Fast ein Jahr ist seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 zwischenzeitlich vergangen. Die befürchtete große Abmahnwelle wegen Verstoßes gegen die DSGVO ist (noch) nicht losgetreten. Zu unsicher ist derzeit für viele Abmahner die rechtliche Situation. Es gibt zwar bereits erste Urteile, diese widersprechen sich allerdings.
Aber: Es ergingen bereits einige DSGVO-Bußgeld-Bescheide der Datenschutzbehörden – auch gegen kleine Firmen.
Der aktuellste Fall ist ein Bußgeldbescheid der Hessischen Datenschutzbehörde, die das kleine Versandunternehmen Kolibri Image Mitte Dezember 2018 mit einem Bußgeldbescheid in Höhe von 5.000 Euro belegt hat. Grund dafür war ein fehlender Vertrag zur Auftragsverarbeitung. Wichtig: Kolibri Image hatte beim Auftragsverarbeiter einen Auftragsverarbeitungsvertrag angefordert, den dieser aber nicht zur Verfügung stellte. Kolibri Image war der Auffassung, dass es Aufgabe des Auftragnehmers sei, einen Vertrag zur Verfügung zu stellen. Das sah die Hessische Datenschutzbehörde anders und verhängte ein DSGVO-Bußgeld. Die Entscheidung muss hinterfragt werden, da sich das Unternehmen mit der Bitte um Unterstützung an die Behörde gewandt hatte und die Rechtslage wohl nicht ganz eindeutig ist.
Bereits im September 2018 wurde ein DSGVO-Bußgeld gegen die Firma Knuddels.de verhängt wegen einer Datenschutzpanne. Hier wurde eine Großzahl von Kundendaten unverschlüsselt gespeichert und dann gehackt. Das Bußgeld viel nur deshalb niedrig aus, weil das Unternehmen umfassend mit der Behörde zusammenarbeitete und ergänzend viel Aufwand in neue Maßnahmen zum Schutz der Daten steckte.
Fazit: zu DSGVO-Bußgeldern: Die Schonzeit für Unternehmen ist vorbei!
Die Datenschutzbehörden kündigten bereits an, aktiv nach Verstößen zu fahnden. Während spektakuläre Meldungen wie das Bußgeld von 50 Millionen Euro gegen Google in Frankreich einem Kleinunternehmer erstmal Schrecken einjagen können, ist bislang zu sehen, dass die Behörden noch Augenmaß walten lassen und eher geringe Bußgelder verhängen. Das wird sich aber wohl zusehends ändern. Zudem habe die bisherigen Bußgelder oft ein hohes Medienecho hervorgerufen, so dass Unternehmensnamen schnell negativ betroffen sein können. Panikmache ist aktuell also noch eher nicht ngesagt. Aber dennoch: wer jetzt noch grobe Flanken offen hat oder sich klare Verstöße zukommen lässt, kann schnell ein Problem bekommen.
Sollten Sie also noch keine Vorkehrungen getroffen haben und das Inkrafttreten der DSGVO auf die leichte Schulter genommen haben, sollten Sie sich informieren und Ihr Unternehmen – sei es noch so klein – fit machen.
Fragen? Ich berate Sie gerne!