Dass Verstöße gegen die DSGVO teuer werden können, musste kürzlich der Immobilienkonzern Deutsche Wohnen nach einem Bußgeldbescheid der Berliner Datenschutzbehörde erfahren: Das Unternehmen hatte Daten auf einem Archivsystem gespeichert, auf dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. An diesem Zustand hatte sich auch nach Aufforderung durch die Behörde nichts geändert

Ein wesentlicher Grund für das hohe Interesse an der Datenschutz-Grundverordnung (DSGVO) ist nicht immer der Datenschutz an sich, sondern die Sorge, eine Datenschutzverletzung könne zu einem empfindlichen Bußgeld führen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) will die Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts erhöhen und hat im Oktober 2019 ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen veröffentlicht.

Das Konzept gestaltet im Wesentlichen die Vorgaben des Artikels 83 DSGVO aus. Dort findet man auch Aussagen dazu, wie sich die richtige Meldung einer Datenschutzverletzung auf ein Bußgeld auswirken wird.

Einzelne Aspekte

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Höhe wird unter anderem berücksichtigt:

  • Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

die mögliche Höhe eines Bußgeldes Wer also wegen der möglichen Bußgelder besorgt ist, sollte sich mit diesen Punkten eingehender befassen als zu versuchen, vorab zu ermitteln.

Bußgeld bei Meldung einer Datenpanne?

Mit der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG) wird klargestellt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder seine Angehörigen nur mit Zustimmung des Meldepflichtigen verwendet werden darf. Gleiches gilt bei der Einleitung eines Strafverfahrens nach § 42 BDSG.

Verantwortliche müssen daher bei einer Meldung nicht fürchten, dass auf dieser Grundlage ein Bußgeldverfahren eingeleitet wird.

„Es stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“, erklärte bereits der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit.

Allerdings ist zu beachten: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Daher raten die Aufsichtsbehörden dringend, bei Verletzungen des Schutzes personenbezogener Daten eine Meldung zu machen. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, ist dies in jedem Fall sorgfältig zu dokumentieren und zu begründen.

Wenn hingegen Dritte die Datenpanne melden, dann steht die Frage im Raum, warum die Verantwortlichen diese Panne nicht selbst gemeldet haben.

Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden.

Der Schwerpunkt sollte in jedem Falle auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen. Dabei ist primär festzustellen, ob zwingende Vorgaben zum Schutz personenbezogener Daten tatsächlich verletzt wurden. Ist dies der Fall, sind Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Hinweisgebersysteme müssen eingerichtet werden

    Hinweisgebersysteme müssen eingerichtet werden

    Am 17.12.2021 hätte die Whistleblower-Richtlinie (EU) 2019/1937 in nationales Recht umgesetzt werden müssen. Der deutsche Gesetzgeber ist dem bis jetzt jedoch nicht nachgekommen. Die Richtlinie soll es Arbeitnehmern und anderen Beteiligten ermöglichen, mittels eines...

    read more
    Wer „haftet“ eigentlich im Datenschutz?

    Wer „haftet“ eigentlich im Datenschutz?

    Geht es danach, wer in einer Organisation die Verantwortung für den Datenschutz trägt, richten sich schnell die Augen auf die oder den Datenschutzbeauftragten (DSB). Menschen machen Fehler und schnell ist im „Datenschutz-Alltag“ etwas übersehen. Aber rechtfertigt eine...

    read more
    „Privacy by Design“ zwischen Wunsch und Wirklichkeit

    „Privacy by Design“ zwischen Wunsch und Wirklichkeit

    Die Forderung nach Datenschutz durch Technikgestaltung hat eine zentrale Bedeutung in der Datenschutz-Grundverordnung (DSGVO). So manches Software-Produkt fällt negativ auf, weil Anforderungen aus dem Datenschutz bei der Entwicklung nicht beachtet wurden.  Die DSGVO...

    read more