Bußgelder und Schadenersatz

Seit die DSGVO letztes Jahr in Kraft getreten ist, fragten sich viele, ob von den Aufsichtsbehörden nun wirklich Bußgelder verhängt werden, die den betroffenen Unternehmen „wehtun“. Diese Frage kann man mittlerweile als geklärt ansehen. Ich zitiere nur einige Beispiele für Bußgelder (die Höhe bemißt sich nach der Schwere des Verstoßes und dem Jahresumsatz):

• Auftragsverarbeitung begonnen,
  ohne dass ein Vertrag zur Auftragsverarbeitung vorlag (d.h. Daten der Nutzer an Dritte weitergegeben):
  5000€ Bußgeld
  
  Kommentar: das kann ganz schnell gehen – Sie haben einfach übersehen, dass Sie Daten an Dritte weitergeben und diese Weitergabe als Auftragsverarbeitung einzustufen ist – jemand bekommt dies mit und beschwert sich bei der Aufsichtsbehörde.
  
  
• Missachtung von Auskunfts-, Lösch- und Widerspruchsrechten
  der Kunden in mehreren Fällen (10 Konten nicht nach Aufbewahrungsfrist gelöscht, Zusendung von Werbemails trotz Widerspruch an 8 Kunden, Selbstauskunft in 5 Fällen nicht erteilt):
  195000€ Bußgeld
  
  Kommentar: Stellen Sie sicher, dass Sie Informationen nur speichern, bis Sie sie nicht mehr benötigen und prüfen Sie vor dem Versand von Werbe- und Informationsmails – auch an gesammelte oder eingekaufte Mailadressen – sorgfältig, ob der Empfänger seine Einwilligung zur Zusendung gegeben hat und Sie dies ggfls. auch nachweisen können. Reagieren Sie zügig auf Auskunftsanfragen von Nutzern, auch wenn die „nur“ Ihre Website besucht haben – es läuft eine Frist von maximal 31 Tagen.
  
  
• „Datenfriedhof“ (Zitat der Aufsichtsbehörde):
  Speicherung von Mieterdaten inkl. Gehaltsabrechnungen, Selbstauskünften usw. ohne Prüfung, ob eine Speicherung der Daten (noch) zulässig oder erforderlich ist, in einem Archivsystem, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu löschen. Wegen der hohen Zahl von Betroffenen:
  14,5 Millionen Euro Bußgeld
  
  Kommentar: Dieser Fall fällt natürlich unter „sanfte Hinweise haben nicht geholfen“ – die Behörde hatte schon vor 2 Jahren nach einem Ortstermin auf die Mißstände hingewiesen, passiert war aber seitdem praktisch nichts. Nach der zweiten Kontrolle kam dann das Bußgeld. Daten, die Sie nicht mehr benötigen, sollten Sie identifizieren und löschen! Erarbeiten Sie dazu einen Prozess, den Sie einmal jährlich durchlaufen.
  

Zumindest in einigen dieser Fälle könnten die Betroffenen außerdem das Recht auf Schadenersatz haben. Wenn Sie Fragen zu diesen Fällen haben oder sich informieren wollen, wie Sie selbst Bußgelder vermeiden können, rufen Sie mich an.

Mit Inkfrafttreten der DSGVO haben auch alle Nutzer von (kommerziellen) Websites zusätzliche Rechte, die von manchen Nutzern auch eingefordert werden. Insbesondere hat jeder Nutzer einer Website ein Auskunftsrecht darüber, welche Daten von ihm verarbeitet worden sind. Nun werden Sie vielleicht denken „gar keine“ – das stimmt aber wahrscheinlich nicht. Und selbst wenn es so wäre, hat er ein Recht darauf, dass Sie ihm sozusagen bescheinigen, dass Sie nichts über ihn wissen. Und für alle diese Auskünfte haben Sie eine Frist von maximal 30 Tagen. Als Betreiber einer Unternehmens-Website sollten Sie auf jeden Fall (möglichst vor der ersten Anfrage) folgendes tun:

• Ihre Mitarbeiter darauf vorbereiten, dass derartige Anfragen kommen können – per Mail, Post oder Telefon
• Sie anweisen, zunächst nur den Eingang der Anfrage zu bestätigen und bei Telefonanrufen den Kontakt zu sichern
• sich einen Überblick darüber verschaffen, welche Daten Ihre Website sammelt (beispielsweise handelt es sich bei den häufig in Logfiles abgespeicherten IP-Adressen um personenbezogene Daten!)
• Eine Vorlage für eine Auskunft, angepasst an Ihre Website, erstellen, die dann mit den angefragten Daten gefüllt wird

Haben Sie schon eine Anfrage bekommen? Dann habe ich folgende Tips für Sie:

• Prüfen Sie genau, welche Daten Sie über den Nutzer haben, nicht nur auf der Website, sondern in Ihren Mails, Kundendaten, externen Mailing-Tools usw. Das schlechteste, was Sie tun können, ist dem Nutzer eine Auskunft zu geben, bei der er sofort erkennen kann, dass sie unvollständig ist, weil er z.B. von Ihnen Mails bekommen hat, Sie aber nur an die Website gedacht haben.
• Nutzen Sie die 30-Tage Frist nicht unbedingt bis zum letzten aus; eigentlich muss die Auskunft so bald wie möglich erteilt werden
• Denken Sie daran, dass durch die Auskunft selbst unter Umständen personenbezogene Daten entstehen, über deren Nutzung Sie den Gegenpart wiederum informieren müssen. Das ist vor allem dann etwas kurios, wenn Sie vorher tatsächlich keine Daten über die Person hatten – nach der Auskunftserteilung haben Sie natürlich Daten über ihn und Sie wollen diese auch aufbewahren, damit Sie z.B. gegenüber der Landesdatenschutzbehörde Rechenschaft ablegen können, falls der Nutzer sich dort beschwert.

Sie haben noch Fragen zum Auskunfts- und Löschanspruch oder brauchen Hilfe bei einer konkreten Anfrage? Sprechen Sie mich an. Ich habe in vergleichbaren Fällen bereits Beratungen durchgeführt.

Sie suchen einen externen Datenschutzbeauftragten? Ich verfüge über die notwendige Fachkunde und über umfangreiche praktische Erfahrung in der IT. Wenn man es richtig macht, kann man beispielsweise aus der Verpflichtung, ein Verfahrensvereichnis zu erstellen oder regelmößige Löschungen von Daten vorzunehmen, eine Win-Win Situation herstellen, bei der auch kleine Unternehmen, Praxen oder Einzelhändler ihre Prozesse geradliniger und beispielsweise für Krankheitsvertretungen durchschaubar machen können. Beispielsweise kann der Umgang mit einer Initiativbewerbung in einer kurzen Checkliste klar geregelt werden, womit gleichzeitig die Anforderungen an den Schutz der Daten des Bewerbers als auch eine gute Verständlichkeit für Mitarbeiter, Vertretungskräfte usw. umgesetzt werden.

Wenn Sie im Raum Oldenburg/Bremen einen externen Datenschutzbeauftragten suchen, sprechen Sie mich an. Ich verfüge über die notwendige Fachkunde gemäß Art. 37 Absatz 5 der DSGVO und kann diese durch eine absolvierte Schulung mit abschließender Prüfung nachweisen.