Dem ausufernden Abmahngeschäft wurde zwischenzeitlich Vernunft und Maßhaltigkeit aufgezwungen. Nun sind es die Datenschutzbehörden, die das Geschäft für die Unternehmen mit verhängten Bußgeldern erschweren.
Wie WELT AM SONNTAG berichtete unter Berufung auf eine Umfrage bei den Behörden von bislang insgesamt 485.490 Euro. Im Durchschnitt also ca. 6000 Euro. Dies gehe aus Angaben einiger Bundesländer hervor.
Bislang wurden in sieben Bundesländern Bußgelder verhängt, wobei die durchschnittlichen Höhen sehr unterschiedlich sind. Dies ist nicht ungewöhnlich, denn die Börden müssen sehr individuell die Maßstäbe für die Schwere der Verstöße anlegen. Die DSGVO gibt in Art. 83 einen konkreten Katalog an Prüf-Kriterien vor:
- Art, Schwere und Dauer des Verstoßes?
- Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung?
- Zahl der von der Verarbeitung betroffenen Personen?
- Ausmaßes des von ihnen erlittenen Schadens?
- Art des Schadens der entstand?
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes?
- Maßnahmen zur Minderung des Schadens bei Betroffenen?
- Grad der Verantwortung mit Rücksicht auf Ihre getroffenen technisch/organisatorischen Maßnahmen?
- Einschlägige frühere Verstöße?
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde?
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind?
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde?
- Einhaltung der angeordneten Maßnahmen?
- Einhaltung von genehmigten Verhaltensregeln oder Zertifizierungsverfahren?
- Erlangte finanzielle Vorteile oder vermiedene Verluste?
- Weitere erschwerende oder mildernde Umstände?
Die Kriterien sind komplex, hinzu kommt: Die Datenschützer sind durch das Gesetz auch gezwungen, dass die Maßnahme in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Im Zweifelsfall werden die Strafen also eher höher als niedriger ausfallen, um abschreckend zu sein. Und! Sie selbst sind auch immer im Boot, wenn ihr Auftragsverarbeiter dagegen verstößt!
Vertrauensseligkeit schützt nicht vor Bussgelder
Letztendlich sind es am Schluss die Gerichte, die über eine Angemessenheit und die Höhe des Bußgeldes entscheiden. Hier wird es m.E. nicht eine geraume Zeit brauchen, bis die Gerichte genauere Kriterien entwickeln. Vertrauensseligkeit bringt hier nichts, denn die Strafen können empfindlich und exemplarisch sein: Das Berliner Unternehmen Delivery Hero muss wegen nicht gelöschter Kundendatensätzen und unzulässigen Werbemails ein Bußgeld von 195.407 Euro zahlen. Das höchste DSGVO-Bußgeld bisher gegen ein Unternehmen in Deutschland.
Das strategische Dilemma
Die Krux an der DSGVO ist: Sie schützt die Person und das staatliche Interesse am Datensammeln! Sie berücksichtigt nur sehr schwammig, das Interesse der Wirtschaft Geschäfte machen zu können. Dies zwingt die Internetwirtschaft in eine prekäre Situation: Entweder einen Großteil des Onlinegeschäfts aufgeben und sich von ausländischen Konkurrenten verdrängen lassen oder den rechtlichen Interpretationsspielraum so lange ausschöpfen bis eindeutige Rechtsklarheit herrscht. Das Dilemma: Möglicherweise steht man zu 50%iger Wahrscheinlichkeit auf der falschen Seite. An dieser Stelle kann die Falle der Datenschutzbehörde zuklappen und Sie mit Bußgeldern belegen. Die zweite Krux: Gerade die sich hervortuenden Behörden suchen sich schwächere Unternehmen, um Exempel zu statuieren. Auch das ist bittere Realität der Statistik.
Klar ist, dass die DSGVO-Bestimmungen und Entscheidungen noch recht vage sind und daher viele Interpretationsspielräume (noch) zulassen. Dies ist die positive Nachricht. Solange eine begründbare Rechtsmeinung besteht, die Ihre Auffassung bestärkt, müssen Sie sich nicht einer behördlichen Auffassung unterwerfen. Lassen Sie sich daher eine Beurteilung ausfertigen, die Ihre Auffassung juristisch stützt. Als Marketingfrau/-mann sollten Sie nicht fragen, was rechtssicher möglich ist? Solange durch die Gerichte die Interpretationsspielräume nicht vollständig definiert sind, kann die rechtssichere Lösung nur sein, keinerlei Erfassung und Auswertung personenbezogener Daten vorzunehmen. Fragen Sie stattdessen, was an Ihrer Praxis mit gutem Gewissen noch rechtlich haltbar (nicht endgültig entschieden) ist. Dies ist m. E. eine für das Marketing vertretbare Compliance. Wenn Sie einen Schritt weiter gehen wollen: Informieren Sie Ihre Landes-Datenschutzbehörde und begründen Sie Ihre Rechtsauffassung mit dem Ziel ein vorläufiges Stillhalteabkommen zu erreichen, solange gerichtliche Klarheit aussteht. Dieser Rat ist aber juristisch sehr sorgfältig abzuwägen: Kolibri Image, ein kleines Unternehmen, konnte keinen Vertrag zur Auftragsverarbeitung zustande bringe und wandte sich an die Datenschützer. Die Behörde verhängte ein 5.000 EUR Bußgeld mangels Vertrag mit dem Auftragsdatenverarbeiter. Auslöser war also der Klärungsversuch. Ein Skandal zwar, aber die Hamburger Datenschützer hatten schon immer umstrittene Auffassungen vom Datenschutzrecht.
