Was Sie darüber wissen müssen, welche Datenschutzverletzungen mit Bußgeldern belegt werden, und wie Sie diese vermeiden können

Rebecca Wine
By: Rebecca Wine DSGVO | 7 Dezember

Aufgrund der Art und Weise, wie die DSGVO geschrieben wurde, und dass sie noch relativ neu ist, gibt es viele offene Fragen. Zum Beispiel: Woher wissen wir, ob die Richtlinien und Verfahren unserer Organisation den Anforderungen der DSGVO entsprechen? Wie hoch sind die Bußgelder im Falle einer Datenschutzverletzung? 

DLA Piper veröffentlichte am 20. Januar 2021 einen Bericht, der DSGVO-Bußgelder und Datenschutzverletzungen des letzten Jahres zusammenfast (die Website ist auf Dänisch, aber Sie finden den englischen Bericht hier). Dieser Bericht gibt uns eine bessere Vorstellung davon, welche Datenschutzverletzung en häufiger geahndet werden und bei welcher Art von Datenschutzverletzungen in Zukunft mit Bußgeldern zu rechnen ist. 

Dieser Artikel hilft Ihnen, ein tieferes Verständnis dafür zu bekommen, auf welche Arten von Datenschutzverletzungen Sie besonders achten sollten und welche spezifischen Strategien Sie anwenden können, um ein Bußgeld für Ihr Unternehmen zu vermeiden.  

Die höchsten Bußgelder im letzten Jahr

Die nachfolgende Tabelle zeigt die drei höchsten Bußgelder, die im letzten Jahr verhängt wurden, und verdeutlicht, warum es wichtig ist, die DSGVO ernst zu nehmen.

Rank

Aufsichtsbehörde

Bußgeld

Grund

1.

Frankreichs Datenschutzbehörde CNIL

50 Mio. EUR

Google Inc. wurde für Folgendes zu einem Bußgeld verurteilt: Das Versäumnis, angemessen zu erklären, wie das Unternehmen Daten verarbeitet. Das Fehlen einer rechtlichen Grundlage für die Verarbeitung von Daten in Bezug auf personalisierte Werbung.

2.

Die Hamburger Datenschutzbehörde

36,26 Mio. EUR

Ein globaler Einzelhändler wurde für Folgendes zu einem Bußgeld verurteilt: Das Fehlen einer ausreichenden rechtlichen Unterstützung für die Datenverarbeitung.

3.

Italiens Datenschutzbehörde, die Garante

27,8 Mio. EUR

Ein Telekommunikationsbetreiber wurde für Folgendes zu einem Bußgeld verurteilt: Das Versäumnis, angemessen zu erklären, wie er Daten verarbeitet. Das Fehlen einer rechtlichen Grundlage für die Datenverarbeitung. Und mehr.

 

Dieser Artikel behandelt Folgendes: 

  • Die Möglichkeit eines Einspruchs gegen Bußgelder

  • Überlegungen für multinationale Unternehmen

  • Vier Arten von Datenschutzverletzungen, die im letzten Jahr häufig mit Bußgeldern belegt wurden

  • Illegaler Datentransfer in Drittländer: zukünftige Bußgelder im Bereich Daten

Smart CTA_e-book DE

Gegen DSGVO-Bußgelder kann Einspruch eingelegt werden.

Innerhalb des letzten Jahres meldeten die EU-Länder einen Anstieg der Meldungen von Datenschutzverstößen um 19 %. Dies entspricht einem Durchschnitt von 331 Meldungen pro Tag. Die Aufsichtsbehörden haben seit dem 28. Januar 2020 insgesamt 158,5 Mio. Euro an Bußgeldern verhängt, doch das ist noch nicht alles. Einige Unternehmen haben erfolgreich Einspruch gegen diese Forderungen eingelegt, was zu einer starken Reduzierung der zu erwartenden Geldbußen führte. Die Bußgelder wurden um 80–90 % reduziert – zum Teil aufgrund der finanziellen Schwierigkeiten, die durch Covid-19 verursacht wurden.

Die wichtigste Erkenntnis hier: Es lohnt sich, Einspruch zu erheben und die vorgesehenen Bußgelder anzufechten.

Welche Arten von Datenschutzverletzungen werden mit Bußgeldern belegt?

Die gleichen Regeln werden auf unterschiedliche Weise durchgesetzt.

Da jedes Land seine eigene Aufsichtsbehörde hat, variieren Datenschutzverletzungen und Geldstrafen von Land zu Land. Auch wenn alle Datenschutzgesetze in der EU und im Vereinigten Königreich ihren Ursprung in der DSGVO haben, unterscheiden sich die Compliance-Kulturen in Unternehmen stark.

