Sie sind Anwalt?
Herr Rechtsanwalt Matthias Draheim

Veröffentlicht von:

Rechtsanwalt Matthias Draheim
Zum Profil

Strafzahlungen durch mangelnde Umsetzung der DSGVO

  • 3 Minuten Lesezeit

Anfang dieses Jahres sahen sich viele Unternehmen mit den Anforderungen der neuen Datenschutzgrundverordnung (DSGVO) konfrontiert.

Bei meiner Arbeit musste ich feststellen, dass sich auch sechs Monate später in vielen Betrieben, Vereinen, Stiftungen, u. a. Datenschutz-Baustellen finden.

Dies nicht nur im digitalen, sondern auch im anlogen Bereich. Beispielhaft seien nur einmal mangelnde Sicherheitskonzepte bei Besucherverkehr genannt.

Aber regelmäßig sind die größeren Probleme im digitalen Bereich zu finden. Noch beinahe wöchentlich weisen wir unsere Mandanten im Rahmen des Audits (u. a. Auslesen des Quellcodes), bei der Erstellung der Datenschutzerklärung für Webseiten, auf die Notwendigkeit von SSL-Verschlüsselung hin, welche nach Art. 32 Abs. 1 DSGVO als Stand der Technik vorgeschrieben ist. Selbiges gilt für den sog. Cookie-Banner.

Solche Verstöße gegen Art. 32 DSGVO wurden nunmehr mit Bußgeldern bestraft.

Wie wichtig die Implementierung von Datenschutzsystem sind, zeigt ein aktueller Fall aus Baden-Württemberg:

Ein Social Media-Anbieter hatte eine Datenpanne im eigenen Unternehmen gemeldet, nachdem bemerkt wurde, dass bei einem Hackerangriff ca. 330.000 personenbezogene Namen entwedet und veröffentlicht worden waren.

Dabei wurde dem LfDI (Landesbeauftragter für Datenschutz und die Informationsfreiheit) bekannt, dass das Unternehmen die Passwörter der Nutzer im Klartext, also unverschlüsselt und unverfremdet gespeichert hatte.

Dies stellt einen Verstoß gegen Art. 32 Abs. 1 DSGVO – die Datensicherung nach dem aktuellen Stand der Technik – dar.

Die Folge: 20.000 € Strafe.

(Quelle: https://rsw.beck.de/aktuell/meldung/lfdi-baden-wuerttemberg-bussgeld-fuer-social-media-anbieter).

Noch schlimmer erging es einem Krankenhaus in Portugal. Die Verantwortlichen hatten bewusst dafür gesorgt, dass Nutzer mit dem Profil „Techniker“ in den IT-System auf Daten zugreifen konnten, die eigentlich nur für Ärzte einsehbar sein sollten.

Darüber hinaus arbeiten in dem Krankenhaus 296 Ärzte. Im System waren jedoch 985 aktive Benutzer als Arzt registriert. Auch hier, u. a. ein Verstoß gegen Art. 32 Abs. 1 DSGVO.

Die Folge: 400.000 € Strafe

(Quelle: http://www.faz.net/aktuell/wirtschaft/diginomics/dsgvo-strafe-krankenhaus-in-portugal-muss-400-000-euro-zahlen-15852321.html).

Dies sind nur die bisher bekannt gewordenen Fälle. Die Datenschutzbeauftragten der Länder haben bereits vielfach angegeben, dass noch in diesem Jahr Bußgelder „in erheblichem Umfang“ anfallen.

Nichts anderes ist nächstes Jahr zu erwarten, insbesondere weil die Datenschutzbehörden der Bundesländer einen Schwung neuer Mitarbeiter zur Verfügung gestellt bekommen haben.

(Quelle: https://www.handelsblatt.com/politik/deutschland/datenschutz-grundverordnung-unternehmen-drohen-bussgelder-in-erheblichem-umfang/23244866.html)

Es ist bisher nicht abzusehen, in welchen Bereichen Bußgelder bei welchen Verstößen anzusiedeln sind. Man sollte es als Unternehmer jedoch nicht darauf ankommen lassen und ein Mindestmaß an Datenschutz gewährleisten können.

Zuletzt noch ein Hinweis zum Jahresende:

Die Benennung des Datenschutzbeauftragten sollte nunmehr alsbald erfolgen.

Viele Unternehmen scheuen noch die Benennung eines Datenschutzbeauftragten, sowohl intern, als auch gegenüber den Landesdatenschutzbeauftragten.

Die Gedanken der Unternehmer wiederholen sich dabei:

  • Notwendigkeit der Bestellung
  • Einen internen oder einen externen Datenschutzbeauftragten wählen?
  • Folgen der Benennung eines internen Datenschutzbeauftragten (Kündigungsschutz)
  • Kosten eines externen Datenschutzbeauftragten

In NRW stellt die Nichtbenennung bis zum 31.12.2018 noch keinen Verstoß dar. Auf der Seite der Landesdatenschutzbeauftragten heißt es:

„Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.“

Es kann niemandem empfohlen werden, auszutesten, was ab dem 01.01.2019 bei der Nichtbenennung eines Datenschutzbeauftragten für Strafen fällig werden.

Wenn Sie sich unsicher sind, ob Sie einen Datenschutzbeauftragten benötigen oder jemanden suchen, sprechen Sie mich gerne an. Im Rahmen meiner Arbeit vermittele ich Ihnen gerne geprüfte Datenschutzbeauftragte für Ihr Unternehmen oder helfe Ihnen, Ihren internen Datenschutzbeauftragten fit für die DSGVO zu machen.

Kontaktieren Sie mich gerne per E-Mail oder über die Kontaktmöglichkeit auf dieser Seite.

Mit freundlichen Grüßen

Matthias Draheim

Rechtsanwalt

Rechtstipp aus den Rechtsgebieten

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Bild Herr Rechtsanwalt Matthias Draheim
Rechtsanwalt Matthias Draheim

Weitere Rechtstipps von Rechtsanwalt Matthias Draheim

  • Vergleiche im VW-Dieselskandal
    Unbeachtet durch die Corona-Pandemie erhalten viele Halter von Fahrzeugen aus dem Volkswagen-Konzern „Vergleichsangebote“, wenn sie an der Sammelklage teilgenommen haben. Aus diesem Grund möchte ... Weiterlesen
  • Lyra Pet fordert Entfernung von eBay-Bewertung
    In der letzten Zeit häufen sich wieder die Fälle, in denen negative Bewertungen angegriffen werden. So auch in einem aktuellen Fall meines Mandanten. Dieser hatte bei eBay von der Firma Lyra Pet ... Weiterlesen
  • Abmahnungen bei eBay
    Seit Beginn des Jahres häufen sich wieder die Anfragen wegen Abmahnungen von Online-Shops bei eBay, insbesondere im Bereich der Kfz-Teile mehren sich die Fälle. Über zwei Fälle möchte ich daher ... Weiterlesen
Alle Rechtstipps von Rechtsanwalt Matthias Draheim

Beiträge zum Thema

Ihre Spezialisten