Die Bußgeld-Vorsorge wird verletzt
Denken Sie auch daran für den worst case eine Rücklage auf zu bauen, falls sich irgendwann Ihre Rechtsauffassung von Gerichten zerstäubt wird. Klar ist, wenn es zum Vorfall kommt, müssen Sie das Heft in die Hand nehmen, unverzüglich handeln und die Behörden aktiv informieren. Alles andere wäre fahrlässiger kaufmännischer Leichtsinn. Die vorher genannten Kriterien geben Ihnen aber eine gute Richtschnur, die Ihnen kostspielige Fettnäpfchen ersparen.
Haben Sie Ihre Daten kategorisiert und das Risiko bewertet?
Verstoß ist nicht gleich Verstoß. Insbesondere sensible Datenpannen können empfindliche Strafen auslösen: So verhängte der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 Euro eine hohe Einzelstrafe, da Gesundheitsdaten im Internet landeten. Haben Sie auch daran gedacht, dass bei Bewerbungen, Mieterselbstauskünften, Bonitätsprüfungen etc. massiv hochsensible Daten anfallen?
Haben Sie Ihre Kontaktquellen, wie Kundenservice, Chat, Social-Media-Leute so stringent informiert, dass jede Kundenaussage mit Eskalations-Drohung im Datenschutz zentral bearbeitet wird? Die Ignoranz vieler Unternehmen ist hier erschreckend. Mit einer unbegründeten Naivität nehmen es nach meiner Erfahrung und meinen Tests 72% aller Unternehmen in Kauf, daß ihr Unternehmen in den Focus der Behörden geraten. Die Zahl der Beschwerden häufen sich dort massiv. Die Rede ist von 25-200 Beschwerden pro Tag: Wir reden hier theoretisch zwischen 9.100 und 73.000 Beschwerden pro Jahr. Preisfrage: Wen würde sich dann eine Behörde mal genauer unter die Lupe nehmen: den mit 2 Beschwerden oder den mit 200?
Funktioniert Ihr Dokumentationssystem?
Haben Sie wirklich auch alles dokumentiert, was Ihre Bemühungen zu Vermeidung von Datenpannen beschreibt? Halten Sie diese Dokumentation tagesaktuell und vollständig, wenn sich Änderungen ergeben? Dokumentieren Sie auch die bekannt gewordenen Pannen und bewerten Sie diese richtig? Sie sind gesetzlich verpflichtet Datenpannen unverzüglich zu melden. Eine Verletzung liegt vor, wenn personenbezogene Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Viele Firmen denken jetzt an große Datenpannen, schwere Hackereinbrüche etc. In Wahrheit liegt die Messlatte viel tiefer! Die Meldepflicht besteht bereits bei „normalen“ Risiko. Beispielsweise verliert ein Mitarbeiten einen Laptop, einen USB-Stick oder ein Mobiltelefon mit personenbezogenen Daten. Im Personalverkauf wurden versehentlich PC mit nicht gelöschten Festplatten veräußert. Der Firmenparkplatz mit erkennbaren Kfz-Kennzeichen der Mitarbeiter wurde veröffentlicht (Kfz-Kennzeichen ist eine personenbezogene Information). Wenn die Daten verschlüsselt waren, so ist das Risiko und damit Ihre Meldepflicht geringer. Anders dagegen bei unverschlüsselten Daten.
Sie unterliegen Sie einer Dokumentationspflicht. Dokumentieren Sie den Vorfall und bewerten Sie in einem weiteren Prozessschritt, ob Sie die Datenpannen melden müssen oder nicht. Sie haben hierfür 78 Stunden Zeit. Aus Beweisgründen sollte dies belegbar, am besten per Fax geschehen. Wer sich hierzu genauer informieren möchte, dem seien die 40seitigen „Leitlinien des „Europäischen Datenschutzausschusses“ empfohlen. –
Haben Sie daran gedacht, dass Sie auch die Betroffenen informieren müssen? Dies aber nur bei „gesteigertem Risiko“.
Brauchen Sie eine Beratung und praktische Unterstützung zur Umsetzung und Praxis in Ihrer Firma? Nehmen Sie Kontakt auf – Ich unterstütze ich Sie gerne.