Unlängst verhängte die Berliner Datenschutzbehörde das bis dato höchste DSGVO-Bußgeld von 195.000 Euro an ein Lieferdienstunternehmen. Derartige Bußgeldsummen lassen viele Unternehmen aufschrecken, zumal etwa der Bundesdatenschutzbeauftragte auf einer Konferenz der Nachrichten-Website Netzpolitik.org im September angekündigt hat, dass ähnliche Verfahren folgen würden.
Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG., erklärt, worauf Unternehmer in Zukunft weiter achten sollten.
Erhalten Unternehmen eine Anfrage ihrer Datenschutzbehörde, sollten sie in jedem Fall den Beistand eines Experten ersuchen. Meist beginnt eine Untersuchung damit, dass die Unternehmen einen mehrseitigen Fragebogen zugesendet bekommen, den die Mitarbeiter häufig eher arglos ausfüllen – sie kopieren beispielsweise die entsprechenden Antworten und Daten aus dem Internet. Eine solch unbedachte Vorgehensweise fällt den erfahrenen Aufsichtsbehörden sofort auf und kann im Zweifelsfall kostspielige Folgen für die Unternehmen haben.
Auch das aktuelle Urteil der EuGH zur Cookie-Richtlinie lässt aufhorchen. Demnach müssen Internetnutzer beim Besuch einer Website den Haken zur Einwilligung zur Speicherung von Cookies selbst setzen. Eine voreingestellte Zustimmung gilt als nicht zulässig. Ausgangspunkt für dieses Urteil war die Klage der Verbraucherzentrale Bundesverband gegen einen Online-Gewinnspielanbieter. Jedoch lässt sich nur schwer abschätzen, welche Unternehmen in Zukunft von vermehrter Kontrolle betroffen sein werden. Vermutlich legen die Datenschutzbehörden ihren Fokus zunächst eher auf große Konzerne und mittelständische Unternehmen und räumen kleineren Firmen noch eine Schonfrist ein.
Allerdings sind diese Annahmen eher Spekulationen, da häufig nicht bekannt ist, nach welchen Kriterien die Behörden bei Bußgeldverfahren vorgehen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz Datenschutzkonferenz, DSK, gab allerdings bekannt, ein einheitliches Konzept zur Bußgeldbemessung zu entwickeln. Bis zur finalen Ausarbeitung des neuen Modells gilt weiterhin Art. 83 der DSGVO als Grundlage der Bußgeldberechnung. Da das Konzept auch einer Arbeitsgruppe der Europäischen Datenschutzbehörde vorgestellt wurde, besteht eventuell die Möglichkeit, dass sich eine künftige europäische Bußgeldpraxis ebenfalls an diesem Modell orientiert.