Österreich
Secure Your Business
 

DSGVO-News: erste Strafen in EU-Ländern

 

Aktuelle Datenschutz-Strafen: In welcher Höhe und wofür?

Eine Medien-Recherche von Rechtsanwalt und CIS-Trainer Dr. Markus Frank

 

(CIS-Newsletter Dez 2018) - Viele Unternehmen fragen sich derzeit, wie die Rechtsprechung im Bereich der DSGVO sich entwickeln wird. Jüngste Datenschutz-Verstöße laut Medienberichten werden in der Folge prä05_news_blue paperssentiert. Das Straf-Höchstmaß gemäß DSGVO ist 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes. Die erstinstanzlichen Strafen für Fehlverhalten vor dem 25.5.2018 im Rahmen der unten präsentierten Beispiele wurden teils noch nach altem nationalem Datenschutzrecht, teils aber auch schon nach der DSGVO verhängt. Aufgrund der langen Zeitdauer von Prozessen sind die meisten Verstöße, über die Medien derzeit berichten, bereits vor Mai 2018 begangen worden. Die Höhe schwankt zwischen einigen hundert Euro und mehreren hunderttausend Euro. Grund für die Strafen waren sorgloser Umgang mit Daten, keine Schulungen der Mitarbeiter, unzureichende Sicherheitsmaßnahmen, fehlende Verschlüsselung und nicht gemeldeter Data-Breach, auch wenn Betroffenen kein Schaden entstanden ist. Beispiele laut Medienberichten:

 

400.000 Euro Strafe in Portugal für ein Krankenhaus, unter anderem weil zu viele Personen (u.a. IT-Techniker) Zugriff auf Patientendaten gehabt hätten, die nur Ärzte hätten einsehen dürfen. Quelle: FAZ

 

600.000 Euro Strafe in den Niederlanden (dutch dpa) und 425.000 Euro Strafe in Großbritannien (bbc)  nach einem nicht bzw. verspätet gemeldeten Data-Breach und unzureichenden Sicherheitsmaßnahmen. Den Betroffenen war kein Schaden entstanden, weil die Hacker die Daten vernichtet hatten, nachdem der Fahrtenvermittler mehr als 100.000 Euro an diese gezahlt hatte. Es waren zwar große Datenmengen gehackt worden, aber keine sensiblen Daten.

 

133.000 Euro in Großbritannien nach einem Data-Breach. Ein USB-Stick war verloren gegangen. Dieser war nicht verschlüsselt und nur 2% von mehreren tausend Mitarbeitern des Verantwortlichen waren ausreichend geschult worden (ico.org)

 

In Österreich sind bisher 3 Strafen gemäß DSGVO bekannt geworden, alle in geringer Höhe bis höchs-tens einige Tausend Euro. Die Strafen müssen gemäß DSGVO „verhältnismäßig“ sein und bestraft wur-den hier nur ganz kleine Unternehmen. In einem Fall betrug die Straf-Höhe rund 4800 Euro gemäß DSGVO. Dort ging es um eine Videoüberwachung, die nicht ausreichend gekennzeichnet war und einen größeren Teil des öffentlichen Gehsteigs mitaufgezeichnet hatte – und daher unzulässig war (Frank Law).

 

In Deutschland, Baden-Württemberg, wurde die erste Strafe nach DSGVO mit 20.000 Euro verhängt. Ein Unternehmen mit offensichtlich unzureichenden Sicherheitsmaßnahmen war gehackt worden. Die Strafe war hier unverhältnismäßig niedrig. Begründung: Die Verantwortliche hatte gegenüber der Aufsichts-behörde sofort alles offengelegt und binnen weniger Wochen nach dem Erkennen des Data-Breach bereits umfassende Sicherheitsmaßnahmen umgesetzt. (baden-wuerttemberg.datenschutz.de

 

Was prüft eine deutsche Datenschutzbehörde derzeit?
Für Österreich ist ein solcher Katalog derzeit noch nicht öffentlich auffindbar. Bayern hat aber bereits einen hilfreichen und informativen Kriterien-Katalog für Prüfungen gemäß DSGVO veröffentlicht, insbe-sondere als Hilfestellung oder Check-Liste für kleine und mittelständische Unternehmen:

  • Gibt es ein Datenschutzkonzept mit Schulungen der Mitarbeiter, zugewiesenen Verantwortungen, Datenschutzbeauftragter, Meldung von Data-Breach?
  • Verarbeitungsverzeichnis vollständig?
  • Verarbeitungen auf Grund berechtigter Interessen?
  • Umfassendes Löschkonzept?
  • Ausreichende Security-Maßnahmen?
  • Prozess zur Erledigung von Auskunftsbegehren?
  • Mitarbeiter weisungsgebunden?
  • Gemeinsam Verantwortliche?
  • Datenschutzerklärung auf Homepage?
  • Verfahren zur Fristeinhaltung hinsichtlich Betroffenenrechten?
  • Data-Breach und Verfahren zur rechtzeitigen Meldung?

 

In ihrem Leitfaden zur DSGVO vom Juli 2018 (Seite 40f) hat die Datenschutzbehörde ausdrücklich klargestellt, dass es nach Inkrafttreten der DSGVO (25.5.18) keine Übergangsfrist gibt, während der Geldbußen nicht verhängt werden. Richtig ist zwar, dass die Behörde insbesondere verwarnen soll (§ 11 DSG), dies aber nur, sofern dies angemessen erscheint, nämlich auch unter Berücksichtigung von Kriterien (Art 83 Abs 2 DSGVO) wie einschlägige frühere oder erstmalige Verstöße, riskante Verarbeitungsart, sensible Daten, viele Betroffene, hoher Schaden, vorsätzlicher oder fahrlässiger Verstoß.

 

MarkusFrank_Fotohinweis Bianca JakobicDer Autor:

 

Rechtsanwalt

Dr. Markus Frank

office@frank-law.at

T: 0043-1-523 4402

A-1070 Wien

 

____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 

 


 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB