Typische DSGVO Verstöße
Die Komplexität der DSGVO und die Unterschiede in der praktischen Anwendung sowie noch herrschende Unsicherheit in der Auslegung sorgen für Konfliktpotenzial. Viele Aspekte sind bisher ungeklärt und erst durch Rechtsprechung wird Rechtssicherheit geschaffen. Folgende Kategorien von Verstößen sind zu unterscheiden.
- Verstoß durch unangemessene Voreinstellungen
Betriebliche Prozesse müssen so konzipiert sein, dass der Datenschutz der Betroffenen gewährleistet ist. Dies gilt sowohl gegenüber Kunden als auch Mitarbeitern. Fehler können hierbei entweder bei der Verarbeitung der Kundendaten im Onlineshop oder etwa der Aufbewahrung der Daten ehemaliger Mitarbeiter passieren. Auch Fehler bei der Organisation, wie etwa das Versäumnis der Bestellung eines Datenschutzbeauftragten, gehören zu den unangemessenen Voreinstellungen.
- Zugriff durch Unberechtigte
Eine wissentliche Weitergabe von personenbezogenen Daten an einen Dritten ist nicht nur ein Verstoß gegen die DSGVO, sondern hat auch strafrechtliche Konsequenzen. Sollte ein unbefugter Zugriff, etwa durch ein Datenleck, erfolgt sein, so muss das Unternehmen den Zugriff innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Andernfalls liegt ein Verstoß vor.
Ein Datenschutzverstoß kann an verschiedenen Stellen erfolgen und unterschiedlich ausfallen. Die folgenden praktischen Beispiele gehören zu den typischen DSGVO-Verstößen, die Bußgelder bzw. Sanktionen nach sich ziehen können.
Kein Datenschutzbeauftragter
Zahlreiche Unternehmen mussten auch bereits vor Anwendung der DSGVO ab dem 25.05.2018 einen Datenschutzbeauftragten bestellen. Durch die höheren Strafen und Bußgelder der DSGVO sowie die Ankündigung der strengeren Verfolgung ist der Druck jedoch gestiegen.
Wenn ein Unternehmen mehr als zehn Mitarbeiter beschäftigt, sensible Daten verarbeitet oder verwendet oder aber ein Geschäftsmodell verfolgt, das auf der Erhebung von personenbezogenen Daten basiert, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden. Seine Aufgaben bestehen in der Beratung der Geschäftsführung zu Datenschutzthemen. Dafür muss er die komplette Betriebsstruktur analysieren und die Prozesse auf datenschutzrechtliche Relevanz prüfen.
Auf der Basis seiner Analyse erstellt er ein Datenschutzkonzept, das er der Geschäftsführung vorlegt. Bei der Umsetzung des Konzeptes hat er beratende Funktion und selber keine Weisungsbefugnis. Allerdings unterstützt er Schulungen der internen Mitarbeiter.
Das Konzept des Datenschutzbeauftragten dient dem ganzheitlichen Datenschutz innerhalb einer Organisation. Da der organisatorische Aufwand mit dem des Rechnungswesen vergleichbar ist, soll ab einer gewissen Unternehmensgröße oder datenschutzrechtlichen Relevanz der Datenverarbeitung eine zusätzliche Person die Einhaltung der gesetzlichen Anforderungen überwachen.
Organisationen, die trotz Verpflichtung keinen Datenschutzbeauftragten bestellen, müssen mit Sanktionen rechnen.
Unvollständige oder unkorrekte Datenschutzhinweise
Art. 12 DSGVO sieht vor, dass Verantwortliche die Betroffenen, deren personenbezogene Daten erhoben werden sollen, ausreichend informieren. Die genauen Anforderungen sind Art. 12 bis 14 DSGVO zu entnehmen. Zuvor galt die Informationspflicht in Form einer Datenschutzerklärung nach §13 TMG. In Art. 13 DSGVO wurden die Anforderungen jedoch deutlich erweitert:
- Konkrete Rechtsgrundlage: Es muss nicht nur jede Form der Erhebung, Verarbeitung und Verwendung von personenbezogen Daten genannt werden, sondern es muss auch die konkrete Rechtsgrundlage für die Handlung erwähnt werden.
