Europäischer Datenschutztag – Neues zu Bußgeldern und Abmahnungen

• 41 Bußgelder wurden bisher von deutschen Datenschutzbehörden verhängt. Zahlreiche weitere Bußgeldverfahren laufen.
• Mit 50 Millionen Euro Bußgeld droht Google das bislang höchste Bußgeld wegen DSGVO-Verstößen.
• Gerichte sehen die Abmahnfähigkeit von Datenschutzverstößen weiter unterschiedlich.

27.000 Beschwerden bei deutschen Datenschutzbehörden, ein Rekordbußgeld von 50 Millionen Euro Bußgeld für Google und das noch unklare Abmahnrisiko wegen Datenschutzverstößen. Das sind nur einige Folgen der Datenschutzgrundverordnung. Ein Überblick zum Europäischen Datenschutztag, der acht Monate nach Geltung der DSGVO ganz in deren Zeichen steht.

Bußgelder 

41 Bußgelder haben deutsche Datenschutzbehörden bislang wegen DSGVO-Verstößen verhängt. Weitaus mehr Bußgeldverfahren laufen noch in den einzelnen Bundesländern. Bislang sind nur einige davon bekannt geworden. Der neue Bundesdatenschutzbeauftragte Ulrich Kelber will, dass Bußgelder künftig stärker bekannt gemacht werden.

Mangelnde Datensicherheit

20.000 Euro Bußgeld musste die Chat-Seite Knuddels infolge eines Hackerangriffs zahlen. Passwörter und E-Mail-Adressen von Nutzern wurden darauf im Internet veröffentlicht. Hauptproblem: Der Betreiber von Knuddels hatte die Passwörter unverschlüsselt gespeichert und somit gegen Sicherheitsanforderungen der DSGVO verstoßen.

Das Bußgeld fiel dennoch milde aus, denn laut der baden-württembergischen Datenschutzbehörde habe das Portal gut mit ihr zusammengearbeitet und seine Sicherheitsmaßnahmen verstärkt. Dennoch kommen zum Bußgeld Kosten für die Nachbesserung und Einbußen durch den Imageverlust dazu.

Keine Auftragsverarbeitung vereinbart

Wegen einer nicht vereinbarten Auftragsverarbeitung soll ein Hamburger Unternehmen 5000 Euro Bußgeld zahlen. Das Unternehmen weigerte sich, selbst für eine Vereinbarung mit einem von ihm beauftragten Postdienstleister zu sorgen. Dieser sah sich dazu nicht in der Lage. Laut Hamburger Datenschutzbehörde sind Auftraggeber dazu verpflichtet, für eine Auftragsverarbeitung zu sorgen. Erst dann dürfen sie personenbezogene Daten zur Erfüllung des Auftrags übermitteln. Das betroffene Unternehmen hat Widerspruch gegen den Bußgeldbescheid eingelegt. Update 11.04.2019: Die Datenschutzbehörde hat den Bußgeldbescheid zurückgenommen, nachdem das Unternehmen mit einem Anwalt dagegen vorgegangen ist.

Die DSGVO schreibt einen Auftragsverarbeitungsvertrag vor, wenn Dritte außerhalb ihres Unternehmens mit der Datenverarbeitung personenbezogener Daten beauftragt werden. Der Vertrag soll die Einhaltung des Datenschutzes bei der ausgelagerte Datenverarbeitung garantieren. Auftragsverarbeitung liegt beispielsweise vor

• beim Outsourcen personenbezogener Datenverarbeitung an Cloud-Anbieter, z. B. für E-Mail-Dienste, Newsletterversand oder Backup-Lösungen,
• bei der Nutzung von Google Analytics,
• bei der Verarbeitung von Adressen, z. B. durch Werbemittelversender,
• bei der Datenträgerentsorgung durch Dienstleister.

Allgemein spricht für eine Auftragsverarbeitung, wenn

• der Auftragnehmer auf personenbezogene Daten zugreifen kann,
• über deren Verwendung nicht frei entscheiden kann und
• gegenüber dem Auftraggeber weisungsgebunden ist.

