Datenschutz ist aus Sicht von Unternehmen ein lästiges und aufwändiges Thema. Zwar hat seit Einführung der DSGVO das Bewusstsein für Datenschutz durch unzählige Cookie-Banner und Einwilligungen zugenommen, im Arbeitsalltag kommt es trotzdem noch zu unzähligen kleinen und großen Datenschutzverstößen.
Wir zeigen 5 typische Datenschutzverstöße im Alltag – und was sie für Unternehmen für wirtschaftliche Folgen haben können.
1. E-Mail an falschen Empfänger
Im hektischen Büroalltag kann es schnell passieren: eine E-Mail wird an den falschen Empfänger versendet, in der E-Mail oder dem Anhang sind personenbezogene Daten von Kunden oder Mitarbeitenden enthalten.
Man hofft, dass das Missgeschick nicht auffällt. Doch wenn es auffällt, wird es für Unternehmen teuer:
- 3.000,00 € Bußgeld (das auf 1.800,00 € herabgesetzt wurde) musste ein spanisches Unternehmen zahlen, weil es von knapp 75 Personen betriebsintern die personenbezogenen Daten zur Verifizierung teilte.
- 74.000,00 € Schmerzensgeld (also ca. 1.000,00 € pro Person) könnte als wirtschaftliches Risiko hinzutreten.
Eine einzige E-Mail hat damit einen Schadenspotential von knapp 80.000,00 € verursacht.
Aber auch wenn nur eine einzige Person von der falschen E-Mail betroffen ist, kann es für Unternehmen zu hohen Zahlungen kommen:
- 50.000,00 € Bußgeld musste die spanische Vodafone-Gesellschaft wegen zwei Rechnungen, die an eine falsche Person versendet worden ist. Das Callcenter reagierte auf Nachfrage nicht. Das Bußgeld konnte durch freiwillige Zahlungen auf 40.000,00 € reduziert werden.
- 2.000,00 € Bußgeld wurde gegen ein deutsches Inkassounternehmen wegen der unzulässigen Weitergabe von Personendaten per E-Mail festgesetzt.
Damit zeigt sich: auch bei einem vermeintlich kleinen Verstoß drohen erhebliche Bußgelder und Schadenersatzansprüche
2. Newsletter und Werbemails
Für Unternehmen ist der enge Kontakt zu bestehenden und potentiellen Neukunden von großer wirtschaftlicher Bedeutung und wird schon aufgrund der kaum entstehenden Kosten gerne und häufig genutzt.
Dabei übersehen Unternehmen in der Praxis häufig, dass E-Mails mit (vermeintlich) interessanten Produktinhalten schnell als Werbe-Mail klassifiziert werden, für die eine Einwilligung des Kunden notwendig ist.
Fehlt diese oder wird auf Abmeldeversuche oder Widersprüche nicht oder nicht rechtzeitig reagiert, reagieren Aufsichtsbehörden mit nachdrücklichen Bußgeldern:
- 1.24 Mio. € Bußgeld gegen die AOK Baden-Württemberg wegen der werblichen Nutzung von 500 Personendatensätzen.
- 500.000,00 € Schmerzensgeld als Schadenpotential der betroffenen Teilnehmer zzgl. Verfahrenskosten.
- 75.000,00 € Bußgeld musste ein Unternehmen wegen unzulässiger Werbemails nebst Tracking zahlen.
- 40.000,00 € Bußgeld musste ein der Landesbeauftragten für Datenschutz von Baden-Württemberg unterstelltes Unternehmen für unzulässiges E-Mail-Marketing zahlen.
3. Überwachungskameras
Überwachungskameras werden von Privatpersonen wie Unternehmen gleichermaßen gerne eingesetzt. Dabei übersehen insbesondere Privatpersonen häufig: Das Filmen ohne Beschilderung von Privatgeländen bzw. von öffentlichen Bereichen ist dabei regelmäßig datenschutzwidrig und kann zugleich eine Vielzahl an Personen betreffen.
Deshalb ergehen hierzu Bußgelder mit auffälliger Regelmäßigkeit europaweit:
- 3.000,00 € Bußgeld gegen einen italienischen Einzelhändler, weil dieser Überwachungskameras ohne Einwilligung bzw. Beschilderung installierte.
- 3.000,00 € Bußgeld gegen eine Privatperson wegen zwei Kameras mit Bewegungsmelder, die auch die öffentliche Straße mit filmte.
- 2.000,00 € Bußgeld gegen einen deutschen Gastronom wegen unzulässiger Überwachungskameras im Gastbereich.
