Typische DSGVO Datenschutz Abmahnsituationen
Die Komplexität der DSGVO und die Unterschiede in der praktischen Anwendung sowie noch herrschende Unsicherheit in der Auslegung der neuen Verordnung sorgen für Konfliktpotenzial. Viele Aspekte sind bisher ungeklärt und erst durch Rechtsprechung wird Rechtssicherheit geschaffen. Folgende Beispiele dienen als zwei potenzielle Kategorien von Verstößen.
- Verstoß durch unangemessene Voreinstellungen
Betriebliche Prozesse müssen so konstruiert sein, dass der Datenschutz der Betroffenen gewährleistet ist. Dies gilt gegenüber Kunden als auch Mitarbeitern. Fehler können hierbei entweder bei der Verarbeitung der Kundendaten im Onlineshop oder etwa der Aufbewahrung der Daten ehemaliger Mitarbeiter passieren. Auch Fehler bei der Organisation, wie etwa das Verfehlen der Bestellung eines Datenschutzbeauftragten, gehören zu unangemessenen Voreinstellungen.
- Zugriff durch Unberechtigte
Eine wissentliche Weitergabe von personenbezogenen Daten an einen Dritten ist nicht nur ein Verstoß gegen die DSGVO, sondern hat auch strafrechtliche Konsequenzen. Sollte ein unbefugter Zugriff, etwa durch ein Datenleck, erfolgt sein, so muss das Unternehmen den Zugriff innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Andernfalls liegt ein Verstoß vor.
Ein Datenschutzverstoß kann an verschiedenen Stellen erfolgen und unterschiedlich ausfallen. Die folgenden praktischen Beispiele gehören jedoch zu den typischen DSGVO-Verstößen, die Strafen und Bußgelder nach sich ziehen.
Kein Datenschutzbeauftragter
Zahlreiche Unternehmen mussten bereits vor Anwendung der DSGVO ab dem 25.05.2018 einen Datenschutzbeauftragten bestellen. Durch die höheren Strafen und Bußgelder der DSGVO sowie die Ankündigung der strengeren Verfolgung ist der Druck jedoch gestiegen.
Wenn ein Unternehmen mehr als zehn Mitarbeiter beschäftigt, sensible Daten verarbeitet oder verwendet oder aber ein Geschäftsmodell verfolgt, dass auf der Erhebung von personenbezogenen Daten basiert, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden. Seine Aufgaben bestehen in der Beratung der Geschäftsführung zu Datenschutzthemen. Dafür muss er die komplette Betriebsstruktur analysieren und die Prozesse auf datenschutzrechtliche Relevanz prüfen.
Auf der Basis seiner Analyse erstellt er ein Datenschutzkonzept, dass er der Geschäftsführung vorlegt. Während er bei der Umsetzung des Konzeptes beratend zur Seite stehen kann, hat er selber keine Weisungsbefugnis. Allerdings unterstützt er bei der Schulung der internen Mitarbeiter.
Das Konzept des Datenschutzbeauftragten wurde entwickelt, um einen ganzheitlichen Datenschutz innerhalb einer Organisation zu gewährleisten. Da der organisatorische Aufwand mit dem des Rechnungswesen vergleichbar ist, soll ab einer gewissen Unternehmensgröße oder datenschutzrechtlichen Relevanz der Datenverarbeitung eine zusätzliche Person die Einhaltung der gesetzlichen Anforderungen überwachen.
Organisationen, die trotz Notwendigkeit keinen Datenschutzbeauftragten bestellen, müssen mit Bußgeldern und Geldstraften nach DSGVO durch ihre zuständige Datenschutzbehörde rechnen.
Unvollständige oder unkorrekte Datenschutzhinweise
Art. 12 DSGVO sieht vor, dass Verantwortliche die Betroffenen, deren personenbezogene Daten erhoben werden sollen, ausreichend informieren. Die genauen Anforderungen sind Art. 12 bis 14 DSGVO zu entnehmen. Zuvor galt die Informationspflicht in Form einer Datenschutzerklärung nach §13 TMG. In Art. 13 DSGVO wurden die Anforderungen jedoch enorm erweitert:
- Konkrete Rechtsgrundlage: Es muss nicht nur jede Form der Erhebung, Verarbeitung und Verwendung von personenbezogen Daten erwähnt werden, sondern es muss auch die konkrete Rechtsgrundlage für die Handlung erwähnt werden.
