Ersten Reaktionen der Aufsichtsbehörden auf Verstöße gegen die Regelungen der DSGVO

Nach Angaben des Handelsblatts (Online-Ausgabe vom 21.01.2019, www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/) wurden bisher von Aufsichtsbehörden bundesweit 41 Bußgelder wegen Verstößen gegen die DS-GVO verhängt.

Das erste Bußgeld nach Inkrafttreten der DS-GVO sprach der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg aus. Ausgangspunkt war ein Verstoß gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit. Nach einem Hacker-Angriff auf die IT-Infrastruktur eines Social-Media Anbieters waren personenbezogene Daten der Nutzer, unter anderem Passwörter und E-Mail Adressen, bekannt geworden. Diesen Vorfall meldete der Verantwortliche gegenüber der Aufsichtsbehörde. Nach deren Angaben hatte das Unternehmen die Passwörter der Nutzer im Klartext gespeichert, wodurch der Angriff auf die IT-Sicherheitsarchitektur erleichtert worden war. Das Bußgeld belief sich auf 20.000,00 €. Zusammen mit den technischen Maßnahmen, die der Verantwortliche umsetzte, um ein Sicherheitsniveau zu erreichen, das dem Stand der Technik entspricht, wendete das Unternehmen einen Gesamtbetrag in sechsstelliger Höhe auf. Obwohl sich die Strafe, gemessen an dem möglichen Bußgeldrahmen, weit im unteren Bereich bewegt, hätte sie gleichwohl höher ausfallen können. Bei der Strafzumessung war gegenüber dem Verantwortlichen unter anderem „dessen sehr gute Kooperation mit dem LfDI in besonderem Maße“ gewürdigt worden (vgl.: www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo).

Es muss aber nicht immer eine Datenpanne vorliegen, damit die Aufsichtsbehörde Prüfungen im Unternehmen durchführt. Die DS-GVO räumt den zuständigen Aufsichtsbehörden auch die Möglichkeit der anlasslosen Überprüfung (Art. 58 DS-GVO) ein. Zur Prüfung der Einhaltung datenschutzrechtlicher Vorschriften kann die Behörde die Bereitstellung der erforderlichen Informationen verlangen.

Aber worauf legen Aufsichtsbehörden bei der Prüfung eines Unternehmens ihren Schwerpunkt? Erste Anhaltspunkte zur Beantwortung dieser Frage finden sich in den durch das Bayerische Landesamt für Datenschutzaufsicht veröffentlichte Mustern zur Prüfung der Umsetzung der DS-GVO bei kleinen und mittleren Unternehmen (vgl.: www.lda.bayern.de/media/pruefungen/201811_kmu_fragebogen.pdf) sowie Konzernen und „Datengetriebenen Unternehmen“ (vgl.: www.lda.bayern.de/media/pruefungen/201810_rechenschaftspflicht_fragebogen.pdf). Danach liegt der Fokus der bayerischen Datenschützer auf der Umsetzung formeller Anforderungen und konzeptioneller Ansätze, insbesondere der Organisation des Unternehmens im Umgang mit Datenschutz.

Möchten Sie mehr über diesen Themenkomplex erfahren, beraten wir Sie gerne.