Geschrieben am 16.12.2019 von:
Sabine Pernikas
Rechtsanwältin | Fachanwältin für IT-Recht
zum Profil
Kontaktiere mich:
+49 (0) 6232 – 100119 0
E-Mail senden
Wie teuer genau? Das lässt sich nicht nur anhand des neuen Bußgeldmodells der Datenschutzkonferenz ungefähr abschätzen – ein Blick in die Tageszeitung genügt. Nachdem kürzlich die Deutsche Wohnen SE mit einem Bußgeld in Höhe von 14,5 Millionen EUR „bestraft“ wurde, trifft es auch dieses Mal keinen Unbekannten. Gegen das Telekommunikationsunternehmen 1&1 wurde nun ein Bußgeld in Höhe von knapp 10 Millionen EUR verhängt.
Sanktionen auf Basis der Datenschutz-Grundverordnung
Das Unternehmen hat nach Angaben des Bundesdatenschutzbeauftragten Ulrich Kelber keine hinreichenden technischen und organisatorischen Maßnahmen zum Datenschutz getroffen und so die Vorgaben von Art. 32 DS-GVO nicht eingehalten. Anrufern bei der Kundenbetreuung sei es wohl möglich gewesen, allein durch die Angabe des Namens und des Geburtstags weitere Informationen und spezifische Kundendaten zu erhalten. Nach Ansicht der Aufsichtsbehörde darf dies so nicht sein, da Unbefugte leicht an geschützte Informationen kommen können.
Art. 32 DS-GVO schreibt vor, dass Verantwortliche sowie Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen müssen, um das Risiko für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu minimieren. Es ist daher notwendig, Strategien festzulegen und Maßnahmen zu ergreifen, die insbesondere den Grundsätzen „Datenschutz durch Technik“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ gerecht werden. Ferner müssen die Schutzziele Integrität und Vertraulichkeit umgesetzt werden.
Die getroffenen Maßnahmen müssen nicht nur ausreichend sein, sondern sie sind auch zu dokumentieren. So kann die Rechtmäßigkeit der Datenverarbeitung z.B. gegenüber der Behörde nachgewiesen werden. Außerdem dient die TOM-Beschreibung als internes Kontrolldokument. Wenn sie bisher noch fehlt oder die getroffenen Maßnahmen noch nicht ausreichend sind, besteht dringender Handlungsbedarf (um nicht auch ein Bußgeld in Millionenhöhe bezahlen zu müssen). Denn so viel vorweg: die Aufsichtsbehörden haben angekündigt, vermehrt Kontrollen durchzuführen. Wie man unschwer anhand der Meldungen der letzten Monate erkennen kann, ist die Schonfrist mittlerweile abgelaufen.
Hilfreiche Tipps für die Erstellung einer TOM-Beschreibung
Erster Tipp: sich mit den Begrifflichkeiten aus Art. 32 DS-GVO vertraut machen. Hilfe bietet hierfür auch TOM. In der Reihe „TOM erklärt“ wird an jedem dritten Donnerstag im Monat auf der Webseite der MORGENSTERN consecom GmbH ein Begriff näher erläutert. Interessant für den Anfang ist sicherlich der Beitrag zur Vertraulichkeit und die notwendigen Zutritts-, Zugangs- und Zugriffskontrollen.
Zweiter Tipp: nach der Auseinandersetzung mit den einzelnen Begrifflichkeiten sollte geprüft werden, wie es mit der Umsetzung im eigenen Unternehmen bestellt ist.
Dritter Tipp: diese „Prüfung“ kann dann in einem Dokument zusammengefasst werden.
Am Schluss muss dann in der Gesamtschau bewertet werden, ob die bereits getroffenen technischen und organisatorischen Maßnahmen ausreichend sind. Gerne helfen die Rechtsanwälte und Fachanwälte für IT-Recht von MORGENSTERN bei der Erstellung und rechtlichen Bewertung der TOM-Beschreibung weiter.
Kein Datenschutzbeauftragter bestellt? 10.000,00 EUR!
Bei der Frage, ob 1&1 zu wenig in Bezug auf den Schutz von Kundendaten unternommen hat, kann man sich ja durchaus streiten. Je nachdem, was ein Unbefugter mit den Angaben machen könnte, fällt die Beurteilung dabei aus. Wenn es um die Angemessenheit von technischen und organisatorischen Maßnahmen geht, hat man aber jedenfalls einen kleinen Argumentationsspielraum.
Anders ist das bei der Pflicht zur Bestellung eines Datenschutzbeauftragten. Dieser Pflicht muss man nachkommen, wenn die Voraussetzungen erfüllt sind. Tut man dies nicht, kann auch dafür ein Bußgeld verhängt werden. Das musste der Telekommunikationsanbieter Rapidata GmbH lernen, als er von der Aufsichtsbehörde einen Bußgeldbescheid in Höhe von 10.000,00 EUR bekommen hat.
Der Bundesdatenschutzbeauftragte betonte in diesem Fall allerdings, dass es sich um ein Kleinstunternehmen handele und dies bei der Verhängung des Bußgeldes berücksichtigt wurde. Anders ausgedrückt: es hätte auch mehr sein können.