Keine Rechtsgrundlage

Mit 50 Millionen Euro soll Google das bislang höchste nach der DSGVO verhängte Bußgeld zahlen. Frankreichs nationale Datenschutzbehörde wirft Google mangelnde Transparenz beim Umgang mit Nutzerdaten vor. Außerdem nutze Google Daten für persönlich angepasste Werbung ohne ausreichende Rechtsgrundlage. Google sieht das anders und hat gegen das Rekordbußgeld Berufung eingelegt.

Auslöser waren Ende Mai 2018 eingereichte Beschwerden der Nichtregierungsorganisationen None Of Your Business (NOYB) und La Quadrature du Net (LQDN). Im Januar hat NOYB Beschwerden gegen acht Streaming-Anbieter eingereicht. Keiner von ihnen habe eine der DSGVO entsprechende Auskunft über Nutzerdaten gegeben. Die Organisation rechnet mit noch höheren Bußgeldern. Die DSGVO ermöglicht Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes gegenüber Unternehmen, je nachdem welcher Betrag höher ist.

Zuvor galt ein Bußgeld von 400.000 Euro für ein portugiesisches Krankenhaus als höchstes bisher nach der DSGVO verhängtes Bußgeld. Dort sollen zu viele Personen Zugriff auf Gesundheitsdaten gehabt haben, die laut DSGVO besonders zu schützen sind.

Abmahnfähigkeit von Wettbewerbsverstößen

Massenabmahnungen wegen DSGVO-Verstößen waren neben Bußgeldern eine der Hauptsorgen von Unternehmern. Bisher blieb die Abmahnwelle aus. Es fehlt insbesondere eine einheitliche Linie der Gerichte, ob Abmahnungen überhaupt zulässig sind. Vom Tisch ist das Thema Abmahnung wegen Verletzungen der DSGVO deshalb noch nicht.

Gerichte uneins

Zuletzt hatte das Landgericht Magdeburg Mitte Januar 2019 die Unterlassungsklage eines Apothekers abgewiesen. Dieser hatte einen konkurrierenden Apotheker abgemahnt, weil dieser apothekenpflichtige, aber rezeptfreie Medikamente über Amazon verkaufte. Unter anderem verstieße das gegen die DSGVO (Urteil v. 18.01.2019, Az.: 36 O 48/18).

Denn Amazon speichere Kundendaten und gebe diese an Dritte weiter. Die Daten hätten jedoch einen Gesundheitsbezug, für deren Verarbeitung die DSGVO eine ausdrückliche Einwilligung verlangt. An dieser fehle es im konkreten Fall. Das Landgericht Magdeburg verneinte bereits eine Klagebefugnis des Wettbewerbers. Die DSGVO regle selbst umfassend die Durchsetzung der Datenschutzrechte. Behörden, Betroffene und Verbraucherschutz- und Wettbewerbsverbände könnten diese verfolgen. Deshalb sei es nicht erforderlich, dass auch noch Wettbewerber untereinander die Einhaltung der DSGVO durchsetzen. Auch die Landgerichte Bochum und Wiesbaden lehnten die Abmahnfähigkeit von DSGVO-Verstößen ab.

Keine Entwarnung

Das Landgericht Dessau sah das in einem ähnlichen Fall des Verkaufs von Medikamenten über Amazon – allerdings noch vor Geltung der DSGVO – anders (Urteil v. 28.03.2018, Az.: 3 O 29/17). Auch das Landgericht Würzburg und das Oberlandesgericht Hamburg haben entschieden, dass DSGVO-Verstöße abmahnbar sind. Letzteres unterscheidet danach, ob der Gegner durch den Datenschutzverstoß Vorteile erlangt oder nicht.

Eine vollständige Entwarnung kann es deshalb noch nicht geben. Es wird sich erst durch weitere Entscheidungen höherer Instanzen zeigen, ob sich Wettbewerber wegen DSGVO-Verstößen untereinander abmahnen können.

(GUE)