- Benennung aller Rechte der Betroffenen: Die entsprechenden Rechte der Betroffenen müssen erwähnt werden, wenn sie für die Art der Datenverarbeitung des Unternehmens relevant sind. Sowohl alte als auch neue Rechte sind von dieser Anforderung betroffen.
- Kontaktadresse: In jeder Datenschutzerklärung muss eine verantwortliche Person genannt werden, die für den Datenschutz verantwortlich ist und von Betroffenen kontaktiert werden kann. Wenn ein Datenschutzbeauftragter bestellt werden muss, ist er der Ansprechpartner. Andernfalls ist es die verantwortliche Person, was in der Regel der Inhaber oder der Geschäftsführer ist.
- Betitelung der externen Server bei Datenweitergabe: Viele Anwendungen im digitalen Bereich werden von dritten Unternehmen gestellt. In einigen Fällen werden dabei personenbezogene Daten an Server weitergeleitet, deren Standort nicht innerhalb der EU ist. Dabei muss der Standort erwähnt werden und ob es im Land des Standortes ein Datenschutzniveau auf EU-Niveau sowie ein Datenschutzabkommen mit dem Land und der EU gibt.
- Bezeichnung der Speicherfristen: Nach der DSGVO müssen Daten sofort gelöscht werden, sobald die Speicherung seinen Zweck erfüllt hat. Die Frist jeder Form der Speicherung muss somit in der Datenschutzerklärung explizit erwähnt werden.
- Erwähnung automatisierter Entscheidungsfindung: Eine besondere Art der Datenverwendung ist die automatisierte Entscheidungsfindung aufgrund erhobener personenbezogener Daten. Ein typisches Beispiel ist die Kreditzusage nach einer automatischen Prüfung der Bonitä Die DSGVO sieht vor, dass diese Art der Verfahren explizit erwähnt und öffentlich kommuniziert werden.
- Einfacher und verständlicher Sprachgebrauch: Auch wenn es sich bei der Datenschutzerklärung um einen juristischen Text handelt, müssen die Hinweise in einfacher und verständlicher Sprache gehalten sein, sodass jeder sie verstehen kann.
- Einfacher Zugang: Jedem Betroffenen muss ein einfacher Zugang zu der Datenschutzerklärung gewährleistet werden. Auf einer Webseite wird der einfache Zugang beispielsweise durch einen Link im Footer-Bereich gewährleistet, da die Erklärung so von jeder Unterseite erreichbar ist.
Wie genau die Datenschutzhinweise gestaltet werden müssen, hängt von der Art und Form der Datenverarbeitung ab. Sie müssen allerdings öffentlich einsehbar sein. Da bei fehlerhaften Datenschutzhinweisen ein Bußgeld oder eine Strafe droht, sollten sie anwaltlich und mit Bedacht erstellt werden.
Verweigerung oder fehlerhaftes Nachkommen des Auskunftsrechts
Das Auskunftsrecht ist ein wichtiges Recht betroffener Privatpersonen. Es erhält seine Rechtsgrundlage durch Art. 15 DSGVO. Kommt ein Unternehmen oder eine Organisation dem Auskunftsrecht nach einer Anfrage einer betroffenen Privatperson nicht nach, so kann die Person eine Meldung bei einer Datenschutzbehörde machen, was eine DSGVO-Strafe oder ein Bußgeld nach sich führt. Folgende Details müssen von Verantwortlichen „ohne schuldhaftes Verzögern“, spätestens aber innerhalb eines Monats nach Auskunftsersuchen mitgeteilt werden:
- Der Zweck der Erhebung, Verarbeitung oder Verwendung.
- Die Kategorien der verarbeiteten Daten.
- Die Empfänger der Daten bei Weitergabe.
- Die Speicherdauer.
- Eine Aufzählung aller relevanten Rechte zur Löschung der Daten, zur Einschränkung der Verarbeitung oder zur Beschwerde bei Datenschutzbehö
- Das Bestehen einer automatisierten Entscheidungsfindung.