- Benennung aller Rechte der Betroffenen: Die entsprechenden Rechte der Betroffenen müssen genannt werden, wenn sie für die Art der Datenverarbeitung des Unternehmens relevant sind. Sowohl alte als auch neue Rechte sind von dieser Anforderung betroffen.
- Kontaktadresse: In jeder Datenschutzerklärung muss eine verantwortliche Person benannt werden, die für den Datenschutz verantwortlich ist und von Betroffenen kontaktiert werden kann. Wenn ein Datenschutzbeauftragter bestellt werden muss, ist er der Ansprechpartner. Andernfalls ist es die verantwortliche Person, in der Regel der Inhaber oder der Geschäftsführer.
- Betitelung der externen Server bei Datenweitergabe: Viele Anwendungen im digitalen Bereich werden von dritten Unternehmen gestellt. In einigen Fällen werden dabei personenbezogene Daten an Server weitergeleitet, deren Standort nicht innerhalb der EU ist. Dabei muss der Standort genannt werden und ob es im Land des Standortes ein Datenschutzniveau auf EU-Niveau sowie ein Datenschutzabkommen mit dem Land und der EU gibt.
- Bezeichnung der Speicherfristen: Nach der DSGVO müssen Daten sofort gelöscht werden, sobald die Speicherung ihren Zweck erfüllt hat. Die Frist jeder Form der Speicherung muss somit in der Datenschutzerklärung explizit erwähnt werden.
- Erwähnung automatisierter Entscheidungsfindung: Eine besondere Art der Datenverwendung ist die automatisierte Entscheidungsfindung aufgrund erhobener personenbezogener Daten. Ein typisches Beispiel ist die Kreditzusage nach einer automatischen Prüfung der Bonität. Die DSGVO sieht vor, dass diese Art von Verfahren explizit erwähnt und öffentlich kommuniziert werden.
- Einfacher und verständlicher Sprachgebrauch: Auch wenn es sich bei der Datenschutzerklärung um einen juristischen Text handelt, müssen die Hinweise in einfacher und verständlicher Sprache gehalten sein, sodass jeder sie verstehen kann.
- Einfacher Zugang: Jedem Betroffenen muss ein einfacher Zugang zu der Datenschutzerklärung ermöglicht werden. Auf einer Webseite wird der einfache Zugang beispielsweise durch einen Link im Footer-Bereich gewährleistet, da die Erklärung so von jeder Unterseite erreichbar ist.
Wie genau die Datenschutzhinweise gestaltet werden müssen, hängt von der Art und Form der Datenverarbeitung ab. Sie müssen allerdings öffentlich einsehbar sein. Da bei fehlerhaften Datenschutzhinweisen ein Bußgeld oder eine Strafe droht, sollten sie anwaltlich und mit Bedacht erstellt werden.
Verweigerung oder fehlerhaftes Nachkommen des Auskunftsrechts
Das Auskunftsrecht ist ein wichtiges Recht betroffener Privatpersonen. Es findet seine Rechtsgrundlage in Art. 15 DSGVO. Kommt ein Unternehmen oder eine Organisation dem Auskunftsrecht nach einer Anfrage einer betroffenen Privatperson nicht nach, so kann die Person eine Meldung bei einer Datenschutzbehörde machen, was eine Sanktion oder ein Bußgeld nach sich ziehen kann. Folgende Details müssen von Verantwortlichen „ohne schuldhaftes Verzögern“, spätestens aber innerhalb eines Monats nach Auskunftsersuchen, mitgeteilt werden:
- Der Zweck der Erhebung, Verarbeitung oder Verwendung.
- Die Kategorien der verarbeiteten Daten.
- Die Empfänger der Daten bei Weitergabe.
- Die Speicherdauer.