Hinzu kommt, dass die einzelnen Datenschutzbehörden die Gesetzgebung unterschiedlich auslegen und daher unterschiedliche Durchsetzungsmethoden haben. Diese Unsicherheit ist für multinationale Unternehmen, die in vielen verschiedenen Ländern tätig sind, die größte Herausforderung, da es für sie schwieriger ist, die unterschiedlichen Auslegungen der DSGVO zu antizipieren und umzusetzen. Dennoch wurden die nachfolgend zusammengefassten Bußgelder unabhängig von der Aufsichtsbehörde häufig verhängt.

Versäumnis, klar und offen darüber zu kommunizieren, wie Daten verarbeitet werden.

Unternehmen sind in Schwierigkeiten geraten, wenn sie Nutzern gegenüber nicht offen und klar dargelegt haben, wie sie deren personenbezogenen Daten verarbeiten. Die wichtigste Art und Weise, wie sie dies zeigen, ist in ihrem Datenschutzhinweis. Dieser Hinweis muss den einzelnen Nutzern auf einfache Weise erklären, wie das Unternehmen die personenbezogenen Daten verwendet und wie seine Praktiken mit der DSGVO übereinstimmen.

Unternehmen werden bestraft, wenn sie übermäßig komplizierte Datenschutzhinweise haben. Sie wurden auch bestraft, wenn die Hinweise zu grob, ungenau oder unvollständig waren. Wenn Sie beispielsweise personenbezogene Daten in ein Drittland (das nicht in der EU liegt) übermitteln, dies aber nicht kommunizieren, ist Ihr Datenschutzhinweis. Weitere Informationen darüber, wie Sie sicherstellen können, dass Sie die DSGVO einhalten und Geldbußen vermeiden, finden Sie hier.

Es ist ein schmaler Grat …

Die Herausforderung bei der Formulierung von Datenschutzhinweisen kann darin bestehen, dass Ihr Publikum, wenn Sie zu viele Details angeben, diese möglicherweise nicht versteht, was gegen den Transparenzgrundsatz der DSGVO verstößt. Wenn Sie andererseits zu wenig ins Detail gehen, riskieren Sie ein Bußgeld für ungenaue oder unvollständige Informationen.

Mögliche Lösung: Wählen Sie in Bezug auf Datenschutzhinweise einen „mehrstufigen Ansatz“. Bei diesem Ansatz wird der Datenschutzhinweis auf drei verschiedene Arten präsentiert.

  1. Ein kurzer Hinweis (eine kurze Erklärung, warum Sie personenbezogene Daten verwenden, und wo man weitere Informationen erhält).

  2. Ein mittellanger Hinweis (eine Grafik, die beschreibt, wie Sie personenbezogene Daten verwenden).

  3. Ein langer Hinweis (ein vollständiger und gründlicher Hinweis, der alle notwendigen Informationen zur Einhaltung der DSGVO enthält).

Doch auch dies ist keine hundertprozentige Lösung. Unternehmen wurden auch für diese Methode schon zu Bußgeldern verurteilt, da die Benutzer in einigen Fällen zu viele verschiedene Datenschutzhinweise lesen und abhaken mussten. In diesem Fall wurden die Informationen auf eine Weise präsentiert, die für den Benutzer viel zu kompliziert war.

Die Quintessenz ist, dass es äußerst schwierig sein kann, normalen Verbrauchern, die kein Jurastudium absolviert haben, die Komplexität der Datenverarbeitung zu erklären. Unterm Strich hatte der Bericht keine überzeugende Lösung für dieses Problem. Die wichtigste Erkenntnis hier: Gehen Sie beim Verfassen von Datenschutzhinweisen mit Vorsicht vor und holen Sie sich im Zweifelsfall Hilfe.

Fehlen eines rechtlichen Grundes für die Verwendung personenbezogener Daten oder dessen Nachweis.

Es gibt viele verschiedene Szenarien, in denen Ihr Unternehmen einen rechtlichen Grund für die Verarbeitung von Daten hat.

Zum Beispiel: Ihr Unternehmen verkauft ein Abonnement für eine Musik-App und bittet den Verbraucher um Zustimmung, damit Sie seine musikalischen Vorlieben berücksichtigen können, um ihm andere Lieder und Künstler vorzuschlagen, die ihm gefallen könnten.

Gegen Unternehmen wurden Bußgelder verhängt, weil es ihnen rechtlich nicht erlaubt war, personenbezogene Daten zu verarbeiten. Sie wurden sogar dann mit einem Bußgeld belegt, wenn zwar eine Rechtsgrundlage für die Verarbeitung bestand, das Unternehmen diese aber nicht ordnungsgemäß nachgewiesen oder dokumentiert hatte. Aus diesem Grund ist die Dokumentation genauso wichtig wie das Vorhandensein einer Rechtsgrundlage für die Verarbeitung.

