Datenschutzbehörde verhängt Geldbußen: Überblick über aktuelle Spruchpraxis bei Datenschutzverletzungen

Inhalt:

• Zum Hintergrund der nun veröffentlichten Straferkenntnisse
• Fehlerhafte Bearbeitung eines Auskunftsbegehrens: EUR 9.500,00
• Unrechtmäßige Videoüberwachung und kein Verarbeitungsverzeichnis: EUR 20.000,00
• Fehlende Mitwirkung im Beschwerdeverfahren: EUR 10.000,00
• Verletzung der Pflicht zur Meldung eines Data Breach und fehlende Mitwirkung im Beschwerdeverfahren: EUR 5.900,00
• Mehrfache Verstöße gegen Löschpflicht: EUR 11.000,00
• Verletzung der Pflicht zur Integrität und Vertraulichkeit und fehlende technische und organisatorische Maßnahmen: EUR 50.000,00
• Wie muss diese Judikatur im Unternehmen berücksichtigt werden

Die Datenschutzbehörde (DSB) hat in den letzten Monaten mehrere rechtskräftige Straferkenntnisse in der Höhe von EUR 5.900,00 bis EUR 50.000,00 verhängt. Die Entscheidungen bieten neue interessante Einblicke in die Strafzumessung bei DSGVO-Verstößen.

Zum Hintergrund der nun veröffentlichten Straferkenntnisse

Dass die Behörde in jüngster Zeit vermehrt Geldbußen bei Datenschutzverletzungen verhängt, ist kein Zufall. So waren doch etliche Verwaltungsstrafverfahren gegen juristische Personen zuletzt ausgesetzt. Hintergrund war, dass mit der Rechtssache C-807/21, Deutsche Wohnen, vor dem EuGH ein Vorabentscheidungsverfahren anhängig war. Der EuGH hatte sich mit der Auslegung der DSGVO vor dem Hintergrund der im deutschen Verwaltungsstrafrecht bestehenden Zurechnungsregel für juristische Personen zu beschäftigen. Diese Regelung sah im Wesentlichen vor, dass eine Verwaltungsstrafe gegen eine juristische Person nur dann verhängt werden kann, wenn das vorgeworfene Verhalten einer Führungskraft bzw. einem Organwalter innerhalb der juristischen Person zugerechnet werden kann. Da eine ähnliche Regelung auch in Österreich besteht, setzte die DSB daher ihre Verwaltungsstrafverfahren gegen juristische Personen bis zur Entscheidung in der Sache Deutsche Wohnen aus. Mit dem Urteil des EuGH in der Sache Deutsche Wohnen führt die DSB nun ihre gegen juristische Personen geführten Verwaltungsstrafverfahren fort. Die im österreichischen Recht bestehende Zurechnungsregel muss zukünftig unangewendet bleiben. Die Frage der Bestrafung datenschutzrechtlich Verantwortlicher ist nach der Rsp des EuGH abschließend in der DSGVO geregelt. Neben diversen „kleineren“ Verwaltungsstrafverfahren (dazu gleich) wird nun aber auch das Verfahren mit der in Österreich bisher höchsten, aber noch nicht rechtskräftigen, DSGVO-Strafe von EUR 18 Mio. gegen die österreichische Post fortgeführt.

ANSPRECHPARTNERINNEN

Karin Bruchbacher
E-Mail schreiben

Lena Maria Urban
E-Mail schreiben

Fehlerhafte Bearbeitung eines Auskunftsbegehrens: EUR 9.500,00

Der Strafe von EUR 9.500,00 lag ein von einer Bank fehlerhaft bearbeitetes Auskunftsbegehren nach Art 15 DSGVO zugrunde. Die verantwortliche Bank hatte, statt mit einer Auskunft zu reagieren, die Daten gelöscht und der betroffenen Person nur allgemeine Informationen zur Verfügung gestellt. Die betroffene Person beschwerte sich daraufhin bei der DSB und bekam Recht. Im Verwaltungsstrafverfahren konnte die Verantwortliche nicht nachvollziehbar begründen, warum statt einer Auskunft eine Löschung erfolgt war. Die DSB erkannte darin richtigerweise einen Verstoß gegen Art 15 DSGVO und verhängte eine Geldstrafe.

