Datenschutzverstöße sind kein Kavaliersdelikt – das ist seit der Einführung der DSGVO und dem dazugehörigen Bußgeldkatalog 2018 bekannt. Bisher wurde dies aber auf die leichte Schulter genommen, denn allzu große Sanktionen wurden durch die deutschen Datenschutzbehörden noch nicht verhängt. Das hat sich jetzt geändert. Erste Millionenforderungen aufgrund von Datenschutzverstößen sind in den letzten Monaten ausgesprochen worden.
14,5 Millionen Euro Bußgeld gegen Immobilienkonzern
Die Berliner Datenschutzbehörde verhängte im November 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro gegen das Immobilienunternehmen „Deutsche Wohnen“. Der Konzern habe persönliche Daten über die Mieter/innen gespeichert, ohne zu überprüfen, ob dies rechtmäßig oder erforderlich sei. Weiterhin bestünde im Archivsystem der Deutsche Wohnen (DW) überhaupt keine Möglichkeit, Daten zu löschen, die nicht mehr benötigt werden. Es handelt sich hierbei um sensible Daten wie Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten. Bereits 2017 wurde der Konzern durch die Datenschutzbehörde aufgefordert, ihr Archivsystem zu ändern. Doch eine erneute Prüfung im März 2019 hatte gezeigt, dass das Unternehmen seine Datenbestände nicht bereinigt hatte.
Das Archivsystem der DW verstoße sowohl gegen Artikel 5 der DSGVO (Datenschutzgrundsätze) als auch gegen Artikel 25 der DSGVO (Datenschutz durch Technikgestaltung). Die DW hat Einspruch gegen diesen Bußgeldbescheid eingelegt.
9,5 Millionen Euro Strafe nach telefonischen Auskünften bei 1&1
Und auch der Bundesdatenschutzbeauftragte ist aktiv geworden. Im Dezember verhängte Ulrich Kelber ein Bußgeld in Höhe von 9,5 Millionen Euro gegen das Unternehmen 1&1. Kundenbetreuer hatten an der Service-Hotline unzureichend die Identität der Anrufer geprüft und weitreichende Informationen zu Kundendaten herausgegeben. Die Anrufer hätten lediglich Name und Geburtsdatum einer Person angeben müssen und hätten dann Vertragsdaten oder Handy-Nummer abfragen können. Dies stellt einen Verstoß gegen Artikel 32 DSGVO dar. Danach muss ein Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um die erhobenen personenbezogenen Daten systematisch zu schützen.
Trotz raschem Handeln – Bußgeld in Millionenhöhe, 1&1 will klagen
1&1 reagierte auf die Anzeige des Mangels prompt und es wurden Sofortmaßnahmen zur besseren Authentifizierung ergriffen. Gemeinsam mit der Datenschutzbehörde will das Unternehmen bald ein neues Verfahren einführen. „1&1 habe sich einsichtig und äußerst kooperativ“ gezeigt – daher läge das Bußgeld im unteren Bereich, so die Aussage der Datenschutzbehörde.
Doch das sieht das Telekommunikationsunternehmen etwas anders. In einer Stellungnahme wird die Höhe des Bußgeldes als „absolut unverhältnismäßig“ bezeichnet. 1&1 gab an, dass zum Zeitpunkt des Vorfalls keine stärkeren Authentifizierungsverfahren üblich waren.
Zudem kritisiert die Datenschutzbeauftragte des Unternehmens das grundsätzliche Berechnungsverfahren für die Bußgelder. Dieses wurde im Oktober 2019 erst veröffentlich. Danach orientieren sich die Bußgelder am jährlichen Konzern-Umsatz. Laut Kritik könnten schon kleinste Abweichungen riesige Geldbußen ergeben. Nach Meinung von 1&1 verstoße dies sogar gegen die Grundsätze der Gleichbehandlung und Verhältnismäßigkeit des Grundgesetzes. Auch hier will der Konzern gegen das Bußgeld Klage einreichen.
Das Bußgeldkonzept können Sie hier als PDF herunterladen.