DSGVO-Bußgelder: Die Schonfrist ist vorbei

Es geht los mit den Bußgeldern gegen große, aber auch kleine Unternehmen. Die vereinzelten Bußgelder, die die Aufsichtsbehörden seit Anwendungsbeginn im Mai 2018 verhängten, sorgten bisher für relativ wenig Aufsehen. Das scheint sich nun zu ändern: Es liegen sowohl Beschwerden gegen große Firmen wie Apple, Netflix, Youtube und Google vor, als auch Bußgelder gegen Verstöße von kleineren Unternehmen. Besonders die treffen die hohen Strafen meist unvorbereitet. In Deutschland ergingen bisher in 41 Fällen Bußgeldbescheide aufgrund von DSGVO-Verstößen. Die meisten Untersuchungen werden durch Beschwerden ausgelöst, so wie auch im Fall von Google Frankreich.

Bußgelder treffen Kleinunternehmer

Ein fehlender Auftragsverarbeitungsvertrag ist der Grund für ein Bußgeld von 5000 €, das gegen das kleine Versandunternehmen Kolibri Image verhängt wurde. Das Unternehmen bat im Mai 2018 um Unterstützung des hessischen Datenschutzbeauftragten, da sie Probleme mit dem Auftragsverarbeitungsvertrages eines beauftragten Dienstleisters hatten. Die Firma setze die unterstützenden Anweisungen der Behörde nicht um. Die zuständigen Beauftragten aus Hamburg sahen hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO und verhängten ein Bußgeld von satten 5000 € zzgl. 250 € Bearbeitungsgebühr.

Laut Art. 28 Abs. 3 DSGVO muss die Datenverarbeitung durch den Beauftragten grundsätzlich aufgrund eines Vertrages erfolgen. In diesem sollten insbesondere folgende Punkte geregelt werden:

 Gegenstand und Dauer der Verarbeitung

 Art und Zweck der Verarbeitung

 Art der personenbezogenen Daten

 Kategorien von betroffenen Personen

 Rechte und Pflichten des Verantwortlichen

Zu den Rechten und Pflichten des Verantwortlichen enthält Art. 28 DSGVO weitere explizite Angaben. Neu ist, dass die Vorschrift abschließende Regelungen zur Weisungsbefugnis und der Beauftragung von Unterauftragnehmern trifft. Anders als noch im BDSG ist so beispielsweise vorgeschrieben, dass der Einsatz von neuen Unterauftragnehmern nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen zulässig ist.

Lesen Sie hier mehr zum 5000 € Bußgeld für den fehlenden Auftragsverarbeitungsvertrag.

- Anzeige - 

Auftragsverarbeitungsverträge sind eine Hürde, die auch Sie noch nicht zu meistern wissen? Dann wird es höchste Zeit, das zu ändern! Damit Sie von Bußgeldern verschont bleiben haben wir ein Produkt entwickelt, das Ihnen gibt, was Sie brauchen, um das Thema Datenschutz abzuhaken. Passgenau für Ihren Webshop. Erfüllen Sie mit Datenschutz 360 ganz einfach und ohne rechtliche Vorkenntnisse die gesetzlichen Anforderungen und die Erwartungen Ihrer Kunden.

Auch Streaming-Riesen und Google scheitern bei DSGVO-Umsetzung

Apple Music, Netflix, Amazon Prime und weitere fünf Streaming-Anbieter sind beim Test der Datenschutzorganisation noyb knallhart durchgefallen. Alle acht verstoßen gegen die DSGVO. Kunden haben laut DSGVO ein Recht auf Auskunft über sowohl die Art und Weise der Speicherung ihrer personenbezogenen Daten, als auch auf eine Kopie mit allen zu ihrer Person gespeicherten Daten. Das erschreckende Ergebnis: Im Test antworteten die zwei Streamingdienste DAZN und Soundcloud überhaupt nicht auf die Auskunftsersuche. Die anderen sechs Anbieter (Apple Music, Amazon Prime, Netflix, Spotify, Youtube und Flimmit) reagierten zwar fristgerecht, aber ihre Antworten wurden den DSGVO-Vorschriften nicht gerecht. Eine Probe für die DSGVO: Denn Fälle wie diese können die Behörden mit Strafen von 20 Millonen Euro oder vier Prozent des weltweiten Umsatzes ahnden. Jetzt bleibt abzuwarten inwieweit die Regeln auch wirklich angewendet werden.

Lesen Sie hier mehr zur Beschwerde von Aktivist und Jurist Max Schrems und seiner neuen Datenschutzorganisation noyb gegen die Streaming-Riesen.

DSGVO-Bußgeld gegen Google in Frankreich

In Frankreich zog eine Beschwerde von Max Schrems und noyb nun bereits eine 50 Millionen €-Strafe gegen Google nach sich. Die erste DSGVO-Strafe der französischen Datenschutzbehörde CNIL. Durch eine Untersuchung stellte die Behörde fest, dass Informationen zur Verwendung der erhobenen Daten und dem Speicherzeitraum für Nutzer nur zu schwer zugänglich und zudem unklar formuliert seien. Einen weiteren DSGVO-Verstoß sah sie in der eingeholten Zustimmung zur Anzeige personalisierter Werbung. Google würde seine Nutzer diesbezüglich nicht ausreichend informieren, wodurch die Einwilligung laut DSGVO ungültig wird. Lesen Sie hier mehr.

Über die Autorin

Lilian Boll ist als Content Marketer bei der Trusted Shops GmbH im Bereich Legal Services tätig. Verantwortlich für Content rund um Abmahnschutz und Datenschutz 360. Studium in Medien- und Kulturwissenschaften an der Heinrich-Heine-Universität Düsseldorf und mehrjährige journalistische Erfahrung.