DS-GVO reloaded – Behördenden machen ernst!

0
2711
Bildquelle: Pixabay

DS-GVO reloaded – Behördenden machen ernst!
Es ist noch gar nicht so lange her, da betrachteten viele die DS-GVO als zahnlosen Tiger und nahmen auch den Daten­schutz nicht sonderlich ernst. Man war sich in den Unterneh­men zwar der Existenz und auch der Anwendbarkeit der DS-GVO bewusst. Der Datenschutz rüstete aber vielfach nach wie vor ein Schattendasein. Verschiedenen Umfragen zufolge lag die Um­setzungsquote Mitte 2019 deutlich unterhalb von 50 %. Da die Datenschutzbehörden für 2019 zwar ein Jahr der Kontrolle an­gekündigt hatten, dies aber z. B. aufgrund von Personalmangel nicht durchgängig und stringent umsetzen konnte, schob manch einer die Erstellung des Verzeichnisses der Verarbeitungstätig­keiten, der Datenschutzfolgeabschätzung, aber auch die DS-GVO konforme Gestaltung des unternehmenseigenen Internetauftritts auf die lange Bank.

Wer eine Webseite betreibt, sollte diese unbedingt überprüfen
Es ist daher nicht verwunderlich, dass z. B. die Einbindung von Analysetools und der diesbezüglichen Cookies auf der über­wiegenden Zahl der Websites noch nicht DS-GVO-konform ge­staltet ist. Spätestens seit dem Urteil des EuGH in der Rechtssache C-637/17 vom 01.10.2019 steht fest, Cookies sollten nur gesetzt werden, wenn hierzu eine aktive Einwilligung des Nutzers, d. h. des Besuchers der Website, vorliegt (s. a. Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679 der Art.-29-Gruppe). Wer auf seiner Seite lediglich darauf hinweist, dass Cookies einge­setzt werden, dem Nutzer aber nicht die Möglichkeit gibt, die nicht zwingend erforderlichen Cookies zu deaktivieren, sondern dessen Einverständnis bei der Nutzung der Webseite unterstellt, sollte dies nach Möglichkeit umgehend ändern. Die gilt auch für den Fall, dass die Datenschutzerklärung keinerlei Hinweise auf die verwendeten Cookies und deren Speicherdauer enthält.

Die Datenschutzbehörden sind aktiv geworden
In Hinblick auf Art. 4 Abs. 1 DS-GVO bedeutet dies, dass der Nutzer in informierter Weise und unmissverständlich bekunden oder sonst bestätigen oder eindeutig erklären muss, dass er mit der Verarbei­tung der ihn betreffenden personenbezogenen Daten einverstan­den ist. Angekreuzte Felder oder „untergeschobene Einverständ­nisse durch Nutzung“ reichen nicht aus. Dies ist leicht und ohne großen Aufwand zu überprüfen, was die Datenschutzbehörden jetzt auch tun.
Es ist daher nicht auszuschließen, dass derjenige, der die Nutzer sei­ner Website nicht DS-GVO konform aufklärt, ein Schreiben des Lan­esdatenschutzbeauftragten erhält. Er darf dann darlegen, ob und wie die Anforderungen der DS-GVO in Hinblick auf die nach Art. 6 Abs. 1 lit. a DS-GVO unverzichtbare wirksame Einwilligung des Nut­zers einschließlich der Widerrufsmöglichkeit umgesetzt worden sind. Falls nicht, ist zu erläutern, welche Maßnahmen geplant sind. Besser ist es allerdings, wenn es erst gar nicht dazu kommt.
Wie eine DS-GVO-konforme Einwilligungserklärung und Einbin­dung aussehen kann, zeigt die entsprechende Aufforderung, die auf der Webseite der ETL-Kanzlei Voigt mit der dazugehörigen Da­tenschutzerklärung hinterlegt ist.

Die Risiken bei Verstößen sind erheblich
Der Begriff des erheblichen Risikos erschließt sich, wenn man das Konzept zur Bußgeldbemessung der Datenschutzkonferenz betrachtet, das „eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung stellen“ und damit einen bußgeldrechtlichen Flickenteppich verhindern soll. Dass die Bußgelder justiziabel und die Gerichte nicht daran gebunden sind, ändert nichts daran. Der Ärger ist erst einmal da.

Die fünf Schritte der Bemessung

  1. Klassifizierung des Unternehmens
    Im ersten Schritt wird das Unternehmen zunächst einer der vier – sich an dem global erzielten Umsatz des Vorjahres orientierenden Größenklassen zugeordnet. Es existieren Kleinst- (A), Kleine (B), Mittlere (C) sowie Großunternehmen (D) sowie Untergruppen.
  2. Der zweite Schritt dient der Ermittlung des mittleren Jahres­umsatzes der jeweiligen Untergruppe.
  3. Ermittlung des wirtschaftlichen Grundwertes
    Anhand des mittleren Jahresumsatzes erfolgt die Festsetzung des sogenannten wirtschaftlichen Grundwerts. Zu diesem Zweck wird der mittlere Jahresumsatz durch 360 geteilt und die Vorkom­mastelle aufgerundet.
  4. Festsetzung von Schweregrad und Multiplikationsfaktor
    Anschließend wird der Verstoß – unter Berücksichtigung der „konkreten tatbezogenen Umstände des Einzelfalls“ – kategori­siert und der Grundwert mit einem Faktor von 1 bis 12 multipli­ziert. Der genaue Faktor hängt davon ab, ob es sich um einen for­mellen oder materiellen Verstoß handelt und ob dieser als leicht, mittel, schwer oder sehr schwer zu bewerten ist.
  5. Anpassung an die besonderen Umstände
    Zum Schluss wird das Bußgeld gemäß den in Art. 83 Abs. 2 DS­GVO genannten Kriterien überprüft und ggf. angepasst.

Beispiel
Eine Werkstatt mit einem Jahresumsatz zwischen > 700.000 bis 1,4 Mio. € ist der Gruppe A.II zuzuordnen. Der mittlere Jahresum­satz ist hier mit 1.05000. € festgesetzt. Dieser Betrag wird durch 360 geteilt, was einem wirtschaftlichen Grundwert von 2.917 € ergibt. Mit diesem Betrag muss die Werkstatt bei einem Verstoß in jedem Fall rechnen. Wie hoch das Bußgeld am Ende ausfällt, hängt vom Multiplikationsfaktor ab. Die Bandbreite liegt hier zwi­schen 2.917 und 35.004 €.

Zusammenfassung
Wer jetzt immer noch meint, dass die Gefahr, „erwischt“ zu wer­den, hypothetisch sei, weise ich darauf hin, dass die Kontroll­intensität steigt. Zudem lassen sich viele Überprüfungen auch automatisiert durchführen. Wer zudem bedenkt, dass das Buß­geld gegen 1&1 (9,5 Mio. €) „nur“ verhängt wurde, weil die Be­hörde das zweistufige Legitimationsverfahren als unzureichend betrachtete, kommt um eine Schlussfolgerung nicht umhin: „Im Datenschutz wir es jetzt ernst“.

Anzeige

Kommentieren Sie den Artikel

Hinterlassen Sie einen Kommentar
Bitte tragen Sie Ihren Namen ein