Aktuelles, Experten - geschrieben von am Freitag, September 20, 2019 21:15 - noch keine Kommentare

Empfindliche Bußgelder für Lieferdienst und Online-Bank verhängt

Berliner Datenschutzbeauftragte Maja Smoltczyk ahndet Datenschutz-Verstöße

[datensicherheit.de, 20.09.2019] Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach eigenen Angaben „Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren“ gegen einen Lieferdienst erlassen. Diese Entscheidung sei rechtskräftig. Damit würden diverse datenschutzrechtliche Einzelverstöße dieses Unternehmens geahndet. Die Mehrzahl der Fälle habe die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch betroffen.

Konten ehemaliger Lieferdienst-Kunden nicht gelöscht

Nach den Feststellungen der Berliner Datenschutzbeauftragten habe dieser Lieferdienst in zehn Fällen Konten ehemaliger Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.
Acht ehemalige Kunden hätten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, welcher der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen habe, erhielt demnach dennoch weitere 15 Werbe-E-Mails.
In weiteren fünf Fällen habe das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst nach dem Einschreiten der Berliner Datenschutzbeauftragte erteilt.

DSGVO-Betroffenenrechte wichtiges Instrumentarium für jeden Einzelnen

Die Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO) bildeten ein „wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung.
Dem europäischen Gesetzgeber sei es bei der DSGVO-Verabschiedung „ein wichtiges Anliegen“ gewesen, die Betroffenenrechte der Bürger zu stärken.
Jedes personenbezogene Daten verarbeitende Unternehmen müsse daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Lieferdienst gab als Begründung technische Fehler bzw. Mitarbeiterversehen an

Der o.g. Lieferdienst habe gegenüber der Aufsichtsbehörde einige der Verstöße mit „technischen Fehlern“ bzw. „Mitarbeiterversehen“ erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen sei jedoch von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen.
Trotz vielfacher Hinweise der Aufsichtsbehörde seien über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, welche die pflichtgemäße Erfüllung der Rechte der Betroffenen hätten sicherstellen können.
Die Geldbußen seien in zwei Bescheiden ergangen, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DSGVO geltenden Datenschutzrecht zu beurteilen gewesen sei. „Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.“

Maßnahmen um Folgen des Verstoßes abzuwenden oder abzumildern berücksichtigt

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag habe die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DSGVO genannten geprüft.
Insbesondere seien in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes eingeflossen. Ferner seien auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt worden.
Zum 1. April 2019 sei der Lieferdienst von einem niederländischen Konzern übernommen worden. Die dem Verfahren zugrundeliegenden Verstöße seien allesamt vor dieser Übernahme begangen worden. Der neue Eigner habe die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde habe er erklärt, „größten Wert auf die Einhaltung des Datenschutzrechts zu legen“. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Erstes beträchtliches Bußgeld im März 2019 gegen Online-Bank verhängt

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach eigenen Angaben „ein erstes beträchtliches Bußgeld“ nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen eine Online-Bank festgesetzt. Dieses junge Unternehmen habe zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kunden auf eine Schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig gewesen seien.
Auch diese Bank habe die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer zu verbessern.
Insbesondere habe sie zugesagt, ihr Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.

Bußgelder sollen auf andere Unternehmen mahnende Wirkung entfalten

Insgesamt habe die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DSGVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im Digitalen Zeitalter ein besonders wichtiges Grundrecht ist“, so Maja Smoltczyk. Die DSGVO wirke dem entgegen. Bei den genannten Unternehmen sei die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar.
Smoltczyk: „Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.“ Noch in der Gründungsphase befindlichen Berliner Unternehmen empfiehlt Smoltczyk, ihre zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Wirtschaft/Verwaltung / Start-ups

datensicherheit.de, 25.07.2019
facebook-Bußgeld mit Signalwirkung

datensicherheit.de, 03.05.2019
re:publica: Berliner Datenschutzbeauftragte beim Netzfest



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung