Datenschutzverstöße können Unternehmen teuer zu stehen kommen. Nach Wirksamwerden der DSGVO im Mai 2018 räumten die Datenschutzaufsichtsbehörden Unternehmen, Vereinen und Behörden gefühlt eine „Schonfrist“ zur Umsetzung der Forderungen der DSGVO ein. Diese ist aber mittlerweile abgelaufen. Seit Mitte 2019 steigt die Verhängung von Bußgeldern wegen datenschutzrechtlicher Verstöße allerdings stark an.
Verbraucherschutz durch DSGVO
Die DSGVO soll Verbraucher besser schützen, indem sie darüber informiert werden, wer zu welchem Zweck welche personenbezogenen Daten von ihnen sammelt. Für viele Fälle der Verarbeitung von personenbezogenen Daten muss eine Einwilligung vorliegen. Liegt eine solche Einwilligung nicht vor, handelt es sich um einen Verstoß gegen die DSGVO. Für einen solchen Verstoß sieht Art. 83 Abs. 5 DSGVO immense Bußgelder in Höhe von 4 % des weltweiten Jahresumsatzes eines Unternehmens oder bis zu einer Höhe von 20 Millionen Euro vor.
Deutsche Wohnen
Das höchste Bußgeld in Deutschland wurde bis dato von der Berliner Datenschutzbeauftragten gegen die Immobilienfirma Deutsche Wohnen verhängt. Höhe: 14,5 Millionen Euro. Was war passiert? Personenbezogene Daten von Mietern wurden von dem Unternehmen Deutsche Wohnen in einem Archivsystem gespeichert. Allerdings wurde es versäumt, Daten, die nicht mehr gebraucht wurden, zu löschen.
Delivery Hero
Wegen vieler Einzelverstöße wurde im August 2019 gegen die Delivery Hero Germany GmbH ein Bußgeld in Höhe von knapp 200.000 € erlassen. Eine Vielzahl der datenschutzrechtlichen Verstöße bezog sich auf mehrere Fälle, in denen die Delivery Hero Kundenkonten nicht gelöscht hatte, obwohl die betreffenden Nutzer teilweise schon seit Jahren nicht mehr auf der Plattform aktiv waren.
AOK Baden-Württemberg
Für großes Aufsehen sorgt jetzt der Fall der AOK Baden-Württemberg. In den Jahren 2015 bis 2019 veranstaltete die AOK Baden-Württemberg mehrere Gewinnspiele zur Mitgliederwerbung. Im Nachgang wurden von mehr als 500 Gewinnspielteilnehmern personenbezogene Daten für Werbezwecke verwendet, ohne dass eine wirksame Einwilligung im Sinne von Art. 6 Abs. 1 S. 1 lit. a DSGVO vorgelegen hätte. Die Einwilligung der Gewinnspielteilnehmer wurde zwar eingeholt, aber formal nicht richtig erteilt. Dies hatte zur Folge, dass eben keine wirksame Einwilligung der Teilnehmer vorlag und deshalb deren Daten nicht für weitere Werbezwecke hätten verwendet werden dürfen. Geahndet wurde dieser DSGVO-Verstoß mit einem Bußgeld in Höhe von 1,2 Millionen Euro. Hätte die AOK Baden-Württemberg nach Aufdeckung des Missstandes nicht aktiv mit der Aufsichtsbehörde zusammengearbeitet, wäre das Bußgeld wahrscheinlich noch höher ausgefallen.
Whistleblowing
Viel interessanter an diesem Fall ist allerdings, dass die Information nicht von einem der Gewinnspielteilnehmer an das LfDI Baden-Württemberg herangetragen wurde. Der Hinweis kam von einem Mitarbeiter der AOK Baden-Württemberg. Demnach wusste man, dass die Verarbeitung der personenbezogenen Daten nicht datenschutzrechtlich korrekt erfolgte. Es wurden aber keine Konsequenzen aus diesem Wissen gezogen. Whistleblowing ist ein Phänomen, das man in Deutschland hauptsächlich aus den USA oder von Politskandalen a la Snowden kennt. Unternehmen sollten allerdings spätestens jetzt auf dem Schirm haben, dass Hinweise auf Datenschutzverstöße den Behörden nicht nur von Betroffenen selbst gemeldet werden können. Entsprechende Hinweise können eben auch aus den eigenen Reihen kommen.
Datenschutzrechtliches Bewusstsein schaffen
Der aktuelle Bußgeldfall der AOK Baden-Württemberg zeigt eindrücklich, wie wichtig es ist, im Unternehmen ein Bewusstsein für den Datenschutz zu schaffen. Dies kann bspw. durch regelmäßige Mitarbeiterschulungen geschehen. Hierdurch werden Mitarbeiter immer wieder mit dem Thema Datenschutz konfrontiert und hierauf sensibilisiert. Auch eine Datenschutz-Unternehmensphilosophie ist eine Überlegung wert. Auf deren Basis kann dann auch ein datenschutzrechtlicher Verhaltenskodex für Mitarbeiter aufgesetzt werden. Voraussetzung ist aber natürlich, dass dieser dann auch gelebt wird und nicht zur bloßen „Förmelei“ verkommt.
Prozesse, Prozesse, Prozesse
Um intern einen sicheren und korrekten Umgang mit personenbezogenen Daten zu gewährleisten ist die Schaffung von Prozessen unerlässlich. Nur durch einheitliche Prozesse weiß jeder Mitarbeiter, wie bei der Verarbeitung personenbezogener Daten vorzugehen ist. Und vor allem auch, was zu tun ist, wenn bei der Verarbeitung Fehler gemacht werden, Fehler auffallen oder andere Auffälligkeiten entdeckt werden. Durch festgeschriebene Prozesse (übrigens nicht nur im Bereich Datenschutz) können auch durch Fluktuation entstehende Wissenslücken viel besser aufgefangen werden. Dies wiederum spart Zeit und Geld.
Arbeitsweise der SiDIT GmbH
Genau das ist es, was das Team der SiDIT GmbH tut: Kunden werden dabei unterstützt, eben genau solche Prozesse im Bereich Datenschutz zu entwickeln, laufend zu verbessern und im Unternehmen zu etablieren. Denn das ist der einfachste Weg, Datenschutz rechtssicher und praxistauglich in Unternehmen umzusetzen und so Bußgelder zu vermeiden
Kein Kommentar