Erste Strafen bei der DSGVO

Seit dem Fristablauf zur Umsetzung der DSGVO herrscht in der Unternehmerlandschaft große Unsicherheit über die tatsächliche Handhabung des Strafrahmens. [...]

Andreas Schütz, Anwalt bei Taylor Wessing. (c) Taylor Wessing

Als Zwischenbilanz lässt sich festhalten, dass dieser bisher weder zur Gänze ausgereizt, noch zu milde angewandt wurde. Die ersten nennenswerten, möglicherweise sogar richtungsweisenden Entscheidungen sind etwa jene der portugiesischen Datenschutzbehörde CNPD, des Baden-Württembergischen Landesbeauftragten für Datenschutz oder der englischen Behörde ICO. Die CNPD hat kürzlich eine Geldbuße in Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Krankenhausmitarbeiter hatten durch falsche Profile rechtswidrig auf Unmengen von Patientendaten Zugriff. Das Krankenhaus hatte nur 296 registrierte Ärzte, wohingegen das Profilmanagementsystem 985 Konten auflistete.

Das deutsche soziale Netzwerk knuddels.de kam hingegen noch mit einer milden Strafzahlung in Höhe von 20.000 Euro davon. Ein Hacker hatte ca. 330.000 Nutzerdaten erbeutet, wobei der achtlose Umgang mit diesen Daten aufgedeckt wurde. Als gravierender Verstoß gegen die DSGVO wurde insbesondere die unverschlüsselte Aufbewahrung der Passwörter gesehen. Gegen den Flughafen London Heathrow verhängte die ICO ein Bußgeld von umgerechnet 135.700 Euro wegen eines durch Mitarbeiter des Flughafens verlorenen USB-Sticks, samt nicht verschlüsselten- und nicht passwortgeschützten Daten. Überdies ergab die darauffolgende Untersuchung der ICO, dass nur circa zwei Prozent der Mitarbeiter zur Datensicherheit geschult waren.

Als vergleichbar kann man die Situation in Österreich derzeit noch nicht bezeichnen. Während die österreichische Datenschutzbehörde (DSB) derzeit ca. 1.000 Beschwerden prüft, liegen inzwischen erst vier Strafen im Rahmen von 300 bis 4.800 Euro vor. Zu beachten ist allerdings der Unterschied in der Dimension der Verantwortlichen. Während die vorangehenden Entscheidungen komplexe organisatorische Einheiten betreffen, sind die Adressaten der Strafzahlungen in Österreich der Besitzer eines Imbissstandes, zwei kleine Wettlokale – allesamt wegen unzulässiger Videoüberwachung – sowie ein PKW-Lenker, weil dieser unerlaubt eine Dashcam nutzte.

Es bleibt abzuwarten, wie die weiteren Entscheidungen der DSB sowie der Datenschutzbehörden in den anderen EU Ländern ausfallen, insbesondere wenn es zu Datenschutzverstößen durch größere Einheiten (im Vergleich zu den bisher verurteilten Kleinunternehmern und Privaten) kommt.

Werbung


Mehr Artikel