Und schließlich wurden Unternehmen mit Bußgeldern belegt, wenn die Verarbeitung auf einer ungültigen Zustimmung beruhte. Dies ist ein weit gefasster Begriff, der ein breites Spektrum an Situationen abdeckt. Dazu gehören: Jemand könnte bestraft werden oder eine Chance verpassen, wenn er keine Zustimmung gibt, er könnte nicht erkennen, dass er seine Zustimmung gegeben hat, die Organisation nennt sich nicht ausdrücklich, wenn sie um Zustimmung bittet, und viele mehr. 

  1. Um sicherzustellen, dass personenbezogene Daten legal verwendet werden, sollten Unternehmen Folgendes haben.

  2. Gute Datenzuordnung in gründlichen und genauen Aufzeichnungen der Verarbeitung.

  3. Regeln und Richtlinien, die personenbezogene Daten angemessen schützen.

  4. Dokumentation, die zeigt, dass sie personenbezogene Daten legal verwenden können. 

  5. Klare Datenschutzhinweise, die jede Verarbeitungsaktivität mit dem Gesetz in Zusammenhang bringen, das ihnen die Verwendung der Daten erlaubt. 

     

Mögliche Lösung: Sie können einen risikobasierten Ansatz anwenden, bei dem sie risikoreicheren Verarbeitungsaktivitäten mehr Zeit und Aufmerksamkeit widmen. Für diese Aktivitäten ist es wichtig, dass sie eine Datenschutz-​Folgenabschätzung (Data Protection Impact Assessment, DPIA) durchführen. Dabei handelt es sich um eine Art von Risikoeinschätzung, die dabei helfen kann, festzustellen, wo bei einem bestimmten Projekt oder Plan Datenschutzrisiken bestehen. Wenn Sie dieses Bewertungsinstrument richtig einsetzen, können Sie nachweisen, auf welche Weise Sie alle Ihre Datenschutzverpflichtungen einhalten 

Versäumnis, geeignete Sicherheitsmaßnahmen zu implementieren.

Gemäß DSGVO müssen Unternehmen „angemessene“ Maßnahmen ergreifen, um ein Sicherheitsniveau zu gewährleisten, das dem Risiko für die Person gerecht wird, deren Daten Sie verarbeiten. Der Begriff „angemessen“ ist sehr subjektiv, was es für Unternehmen schwierig macht, solche Maßnahmen adäquat zu identifizieren und umzusetzen. Anhand der Bußgelder, die im vergangenen Jahr verhängt wurden, können wir jedoch ein besseres Gefühl dafür bekommen, was als angemessene Sicherheitsmaßnahmen gilt.

Die folgende Tabelle ist eine Auflistung von Sicherheitsmaßnahmen, die zur Vermeidung eines Bußgeldes erforderlich sein können.

Sicherheitsmaßnahme

Erklärung

Überwachung privilegierter Benutzerkonte

Ein privilegierter Benutzer ist jemand, der Zugriff auf Systeme und Daten hat, die sensibel sein könnten und besonders geschützt werden müssen. Deshalb ist es wichtig, diese Benutzer zu überwachen, indem ihr Verhalten analysiert und Berichte erstellt werden, um sicherzustellen, dass personenbezogene Daten geschützt werden.

Serverhärtung

A process that boosts a server’s protection, using techniques to prevent access to administrator accounts

Encrypting personal data

Unter Verschlüsselung versteht man den Vorgang, der Klartext in einen Code umwandelt, der nur mit einem speziellen Schlüssel wieder entschlüsselt werden kann. Sie eignet sich besonders zum Schutz sensibler persönlicher Daten.

Multi-Faktor-Authentifizierung

Eine zusätzliche Sicherheitsmaßnahme, bei der der Benutzer zwei oder mehr Verifizierungsfaktoren angeben muss, um Zugang zu einer Anwendung, einem Online-Konto oder anderem zu erhalten. Dabei kann es sich um ein zuvor festgelegtes Passwort handeln, gefolgt von einem Code, der Ihnen zugeschickt wird oder den Sie in physischer Form haben.

Zugangskontrollen

Diese Kontrollen garantieren, dass Benutzer auch die sind, für die sie sich ausgeben, und dass sie auf die Unternehmensdaten zugreifen dürfen. Sie sollten die Kontrollen bedarfsorientiert einsetzen und daran denken, den Zugang eines Benutzers zu widerrufen, wenn er nicht mehr benötigt wird.

Penetrationstest

This is a simulated cyber-attack against your computer system to check where you are vulnerable, and what can be exploited. This is not a one-off measure, and should be used regularly.

Hardcoding-Passwörter vermeiden

Hardcodierung von Passwörtern (nur-Text-Passwörter) können leicht gehackt werden. Hardcodierung sind die im Quellcode eingebetteten nur-text Passwörter. Das Hardcodieren von Passwörtern sollte vermieden werden.