Unrechtmäßige Videoüberwachung und kein Verarbeitungsverzeichnis: EUR 20.000,00

Ein Gastronomiebetrieb betrieb eine unrechtmäßige Videoüberwachung (es lag keine Rechtsgrundlage vor) und konnte zudem das verpflichtend zu führende Verarbeitungsverzeichnis nicht vorweisen. Dem konkreten Fall war eine die Videoüberwachung betreffende Beschwerde von Mitarbeitern der Verantwortlichen vorangegangen. Die DSB verhängte daher eine Strafe in der Höhe von EUR 20.000,00.

Fehlende Mitwirkung im Beschwerdeverfahren: EUR 10.000,00

Die Unterlassung der Mitwirkung eines Verantwortlichen im Beschwerdeverfahren führte zur Einleitung eines Verwaltungsstrafverfahrens und zu einer Strafe von EUR 10.000,00. Das interessante an dieser Entscheidung war, dass das der Beschwerde zugrunde liegende Vergehen so gering zu werten gewesen sein dürfte, dass wohl keine Strafe von der Behörde bei ordentlicher Mitwirkung verhängt worden wäre.

Verletzung der Pflicht zur Meldung eines Data Breach und fehlende Mitwirkung im Beschwerdeverfahren: EUR 5.900,00

Die um mehr als einen Monat verzögerte und unvollständige Meldung einer Datenschutzverletzung (konkret handelte es sich um einen Ransomware-Angriff) an die DSB und die anschließende fehlende Mitwirkung im Verfahren vor der Behörde führten zu einer Geldstrafe von EUR 5.900,00.

Mehrfache Verstöße gegen Löschpflicht: EUR 11.000,00

Die Verantwortliche (Verein) hatte es unterlassen, die erforderlichen technischen und organisatorischen Maßnahmen für die Vornahme vollständiger Löschungen zu setzen und kam einem konkreten Löschbegehren und einem Leistungsauftrag der DSB nicht (vollständig) nach. Diese drei Verstöße führten zu einer Geldstrafe von EUR 11.000,00.

Verletzung der Pflicht zur Integrität und Vertraulichkeit und fehlende technische und organisatorische Maßnahmen: EUR 50.000,00

Eine Mitarbeiterin eines Kreditinstituts verschickte unbeabsichtigt personenbezogene Kunden-Bankdaten per E-Mail an unbefugte Adressaten. Damit wurde die Pflicht zur Einhaltung des Verarbeitungsgrundsatzes der Integrität und Vertraulichkeit verletzt. Das verantwortliche Kreditinstitut hatte es unterlassen, geeignete technische und organisatorische Maßnahmen zu treffen. Die DSB setzte für diese Verstöße eine Geldbuße von EUR 4 Mio. fest. Gegen das Straferkenntnis erhob das Kreditinstitut Beschwerde – das BVwG wies die Beschwerde mit der Maßgabe ab, dass die Geldbuße auf EUR 50.000 herabgesetzt wurde. Die Herabsetzung resultierte unter anderem aus einer Fehlbeurteilung der für die Strafbemessung relevanten Bemessungsgrundlage durch die DSB und aus der Einstufung des konkreten Fehlverhaltens als leichte Fahrlässigkeit.

Wie muss diese Judikatur im Unternehmen berücksichtigt werden?

Entsprechend dem Urteil des EuGH in der Sache Deutsche Wohnen lag in allen Fällen das für eine Bestrafung geforderte Verschulden vor. Die DSB geht, entsprechend der Judikatur des EuGH, bereits dann von einer fahrlässigen Rechtsverletzung aus, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Eine Handlung oder Kenntnis eines Leitungsorgans der verantwortlichen juristischen Person ist ausdrücklich keine Voraussetzung für die Verhängung einer Strafe. Vielmehr genügt es, wenn nicht ausreichende oder keine internen Prozesse vorhanden sind, um den das Unternehmen treffenden datenschutzrechtlichen Pflichten nachzukommen.

Die Entscheidungen der DSB zeigen wieder einmal, dass ein effektives und tatsächlich funktionierendes Datenschutzmanagement im Unternehmen essenziell ist. Die rechtmäßige und DSGVO-konforme Behandlung von Betroffenenrechten und -anfragen erfordert strukturierte Prozesse und datenschutzrechtliche Expertise. Zudem müssen Unternehmen laufend prüfen, ob jede ihrer Datenverarbeitungstätigkeiten rechtskonform vorgenommen wird. Hierbei ist mittlerweile auch eine stetig steigende Anzahl an behördlichen und gerichtlichen Entscheidungen zu berücksichtigen.