4. Schlechte IT-Sicherheit
Auch wenn im Grunde jedes IT-System erfolgreich angreifbar ist, müssen Unternehmen und Behörden technisch-organisatorische Maßnahmen ergreifen, die die IT- und damit Datensicherheit wahren.
Dies hat auch der EuGH noch einmal festgestellt und dabei unterstrichen, dass eine Datenpanne zu der widerlegbaren Vermutung führt, dass die IT-Sicherheit nicht den Anforderungen der DSGVO entsprach.
Dabei reagieren Datenschutzbehörden mit empfindlichen Bußgeldern bei schlechter Datensicherheit:
- 45.000,00 € Bußgeld gegen eine zyprische Universität wegen unzureichender technisch-organisatorischer Maßnahmen zum Schutz der Personendaten.
- 10.000,00 € Bußgeld musste ein polnisches Unternehmen aufgrund mangelnder IT-Sicherheit nach einem Ransomware Angriff zahlen.
- 2.244,00 € Bußgeld gegen ein rumänisches Unternehmen nach einer Ransomware Attacke wegen mangelnder IT-Sicherheit. Hierbei ist die länderspezifische Kaufkraft zu berücksichtigen.
Die mangelnde Datensicherheit birgt nach erfolgreichen Hacker- und Ransomware-Angriffen damit ein erhöhtes Bußgeld für betroffene Unternehmen.
Neben den erhöhten Bußgeldern drohen insbesondere massenhafte Schadenersatzforderungen von Betroffenen. Denn zumeist sind die gesamten Kundendatenbanken nach Ransomware-Attacken verschlüsselt.
5. Anfragen ignorieren
Anfragen, die per E-Mail oder Telefon bei Unternehmen oder Behörden zum Thema Datenschutz eingehen, werden zumeist initial vom Sekretariat, First-Level-Support oder der regulären Sachbearbeitung bearbeitet, ohne besondere Sensibilisierung für die „Brisanz“ simpler Anfragen, die z.B. wie folgt lauten können:
- „Löschen Sie endlich meine Daten!“
- „Ich will keine E-Mails von Ihnen mehr erhalten!“
- „Woher haben Sie überhaupt meine Daten?!“
Solche Anfragen sind allesamt als datenschutzrechtliche Erklärungen zu sehen (Löschung, Widerruf einer Einwilligung, Auskunft).
Besteht kein Prozess für solche Anfragen oder werden diese schlicht ignoriert und der Aufsichtsbehörde durch den Betroffenen zugleitet, drohen ebenfalls Bußgelder:
- 300.000,00 € Bußgeld aufgrund von mehreren Beschwerden von Privatpersonen. Diese hatten Schwierigkeiten gehabt, ihre Rechte auf Zugang zu und Löschung ihrer personenbezogenen Daten auszuüben.
- 15.000,00 € Bußgeld. Eine Privatperson verlangt Auskunft und Löschung von einem Unternehmen. Das Unternehmen teilte der Privatperson jedoch zunächst mit, dass seine E-Mail-Adresse gelöscht worden sei und er daher keine weiteren E-Mails mehr erhalten werde. Auf den Auskunftsantrag erhielt die Person keine Antwort.
- 5.000,00 € Bußgeld gegen ein deutsches Unternehmen, das den Widerspruch und die Löschungsaufforderung einer Privatperson ignorierte.
Ihnen wird ein Datenschutzvorfall vorgeworfen?
Wir beraten und vertreten Unternehmen, Behörden und öffentlich-rechtliche Körperschaften nach Datenschutzvorfällen mit unserer Taskforce aus Rechtsanwälten und Informatikern.
Es wird noch teurer
Während die in datenschutzrechtlichen Bußgeldverfahren verhängten Bußgelder schon jetzt teilweise nicht unerheblich sind, gibt es bereits europäische Bestrebungen, die Bußgeldverfahren gem. Art. 83 DSGVO auszubauen. Unter dem Titel
sind Verschärfungen zu Lasten von Verantwortlichen wie Unternehmen und Behörden geplant, sodass die Bußgeldverfahren nach Datenschutzvorfällen – neben den Massenverfahren durch die Betroffenen selbst – immer größere, auch wirtschaftliche Relevanz haben werden.
Dabei sollten Vorstände, Geschäftsführer und leitende Beamte mit Vermögensbetreuungspflichten frühzeitig die kritischen Datenschutzverfahren durch eine externe Taskforce für Datenschutzrecht führen lassen.
Wir beraten Unternehmen, Behörden und öffentlich-rechtliche Körperschaften nach Datenschutzvorfällen mit einem interdisziplinären Team aus Rechtsanwälten für Datenschutzrecht und Informatikern, um eine ganzheitliche Betrachtung aus rechtlichen und technischen Blickwinkeln sicherstellen zu können.
