Die ersten Bußgeldbescheide wegen DSGVO-Verstößen sind raus. Wie die Datenschutzbehörden der Bundesländer dem Handelsblatt mitteilten, sind aktuell noch viele weitere Ermittlungsverfahren anhängig, 85 davon alleine beim Bayerischen Landesamt für Datenschutzaufsicht. Bisher haben bereits 41 Firmen in Deutschland einen Bußgeldbescheid aufgrund Verletzung der Datenschutzgrundverordnung erhalten.
Bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes können die Bußgelder betragen. Und obwohl die Datenschutzbeauftragten der Länder bei der Verhängung von Bußgeldern ihren Rahmen noch nicht voll ausschöpfen beziehungsweise vielfach lediglich erst einmal eine Verwarnung aussprachen, dürften die Strafen für die betroffenen Unternehmen auch schon jetzt spürbar sein.
Keine Peanuts mehr
Noch 2018 durfte die Chat-Plattform Knuddels‘ 20.000 Euro Bußgeld zahlen. Hacker erhielten Zugriff auf die persönlichen Daten von 330.000 Nutzern, weil das Unternehmen die Kundendaten unverschlüsselt gespeichert hatte. Dass die Strafe verhältnismäßig niedrig ausfiel, ist nur dem Umstand zu verdanken, dass Knuddels‘ mit der zuständigen Datenschutzbehörde kooperierte. In einem weiteren Fall verhängte die Baden-Württembergische Datenschutzbehörde ein Bußgeld in Höhe 80.000 Euro, weil unzureichend geschützte Gesundheitsdaten ins Internet gelangten. Der Datenschutzbeauftragte in Hamburg verhängte bisher in drei Fällen Bußgelder in Höhe von insgesamt 25.000 Euro, Nordrhein-Westfalen strafte in 33 Fällen mit gesamt knapp 15.000 Euro.
Verstöße aller Art
Die beanstandeten Fälle waren vielfach: Ein Webshop wurde gehackt und Kundendaten illegal kopiert, eine Klinik verwechselte den Empfänger eines Schwerbehindertenausweises, das Buchungssystem eines Hotels wies erhebliche Mängel bei der Datensicherheit auf, Bankkunden konnten beim Online-Banking fremde Kontoauszüge sehen. Auch unzulässige Werbemails oder sichtbare E-Mail-Verteiler brachten den Absendern Bußgelder ein. Weiterer Grund für das Tätigwerden der Datenschutzbehörden war und ist der illegale Einsatz von Dashcams oder die nicht ausreichend gekennzeichnete beziehungsweise nicht hinreichend begründbare Videoüberwachung von Kunden und Mitarbeitern in sensiblen Bereichen.
Besonders KMU haben Verbesserungsbedarf
Bei den meisten Verfahren brachten Beschwerden Betroffener den Stein ins Rollen. Damit keine Lawine daraus wird, sind Unternehmen gut beraten, sofern noch nicht geschehen, ihr Datenschutzmanagement schnellstens rechtssicher zu gestalten. Wie die Datenschutzbehörden aller Länder übereinstimmend beobachten, haben besonders kleine und mittlere Unternehmen noch hohe Defizite bei der DSGVO-Compliance.
Autor: Daniela Maria Hübsch
Bild: stockphoto