Hohe Bußgelder im Datenschutz: Gegenwärtige Beispiele

Die Aufsichtsbehörden werden bei der Verhängung von Bußgeldern immer aktiver. Wenn am Anfang nach der Einführung der DSGVO die Bußgelder noch rar gesät waren, so ist die Schonfrist mittlerweile abgelaufen.

In diesem Artikel lesen Sie eine kleine Auswahl einzelner Bußgelder, die Aufsichtsbehörden in den vergangenen Monaten gegen unterschiedliche Unternehmen verhängt haben.

Daten von Kunden und Interessenten zu lange aufbewahrt

Jedes Unternehmen muss dem Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e) DSGVO nachkommen. Dies bedeutet u.a., dass Daten von Kunden und Interessenten nur so lange gespeichert werden dürfen, wie es erforderlich ist, um den Zweck zu erfüllen, der mit der Datenverarbeitung verfolgt wird. Sobald dieser Zweck nicht mehr besteht, müssen die Daten gelöscht werden, sofern keine Aufbewahrungspflicht entgegensteht. In einem aktuellen Fall wurde ein Bußgeld gegen ein Unternehmen verhängt, das Daten von Interessenten noch mehrere Jahre nach dem letzten Kontakt zu dem jeweiligen Lead vorrätig hatte, obwohl es diese bereits lange hätte löschen müssen.

Keine ausreichende Identifizierung eines Anrufers bei einer telefonischen Auskunftserteilung

Die Datenschutzgrundverordnung verlangt in Art. 32 DSGVO von jedem Unternehmen, dass es ausreichende technische und organisatorische Maßnahmen (TOM) vorhält, um die Daten vor einer Offenlegung gegenüber Unbefugten zu schützen. Welche TOM im jeweiligen Einzelfall tatsächlich zu erbringen sind, kommt auf die konkrete Verarbeitungssituation an.

In diesem Artikel lesen Sie mehr darüber, wann TOM sicher genug sind: https://sidit.de/blog/wann-sind-die-tom-sicher-genug

In dem konkreten Fall erhielt ein Unternehmen ein Bußgeld, weil es im Rahmen seiner Telefonauskunft zu geringe TOM zur Identifikation des Anrufers garantierte. Demnach genügte es, dass der Anrufer die Ausweisnummer eines Kunden nannte, um Auskunft über dessen personenbezogenen Daten zu erhalten. Dies reichte nach Auffassung der zuständigen Aufsichtsbehörde nicht aus, um sicherzustellen, dass der Anrufer tatsächlich die berechtigte Person ist oder eine entsprechende Vollmacht zur Auskunftserlangung innehat.

Unzulässige Datenübermittlung ins Ausland

Unternehmen müssen immer vorsichtiger werden, wenn es um die Frage der Übertragung von personenbezogenen Daten in ein Land außerhalb des EWR geht. Ein Unternehmen erhielt ein Bußgeld, weil es Daten außerhalb der EU verarbeiten ließ und dabei weder zusätzliche Maßnahmen zu den neuen Standardvertragsklauseln eingefordert noch eine Datentransfer-Folgenabschätzung (TIA) durchgeführt hatte.

Was Sie unbedingt beachten müssen, bevor Sie Daten außerhalb der EU bzw. des EWR verarbeiten lassen, erfahren Sie in diesem Artikel: https://sidit.de/blog/die-neuen-standardvertragsklauseln-was-sie-jetzt-tun-muessen/

Fehlender Prozess zur Einbeziehung des Datenschutzbeauftragten

Der Datenschutzbeauftragte eines Unternehmens berät gem. Art. 39 Abs. 1 DSGVO den Verantwortlichen bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Hierbei muss der Verantwortliche gem. Art. 38 Abs. 1 DSGVO sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Genau dies wurde einem Unternehmen zum Verhängnis, weil es den Datenschutzbeauftragten nicht rechtzeitig miteinbezog. Die Aufsichtsbehörde verhängte ein Bußgeld da das Unternehmen keinen strukturierten Plan vorlegen konnte, aus dem hervorging, in welchen Schritten das Unternehmen die Vorgaben des Datenschutzes mit dem Datenschutzbeauftragten bearbeiten würde.

Fazit: Bußgelder vermeiden durch organisierte Datenschutzarbeit

Die Verhängung eines Bußgeldes durch die zuständige Aufsichtsbehörde kann von Unternehmen meist sehr einfach vermieden werden, indem die Vorgaben der DSGVO gemeinsam mit dem Datenschutzbeauftragten bearbeitet werden. Hierzu ist es erforderlich, dass der Datenschutzbeauftragte frühzeitig und umfassend vom Verantwortlichen über Projekte informiert wird, bei denen personenbezogene Daten verarbeitet werden sollen. Zudem ist es sehr wichtig, dass der Datenschutz-Koordinator über ausreichend Rückendeckung der obersten Managementebene des Unternehmens verfügt und außerdem genug Arbeitszeit für die Datenschutz-Arbeit aufwenden kann.

Lesen Sie hier mehr dazu, welche Aufgaben dem Datenschutz-Koordinator obliegen: https://sidit.de/blog/der-datenschutzkoordinator

Suchen Sie einen kompetenten Datenschutzbeauftragten? Schreiben Sie uns unter: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Kein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.