Protokollierung fehlgeschlagener Zugriffsversuche

Es ist wichtig, fehlgeschlagene Zugriffsversuche zu protokollieren. Wenn es zu einem Datenverstoß kommt, macht es dieses Protokoll viel einfacher, ihn zu verfolgen und zu untersuchen.

Manuelle Code-Reviews

Dies ist der Prozess, bei dem der Quellcode Zeile für Zeile gelesen wird, um herauszufinden, wo Ihr Unternehmen anfällig sein könnte. Dieser Vorgang könnte auch personenbezogene Daten aufdecken, die nicht korrekt gespeichert sind. Insgesamt kann die Sicherheit eines Unternehmens dadurch erheblich verbessert werden.

Verwendung des Payment Card Industry Data Security Standard (PCI DSS)

Die Verwendung dieser Sicherheitsstandards stellt sicher, dass Ihr Unternehmen Kreditkarteninformationen auf die sicherste Art und Weise annimmt, verarbeitet, speichert und überträgt.

 

Mögliche Lösung: Unternehmen sollten prüfen und evaluieren, ob eine dieser Maßnahmen im Rahmen ihrer Bemühungen zum Schutz personenbezogener Daten erforderlich ist. Unternehmen sollten auch erwägen, die Grundlage dafür zu dokumentieren, warum sie eine bestimmte Sicherheitsmaßnahme eingeführt oder weggelassen haben.

Verstoß gegen die Grundsätze der Datenminimierung und Datenspeicherung.

Unternehmen wurden mit Bußgeldern belegt, wenn sie zu viele Daten verarbeitet oder gespeichert haben. In den zwei Jahrzehnten vor der Verabschiedung der DSGVO gab es nur sehr wenige Vorschriften darüber, wie personenbezogene Daten verwendet werden durften, bei gleichzeitig enormem Anstieg der Menge an personenbezogenen Daten, die von Unternehmen verarbeitet und gespeichert wurden. Nun stehen diese Unternehmen vor der zeit- und ressourcenaufwendigen Aufgabe, diese riesige Datenmenge entwirren und sortieren zu müssen. Dazu sind die folgenden zwei Dinge erforderlich:

  1. Auffinden und Einteilen aller Daten in zwei Kategorien: zu löschende (Datenminimierung) und zu speichernde Daten.

  2. Löschen von personenbezogenen Daten, die in alten Systemen und Anwendungen gespeichert sind, welche ein sicheres Löschen nicht oder nicht ohne weiteres unterstützen.

Mögliche Lösungen: Um dies zu lösen und Schaden von Datensubjekten abzuwenden, müssen Unternehmen einen Überblick über alle ihre Daten erstellen und Daten löschen, die sie nicht mehr benötigen oder für deren Verarbeitung sie nicht berechtigt sind. Darüber hinaus ist es wichtig, Richtlinien zu entwickeln und Systeme zu verwenden, die Daten in Zukunft sicher verarbeiten können.

Die Übermittlung personenbezogener Daten an Drittländer und internationale Organisationen wird in Zukunft häufiger mit Bußgeldern belegt.

Im Juli 2020 wurde von Europas höchstem Gericht das Schrems-II-Urteil (Link zum Blogbeitrag) gefällt, das neben Geldstrafen auch die sofortige Einstellung von angeblich illegalen Übermittlungen personenbezogener Daten aus der EU in Drittländer forderte. Die Auswirkungen dieses Urteils sind noch nicht absehbar und es könnte einige Zeit dauern, bis es sich in der Praxis durchsetzt. 

Mögliche Lösung: Wir warten noch auf die endgültigen Entwürfe der Kommission bezüglich der Behandlung von Daten, die in Drittländer (jedes Land, das nicht Mitglied der EU oder des Vereinigten Königreichs ist) übertragen werden. Wenn Unternehmen Daten in Drittländer übertragen müssen, verwenden sie dazu normalerweise eine StandardvertragsklauselDieser Vertrag soll personenbezogene Daten schützen, so dass sie, wenn sie die EU verlassen, in anderen Ländern, die nicht das gleiche Maß an Schutz für personenbezogene Daten bieten, weiterhin durch die DSGVO geschützt sind. 

Sobald die Kommission diese Richtlinie aktualisiert hat, sollten Unternehmen eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) durchführen. Diese Abschätzung zeigt auf, welche Risiken mit der Übertragung personenbezogener Daten aus der EU verbunden sind, und Ihr Unternehmen sollte die Standardvertragsklauseln entsprechend überarbeiten. 

Die sichere Verarbeitung personenbezogener Daten kann eine beängstigende Aufgabe sein. Oft sind die Verantwortlichen für diese Aufgabe keine Rechtsexperten auf diesem Gebiet. In unserem Blog finden Sie weitere Informationen, um Best Practices und Prozesse zum Schutz personenbezogener Daten zu erkunden.