- Die Quelle der Daten, wenn diese nicht vom Verantwortlichen erhoben wurden.
Dem Auskunftsrecht muss durch eine formgerechte Übermittlung der Daten nachgekommen werden. Da jeder ein Auskunftsersuchen vornehmen kann, können Datenschutzverstöße aufgrund einer mangelnden Folgeleistung des Ersuchens einfach festgestellt werden. Wird dem Recht nicht nachgekommen, droht ein Bußgeld durch die Datenschutzbehörde, sobald der Verstoß aufgedeckt wird.
Mangelhafte Erklärung der Einwilligung
Jede Art der Erhebung personenbezogener Daten ist generell verboten, es sei denn, es liegt eine gesetzliche Grundlage oder die Einwilligung der Betroffenen vor. Art. 7 DSGVO beschreibt, dass jeder Betroffene für die Datenerhebung seiner personenbezogenen Daten explizit einwilligen muss. Eine Ausnahme ist nur gegeben, wenn ein Verantwortlicher ein „berechtigtes Interesse“ an der Datenerhebung hat (Art. 6 DSGVO). Da zum aktuellen Standpunkt juristisch noch nicht eindeutig ist, welche Tatbestände unter ein berechtigtes Interesse fallen, sind hier juristische Konflikte über die Rechtfertigung einer Geldstrafe von Seiten der Datenschutzbehörden zu erwarten.
So könnte ein Unternehmen auf eine explizite Einwilligung eines Betroffenen verzichten, wenn ein berechtigtes Interesse vorliegt. Da die DSGVO hier jedoch nicht abschließend ist, kann erst durch Rechtsprechung festgelegt werden, wann auf die Einwilligung verzichtet werden kann.
Sollten Sie ein Bußgeld einer Datenschutzbehörde aufgrund einer mangelnden Einwilligung zur Datenerhebung eines Betroffenen erhalten haben, ist die anwaltliche Prüfung des Sachverhaltes angemessen.
Keine Möglichkeit zum Datentransport
Ein dem deutschen Datenschutzrecht bisher unbekanntes Recht ist das Recht auf Datentransportabilität. Es wurde geschaffen, um ein wettbewerbsschadendes Phänomen zu beseitigen. Verbraucher neigen dazu nicht zu einem günstigeren Anbieter zu wechseln, etwa im Versorgerbereich, da die Übertragung der Daten für sie zu aufwendig erscheint. Das Recht auf Datenportabilität aus Art. 20 DSGVO soll diesen Umstand beseitigen.
Verantwortliche Organisationen oder Unternehmen, die personenbezogene Daten erheben, müssen die aufbereiteten Daten in einem angemessenen Format bereitstellen, wenn der Betroffene es anfragt. Zudem müssen die Daten auf Wunsch direkt an einen anderen Anbieter übertragen werden. Kommt das Unternehmen diesem Begehren des Betroffenen nicht nach, liegt ein Datenschutzverstoß vor, der von der zuständigen Datenschutzbehörde mit einer Geldstrafe gerügt werden kann.
Keine Löschung der Daten
Art. 17 DSGVO sieht vor, dass Betroffene ihre erhobenen Daten auch nach Einwilligung durch den Verantwortlichen löschen lassen können. Generell müssen Daten automatisch gelöscht werden, sobald der in den Datenschutzhinweisen erwähnte Zweck der Erhebung erfüllt ist. Zudem können Betroffene eine Anfrage auf eine vorzeitige Löschung stellen, die ihnen gewährt werden muss. Nach der Erfüllung des Zweckes oder einer Anfrage des Betroffenen muss die Löschung durch den Verantwortlichen „ohne schuldhaftes Verzögern“ vorgenommen werden, was in der Regel sofort bedeutet.
