Datenschutzverstöße können Unternehmen teuer zu stehen kommen. Nach Wirksamwerden der DSGVO im Mai 2018 räumten die Datenschutzaufsichtsbehörden Unternehmen, Vereinen und Behörden gefühlt eine „Schonfrist“ zur Umsetzung der Forderungen der DSGVO ein. Diese ist aber mittlerweile abgelaufen. Seit Mitte 2019 steigt die Verhängung von Bußgeldern wegen datenschutzrechtlicher Verstöße allerdings stark an.

Aufsichtsbehörden werden aktiver – Immer mehr Bußgelder

Verbraucherschutz durch DSGVO

Die DSGVO soll Verbraucher besser schützen, indem sie darüber informiert werden, wer zu welchem Zweck welche personenbezogenen Daten von ihnen sammelt. Für viele Fälle der Verarbeitung von personenbezogenen Daten muss eine Einwilligung vorliegen. Liegt eine solche Einwilligung nicht vor, handelt es sich um einen Verstoß gegen die DSGVO. Für einen solchen Verstoß sieht Art. 83 Abs. 5 DSGVO immense Bußgelder in Höhe von 4 % des weltweiten Jahresumsatzes eines Unternehmens oder bis zu einer Höhe von 20 Millionen Euro vor.

Deutsche Wohnen

Das höchste Bußgeld in Deutschland wurde bis dato von der Berliner Datenschutzbeauftragten gegen die Immobilienfirma Deutsche Wohnen verhängt. Höhe: 14,5 Millionen Euro. Was war passiert? Personenbezogene Daten von Mietern wurden von dem Unternehmen Deutsche Wohnen in einem Archivsystem gespeichert. Allerdings wurde es versäumt, Daten, die nicht mehr gebraucht wurden, zu löschen.

Delivery Hero

Wegen vieler Einzelverstöße wurde im August 2019 gegen die Delivery Hero Germany GmbH ein Bußgeld in Höhe von knapp 200.000 € erlassen. Eine Vielzahl der datenschutzrechtlichen Verstöße bezog sich auf mehrere Fälle, in denen die Delivery Hero Kundenkonten nicht gelöscht hatte, obwohl die betreffenden Nutzer teilweise schon seit Jahren nicht mehr auf der Plattform aktiv waren.

AOK Baden-Württemberg

Für großes Aufsehen sorgt jetzt der Fall der AOK Baden-Württemberg. In den Jahren 2015 bis 2019 veranstaltete die AOK Baden-Württemberg mehrere Gewinnspiele zur Mitgliederwerbung. Im Nachgang wurden von mehr als 500 Gewinnspielteilnehmern personenbezogene Daten für Werbezwecke verwendet, ohne dass eine wirksame Einwilligung im Sinne von Art. 6 Abs. 1 S. 1 lit. a DSGVO vorgelegen hätte. Die Einwilligung der Gewinnspielteilnehmer wurde zwar eingeholt, aber formal nicht richtig erteilt. Dies hatte zur Folge, dass eben keine wirksame Einwilligung der Teilnehmer vorlag und deshalb deren Daten nicht für weitere Werbezwecke hätten verwendet werden dürfen. Geahndet wurde dieser DSGVO-Verstoß mit einem Bußgeld in Höhe von 1,2 Millionen Euro. Hätte die AOK Baden-Württemberg nach Aufdeckung des Missstandes nicht aktiv mit der Aufsichtsbehörde zusammengearbeitet, wäre das Bußgeld wahrscheinlich noch höher ausgefallen.

Whistleblowing

Viel interessanter an diesem Fall ist allerdings, dass die Information nicht von einem der Gewinnspielteilnehmer an das LfDI Baden-Württemberg herangetragen wurde. Der Hinweis kam von einem Mitarbeiter der AOK Baden-Württemberg. Demnach wusste man, dass die Verarbeitung der personenbezogenen Daten nicht datenschutzrechtlich korrekt erfolgte. Es wurden aber keine Konsequenzen aus diesem Wissen gezogen. Whistleblowing ist ein Phänomen, das man in Deutschland hauptsächlich aus den USA oder von Politskandalen a la Snowden kennt. Unternehmen sollten allerdings spätestens jetzt auf dem Schirm haben, dass Hinweise auf Datenschutzverstöße den Behörden nicht nur von Betroffenen selbst gemeldet werden können. Entsprechende Hinweise können eben auch aus den eigenen Reihen kommen.

Datenschutzrechtliches Bewusstsein schaffen

Der aktuelle Bußgeldfall der AOK Baden-Württemberg zeigt eindrücklich, wie wichtig es ist, im Unternehmen ein Bewusstsein für den Datenschutz zu schaffen. Dies kann bspw. durch regelmäßige Mitarbeiterschulungen geschehen. Hierdurch werden Mitarbeiter immer wieder mit dem Thema Datenschutz konfrontiert und hierauf sensibilisiert. Auch eine Datenschutz-Unternehmensphilosophie ist eine Überlegung wert. Auf deren Basis kann dann auch ein datenschutzrechtlicher Verhaltenskodex für Mitarbeiter aufgesetzt werden. Voraussetzung ist aber natürlich, dass dieser dann auch gelebt wird und nicht zur bloßen „Förmelei“ verkommt.

Prozesse, Prozesse, Prozesse

Um intern einen sicheren und korrekten Umgang mit personenbezogenen Daten zu gewährleisten ist die Schaffung von Prozessen unerlässlich. Nur durch einheitliche Prozesse weiß jeder Mitarbeiter, wie bei der Verarbeitung personenbezogener Daten vorzugehen ist. Und vor allem auch, was zu tun ist, wenn bei der Verarbeitung Fehler gemacht werden, Fehler auffallen oder andere Auffälligkeiten entdeckt werden. Durch festgeschriebene Prozesse (übrigens nicht nur im Bereich Datenschutz) können auch durch Fluktuation entstehende Wissenslücken viel besser aufgefangen werden. Dies wiederum spart Zeit und Geld.

Arbeitsweise der SiDIT GmbH

Genau das ist es, was das Team der SiDIT GmbH tut: Kunden werden dabei unterstützt, eben genau solche Prozesse im Bereich Datenschutz zu entwickeln, laufend zu verbessern und im Unternehmen zu etablieren. Denn das ist der einfachste Weg, Datenschutz rechtssicher und praxistauglich in Unternehmen umzusetzen und so Bußgelder zu vermeiden

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Kein Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ihre personenbezogenen Daten werden für die Veröffentlichung Ihres Kommentars zum Blogbeitrages gem. unserer Datenschutzerklärung von uns verarbeitet.