- Eine Aufzählung aller relevanten Rechte zur Löschung der Daten, zur Einschränkung der Verarbeitung oder zur Beschwerde bei Datenschutzbehörde
- Das Bestehen einer automatisierten Entscheidungsfindung.
- Die Quelle der Daten, wenn diese nicht vom Verantwortlichen erhoben wurden.
Dem Auskunftsrecht muss durch eine formgerechte Übermittlung der Daten nachgekommen werden. Da jeder ein Auskunftsersuchen vornehmen kann, können Datenschutzverstöße aufgrund einer mangelnden Folgeleistung des Ersuchens einfach festgestellt werden. Wird dem Recht nicht nachgekommen, droht ein Bußgeld durch die Datenschutzbehörde, sobald der Verstoß aufgedeckt wird.
Mangelhafte Erklärung der Einwilligung
Jede Art der Erhebung personenbezogener Daten ist generell verboten, es sei denn, es liegt eine gesetzliche Grundlage oder die Einwilligung der Betroffenen vor. Art. 7 DSGVO beschreibt, dass jeder Betroffene in die Datenerhebung seiner personenbezogenen Daten explizit einwilligen muss. Eine Ausnahme ist nur gegeben, wenn ein Verantwortlicher ein „berechtigtes Interesse“ an der Datenerhebung hat (Art. 6 DSGVO).
Wann ein Unternehmen auf eine explizite Einwilligung eines Betroffenen verzichten kann, weil ein berechtigtes Interesse vorliegt, ist juristisch noch nicht eindeutig geklärt und kann erst durch Rechtsprechung festgelegt werden.
Sollten Sie ein Bußgeld einer Datenschutzbehörde aufgrund einer mangelnden Einwilligung zur Datenerhebung eines Betroffenen erhalten haben, ist die anwaltliche Prüfung des Sachverhaltes anzuraten.
Keine Möglichkeit zum Datentransport
Ein dem deutschen Datenschutzrecht bisher unbekanntes Recht ist das Recht auf Datentransportabilität. Es wurde geschaffen, um ein wettbewerbsschädigendes Phänomen zu beseitigen: Verbraucher neigen dazu, nicht zu einem günstigeren Anbieter zu wechseln, etwa im Versorgerbereich, wenn die Übertragung der Daten für sie zu aufwändig erscheint. Das Recht auf Datenportabilität aus Art. 20 DSGVO soll diesen Umstand beseitigen.
Verantwortliche Organisationen oder Unternehmen, die personenbezogene Daten erheben, müssen die aufbereiteten Daten in einem angemessenen Format bereitstellen, wenn der Betroffene dies anfragt. Zudem müssen die Daten auf Wunsch direkt an einen anderen Anbieter übertragen werden. Kommt das Unternehmen diesem Begehren des Betroffenen nicht nach, liegt ein Datenschutzverstoß vor, der von der zuständigen Datenschutzbehörde sanktioniert werden kann.
Keine Löschung der Daten
Art. 17 DSGVO sieht vor, dass Betroffene ihre erhobenen Daten auch nach Einwilligung löschen lassen können. Generell müssen Daten automatisch gelöscht werden, sobald der in den Datenschutzhinweisen erwähnte Zweck der Erhebung erfüllt ist. Zudem können Betroffene eine Anfrage auf eine vorzeitige Löschung stellen, die ihnen gewährt werden muss. Nach der Erfüllung des Zweckes oder einer Anfrage des Betroffenen muss die Löschung durch den Verantwortlichen „ohne schuldhaftes Verzögern“ vorgenommen werden, was in der Regel sofort bedeutet.
