Nicht nur die Big Player wie Google, sondern auch KMU werden im Datenschutz sanktioniert

Datenschutz-Rückblick 2022: Bußgelder, Abmahnungen und sonstiger Ärger

Nach wie vor wird die Bußgeldberechnung der Aufsichtsbehörden – im Guten wie im Schlechten -kritisiert. Hauptkritikpunkt ist nach wie vor die Verknüpfung von Jahresumsatz (des Konzerns) und Bußgeld. Die DSGVO verlangt generell, dass die Verhängung von Geldbußen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sei. Im Gegenzug wird für „geringe“ Verstöße immer wieder die Erarbeitung eines „Bußgeldkatalogs“ diskutiert, aus dem sich für einzelne Vergehen Regelbußgelder ablesen lassen. „Aktuell ist die Bußgeldpraxis der Aufsichtsbehörden stark einzelfallbezogen und lässt die Höhe des konkreten Bußgelds nur sehr ungenau voraussagen, da auf zahlreiche Umstände des jeweiligen Einzelfalles abgestellt wird,“ so der mehrfach bestellte Datenschutzbeauftragte Dr. Jörn Voßbein.

Bereits Anfang des Jahres veröffentlichte die Hamburger Datenschutzbehörde ein Bußgeld in Höhe von 10.110,00 EUR gegen ein Autohaus, da dieses die Gesundheitsdaten eines Beschäftigten ohne Rechtsgrundlage an Dritte übermittelte. Hierzu genügte die schriftliche Mitteilung an 3.000 Stammkunden des Unternehmens, aktuell würden „Umstrukturierungsmaßnahmen aufgrund des krankheitsbedingten Ausfalls des Verkaufsleiters erfolgen“. Aus der Mitteilung ließ sich der Beginn der Arbeitsunfähigkeit des betroffenen Mitarbeiters entnehmen sowie die Information, dass sein Ausfall vorerst auf unbestimmte Zeit erfolgte. Auch wenn die Information als bloß organisatorische Ankündigung gedacht war, ließ sich aus den Angaben insbesondere für die Empfänger ein Personenbezug ableiten mit der Folge, dass für die anlasslose Veröffentlichung hochsensibler Daten des Beschäftigten keine Rechtsgrundlage bestand. „Selbst wenn man diese Strafe als sehr streng empfinden kann, zeigt der Vorfall, dass Datenschutz-Sensibilisierung im Unternehmen sehr bedeutsam ist,“ hebt der Datenschutzexperte Dr. Jörn Voßbein hervor.

Im März verhängte die Aufsichtsbehörde Bremen ein Bußgeld in Höhe von 1,9 Mio. EUR gegen die BREBAU GmbH, da diese in mehr als 9.500 Fällen Daten über Mietinteressenten verarbeitete, ohne dass es hierfür eine Rechtsgrundlage gab. Gesammelt wurden z. B. Informationen über Frisuren, den Körpergeruch und das persönliche Auftreten. Bei mehr als der Hälfte der Fälle handelte es sich um besonders geschützte Daten nach Art. 9 DSGVO, wie Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand. Entsprechende Auskunftsersuchen wurden nicht oder nicht zutreffend beantwortet. Generell sind „Schwarze Listen“, „Warndateien“ oder ähnliches immer wieder Anlass für aufsichtsbehördliche Maßnahmen. Die Höhe des Bußgeldes ist in diesem Fall sicherlich sowohl der Größe des Verantwortlichen als auch dem Umfang der Datenschutzverletzung zuzurechnen.

Doch selbst „formale“ Verstöße können Bußgelder in beträchtlicher Höhe nach sich ziehen. So kassierte ein Handelskonzern ein Bußgeld in Höhe von 525.000 EUR für die fehlerhafte Bestellung ihres Datenschutzbeauftragten. Im vorliegenden Fall bestellte das Unternehmen den Geschäftsführer von zwei Dienstleistungsgesellschaften zum Datenschutzbeauftragten des eigenen Unternehmens. „Die von der Aufsichtsbehörde bemängelte fehlende Unabhängigkeit des Datenschutzbeauftragten ist nachvollziehbar, schließlich würde sich so der Datenschutzbeauftragte selbst kontrollieren müssen,“ so der Datenschutzfachmann Dr. Jörn Voßbein. Die Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns; stellten den Kundenservice und führen Bestellungen aus. Aufgabe des Dienstleisters war gerade die Verarbeitung personenbezogener Daten im Auftrag des Unternehmens, für das er als Datenschutzbeauftragter tätig war.

Immer häufiger treten neben Bußgeldern oder sonstige Sanktionen der Aufsichtsbehörden etwa in Form von Untersagungen etc. auch zivilrechtliche Ansprüche von betroffenen Personen. So kam es etwa Oktober 2020 bei dem Finanzdienstleister Scalable Capital zu einem Hackerangriff, bei dem Dritte in mehr als 30.000 Fällen Kunden-Daten erbeuteten (u. a. Ausweisdaten, Name, Adresse, Wertpapierabrechnungen, steuerliche Daten). Ermöglicht hatte dies das Versäumnis des Unternehmens, Passwörter regelmäßig zu ändern und sich von der Löschung der alten Passwörter zu überzeugen. Der Vorfall wurde der Aufsichtsbehörde gemeldet und den Betroffenen mitgeteilt. Daraufhin klagte ein Betroffener und bekam einen immateriellen Schadensersatzanspruch in Höhe von 2.500 EUR zugesprochen, obwohl von den entwendeten Daten kein Gebrauch gemacht wurde (Landgericht München, Urteil vom 09.12.2021 - Az.: 31 O 16606/20). Hochgerechnet auf 30.000 Betroffene würde hier – auch ohne verhängtes Bußgeld – dennoch ein erheblicher Schaden entstehen.

In die gleiche Richtung läuft die aktuelle Auseinandersetzung um Google Fonts, die aktuell die Berichterstattung dominiert und „seit dem Urteil des Landgerichts München im Wege zahlloser Abmahnungen betrieben wird,“ kritisiert der mehrfach bestellte Datenschutzbeauftragte Dr. Jörn Voßbein. Auch hier steht weder ein Bußgeld der Aufsichtsbehörde, noch ein einzelner Schadensersatzanspruch im Mittelpunkt. Die sicherlich rechtsmissbräuchliche Praxis einiger Kanzleien, Abmahnungen in tausenden von Fällen zu verschicken, verursacht aber dennoch unbezifferbare Schäden. „Wäre der Datenschutzbeauftragte frühzeitig in Website-Projekte eingebunden, würden solche Probleme oftmals nicht entstehen,“ verweist Dr. Voßbein und ergänzt: „Auch wenn wir die meisten Abmahnungen als ungenügend zurückweisen konnten, so hatte man natürlich den Ärger und den Aufwand.“

Die aufgeführten Beispiele stellen lediglich einen kleinen Auszug aus der aktuellen Bußgeldpraxis bzw. Rechtsprechung zum Datenschutz dar. Aktuell scheint sich der Trend abzuzeichnen, datenschutzrechtliche Verstöße nicht nur in die Hände der Aufsichtsbehörden zu legen, sondern darüber hinaus auch als „Betroffener“ (oder dessen Rechtsvertreter) tätig zu werden. So können sich selbst kleine Missgeschicke, die die Aufsichtsbehörden nicht ernsthaft sanktionieren würden, in der Summe zu erheblichem Ausmaß auswachsen.