Es bestehen allerdings einige Ausnahmen. So kann einer Anfrage zur Löschung widersprochen werden, wenn die Aufbewahrung der Daten notwendig ist, um eine Aufgabe des öffentlichen Interesses zu erfüllen oder einen rechtlichen Anspruch wahrzunehmen. Da in der DSGVO hierzu keine konkreten Grenzen dargelegt wurden, kann die Verwehrung des Löschrechts eines Betroffenen, aufgrund der Annahme des Vorliegens einer berechtigten Ausnahme, häufig zu einem Bußgeld oder einer Geldstrafe durch eine Datenschutzbehörde führen. Da bisher endgültigen Klärung durch die gerichtliche Rechtsprechung keine abschließende Grenze gezogen werden kann, sollten Sie den Verstoß anwaltlich prüfen lassen, wenn Sie ein Bußgeld von Ihrer Datenschutzbehörde erhalten.
Daten werden nicht vergessen
Simultan zum Recht auf Löschung, räumt Art. 17 DSGVO betroffenen das Recht auf Vergessenwerden ein. Verantwortliche müssen die personenbezogenen Daten eines Betroffenen löschen, sobald der Zweck der Erhebung erreicht wurde. Wegen Art. 19 DSGVO müssen Verantwortliche die Betroffenen auch darüber informieren, wann die Löschung der Daten vorgesehen ist. Meistens wird die Frist in den Datenschutzhinweisen oder der Datenschutzerklärung angegeben. Für allgemeine Speicherzwecke gibt es bisher noch keine konkreten Anforderungen. Erst durch die künftige Rechtsprechung werden klare Grenzen gezogen. So wird beispielsweise momentan diskutiert, ob die Speicherung von Cookies auf einer Webseite für 14 oder 30 Tage zulässig ist. Verantwortliche, die über das angemessene Maß hinaus Daten speichern, müssen mit Bußgeldern und Geldstrafen rechnen.
Unsicherer E-Mail-Verkehr
Der Email-Verkehr mit Kunden zu Kommunikations- und Werbezwecken wird durch die EU-DSGVO geregelt. Um die Datensicherheit zu garantieren ist streng genommen eine Verschlüsselung möglich. Geschieht aufgrund einer Nachlässigkeit ein Datenleck oder wurden die entsprechenden Voreinstellungen überhaupt nicht vorgenommen, kann die zuständige Datenschutzbehörde ein Bußgeld oder eine Geldstrafe verhängen. Ein Grundprinzip sieht vor, dass die technischen Maßnahmen zum Datenschutz dem aktuellen Technologieniveau entsprechen muss. Eine E-Mail-Verschlüsselung ist durchsetzbar und damit erforderlich. Bei der Kommunikation besonders sensibler Daten ist die Verschlüsselung streng erforderlich.
E-Mail-Marketing ist Gegenstand der DSGVO
Das E-Mail-Marketing ist eines der effektivsten Marketingwerkzeuge im digitalen Marketing. Durch die Speicherung und Verarbeitung der Daten ist es allerdings erforderlich, wie zuvor schon unter dem BDSG, eine explizite Einwilligung des Betroffen einzuholen und diese zu dokumentieren. Das bisher legale Verfahren des „Double-Opt-In“ wird auch nach Anwendung der DSGVO anzuwenden sein. Falls bisher vernachlässigt, muss die Einwilligung des Verbrauchers zum Erhalt des Newsletters oder anderer Marketingmails dokumentiert werden. Gleichzeitig dürfen nur die Daten erhoben werden, die zum Betreiben des Email-Marketings erforderlich sind. Somit darf nur noch die Email-Adresse verpflichtend sein, um die Mails zu erhalten. Die Speicherung weiterer Daten hingegen darf freiwillig sein.
Zahlreiche Verstöße sind zu erwarten
Im Bereich des Email-Marketings sind praktisch viele Verstöße zu erwarten. Nach dem Stichtag des 25. Mai 2018 waren lediglich 50% aller Unternehmen auf die DSGVO vorbereitet. Auch die rechtliche Unsicherheit wird zu zahlreichen Beschwerden von Verbrauchern gegenüber Datenschutzbehörden und in Folge dessen zum Verhängen zahlreicher DSGVO-Bußgelder führen. Sollten Sie von einem Bußgeld aufgrund eines Verstoßes im Email-Marketing betroffen sein, sollten Sie unbedingt eine anwaltliche Prüfung vornehmen lassen. Da es noch keine abschließende Regelung gibt, ist die Wahrscheinlichkeit des Bestehens einer Möglichkeit zur Schadensminderung groß.