Es bestehen allerdings einige Ausnahmen. So kann einer Anfrage zur Löschung widersprochen werden, wenn die Aufbewahrung der Daten notwendig ist, um eine Aufgabe des öffentlichen Interesses zu erfüllen oder einen rechtlichen Anspruch wahrzunehmen. Da in der DSGVO hierzu keine konkreten Grenzen dargelegt wurden, kann die Verwehrung des Löschrechts eines Betroffenen aufgrund der Annahme einer solchen Ausnahme zu einem Bußgeld oder einer Sanktion führen. Da bisher eine endgültigen Klärung durch die Rechtsprechung fehlt, sollten Sie den Verstoß anwaltlich prüfen lassen, wenn Sie ein Bußgeld von Ihrer Datenschutzbehörde erhalten.
Daten werden nicht vergessen
Analog zum Recht auf Löschung räumt Art. 17 DSGVO Betroffenen das Recht auf Vergessenwerden ein. Verantwortliche müssen die personenbezogenen Daten eines Betroffenen löschen, sobald der Zweck der Erhebung erreicht wurde. Wegen Art. 19 DSGVO müssen Verantwortliche die Betroffenen auch darüber informieren, wann die Löschung der Daten vorgesehen ist. Meistens wird die Frist in den Datenschutzhinweisen oder der Datenschutzerklärung angegeben. Für allgemeine Speicherzwecke gibt es bisher noch keine konkreten Anforderungen. Erst durch die künftige Rechtsprechung werden klare Grenzen gezogen. So wird beispielsweise momentan diskutiert, ob die Speicherung von Cookies auf einer Webseite für 14 oder 30 Tage zulässig ist. Verantwortliche, die über das angemessene Maß hinaus Daten speichern, müssen mit Bußgeldern und Sanktionen rechnen.
Unsicherer E-Mail-Verkehr
Der Email-Verkehr mit Kunden zu Kommunikations- und Werbezwecken wird durch die EU-DSGVO geregelt. Entsteht aufgrund einer Nachlässigkeit ein Datenleck oder wurden die entsprechenden Voreinstellungen überhaupt nicht vorgenommen, kann die zuständige Datenschutzbehörde ein Bußgeld verhängen. Grundsätzlich müssen die technischen Maßnahmen zum Datenschutz dem aktuellen Technologieniveau entsprechen. Um die Datensicherheit zu garantieren ist unter bestimmten Voraussetzungen eine eine E-Mail-Verschlüsselung durchsetzbar und erforderlich. Bei besonders sensiblen Daten ist die Verschlüsselung streng erforderlich.
E-Mail-Marketing ist Gegenstand der DSGVO
Das E-Mail-Marketing ist eines der effektivsten digitalen Marketingwerkzeuge. Durch die Speicherung und Verarbeitung der Daten ist es allerdings erforderlich, wie zuvor schon unter dem BDSG, eine explizite Einwilligung des Betroffen einzuholen und diese zu dokumentieren. Das bisher legale Verfahren des „Double-Opt-In“ ist auch nach Einführung der DSGVO anzuwenden. Falls bisher vernachlässigt, muss die Einwilligung des Verbrauchers zum Erhalt von Newslettern oder anderen Marketingmails dokumentiert werden. Gleichzeitig dürfen nur die Daten erhoben werden, die zum Betreiben des Email-Marketings erforderlich sind. Somit darf nur noch die Email-Adresse verpflichtend sein, um Mails zu erhalten.
Zahlreiche Verstöße sind zu erwarten
Im Bereich des Email-Marketings sind praktisch viele Verstöße zu erwarten. Nach dem Stichtag des 25. Mai 2018 waren lediglich 50% aller Unternehmen auf die DSGVO vorbereitet. Auch die rechtliche Unsicherheit wird zu zahlreichen Beschwerden von Verbrauchern gegenüber Datenschutzbehörden und in Folge dessen zum Verhängen zahlreicher DSGVO-Bußgelder führen. Sollten Sie von einem Bußgeld aufgrund eines Verstoßes im Email-Marketing betroffen sein, sollten Sie unbedingt eine anwaltliche Prüfung vornehmen lassen. Da es noch keine abschließende Regelung gibt, ist die Aussicht auf eine Schadensbegrenzung gut.
Dein Kommentar
An Diskussion beteiligen?Hinterlasse uns Deinen Kommentar!