von Kunden, Mitarbeitern, Lieferanten, Patienten etc.), sollten organisatorische Maßnahmen in Bezug auf den Umgang mit Betroffenenanfragen treffen. Dies kann etwa durch ein Datenschutzmanagementsystem erreicht wird, das auch den Umgang mit Betroffenenrechten zum Inhalt hat.

Ist es sinnvoll, mit den Datenschutzbehörden zu kooperieren?

Der vorliegende Fall zeigt, dass es durchaus ratsam ist, mit den Aufsichtsbehörden zusammenzuarbeiten. Eine Kooperation mit dem Ziel, die Vorfälle aufzudecken und die Folgen der Datenschutzverstöße abzuwenden bzw. abzumildern, kann sich bußgeldmindernd auswirken. Die Art und Intensität der Kooperation sollte selbstverständlich wohl überlegt sein.

Als Rechtsanwalt und externer Datenschutzbeauftragter unterstütze ich Sie bei dem Aufbau und der Überwachung eines funktionierenden Datenschutzmanagements sowie bei der Abwehr von Geldbußen und Schadensersatzansprüchen wegen Datenschutzverstößen.

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Dr. Baran Kizil LL.M.

Veröffentlicht von:

Rechtsanwalt Dr. Baran Kizil LL.M.

IT-Recht • Ordnungswidrigkeitenrecht • Wirtschaftsrecht

Arbeitsrecht • Datenschutzrecht • Wettbewerbsrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Dr. Baran Kizil LL.M.

Nach Verkündung der Insolvenz bei der Supermarktkette Real GmbH drohen Entlassungen von Arbeitnehmern

Aufgrund der Insolvenzanmeldung der Supermarktkette Real bangen viele Arbeitnehmerinnen und Arbeitnehmer um ihren Arbeitsplatz. Die ersten Kündigungen sind schon ausgesprochen. Was tun bei einer ... Weiterlesen
Der Autobauer Ford streicht tausende Stellen an den Standorten Köln und Aachen – Kündigung und Abfindung

Aufgrund der Umstellung der Autoproduktion auf die Elektromobilität werden an den Standorten des US-Autobauers Ford in Köln und Aachen tausende Arbeitsplätze wegfallen. Von dem Stellenabbau werden ... Weiterlesen
Weitergabe privater Nachrichten rechtfertigt außerordentliche Kündigung – Urteil des LAG Köln

Mit Urteil vom 02.11.2021 hat sich das Landesarbeitsgericht (LAG) Köln (siehe folgenden Link ) mit der Frage befasst, ob das Lesen und Weitergeben von Privatnachrichten von Kollegen eine ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Dr. Baran Kizil LL.M.

Weitere

Beiträge zum Thema

Berliner Datenschutzbehörde verhängt Rekordbußgelder i. H. v. rund 14,5 Mio. Euro

06.11.2019

Mit einem Bescheid vom 30.10.2019 setzte die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen ... Weiterlesen
Rüge durch Datenschutzbehörde: Bußgeldermittlungen verstoßen gegen Datenschutz!

23.03.2021

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz hat ein Bußgeldverfahren, ... Weiterlesen
Niederländische Datenschutzbehörde: Geldbuße i.H.v. EUR 525.000,00 wegen Adressdaten-Handels

30.03.2020

Kürzlich veröffentlichte die niederländische Datenschutzbehörde ( Autoriteit Persoonsgegevens ) eine Entscheidung ... Weiterlesen