AUFSICHTSBEHÖRDE VERHÄNGT BUßGELD

Nach Meldung einer Datenpanne wurde nun heute das erste Bußgeld in Höhe von 20.000,00 € gegen einen baden-württembergischen Social-Media-Anbieter verhängt. Das Unternehmen hatte die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert, was erst nach einem Hackerangriff im Juli 2018 herauskam. Die Behörde sah hierin einen wissentlichen Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a DS-GVO. Aufgrund der wohl guten Zusammenarbeit des Unternehmens mit der Behörde fällt die Höhe des Bußgeldes glimpflich aus, wenn man bedenkt, dass es immerhin um Daten von ca. 330.000 Nutzern ging.

Die vollständige Presseerklärung des LfDI Baden-Württemberg gibt es hier. Interessant finde ich besonders den Schlusssatz: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

 

PRÜFUNGEN DURCH DAS BAYRISCHE LANDESAMT FÜR DATENSCHUTZAUFSICHT

Das BayLDA führt gerade auch anlasslose Datenschutzprüfungen durch. Diese erfolgen in der Regel als sogenannte fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet. Eine Übersicht, welche Kontrollen gerade stattfinden und welche noch ausstehen, kann hier abgerufen werden.

Ich empfehle mal einen Blick in den Prüfkatalog Rechenschaftspflicht und in den Fragebogen zu Prüfung DS-GVO-Umsetzung bei kleinen und mittleren Unternehmen zu werfen und mit dem eigenen Stand der Umsetzung abzugleichen. Gefragt wird beispielsweise gezielt nach einem Löschkonzept (z.B. nach DIN 66398), nach einem IT-Sicherheitskonzept, nach der Verpflichtung auf Vertraulichkeit und Sensibilisierung der Beschäftigten und nach der Kopie von Schulungsunterlagen.

 

FEHLENDE DATENSCHUTZERKLÄRUNG NICHT ABMAHNBAR

Zuletzt möchte ich noch auf zwei Urteile zur Abmahnbarkeit von Datenschutzerklärungen auf Webseiten aufmerksam machen. Das Landgericht Bochum hat mit Urteil vom 7.8.2018 (Aktenzeichen: 12 O 85/18) entschieden, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. In einem anderen Fall hat das Landgericht Würzburg mit Beschluss vom 13.9.2018 (Aktenzeichen 11O1741/18) dagegen eine Wettbewerbsverletzung angenommen. Weiter Infos hierzu gibt es unter: https://rechtsanwalt-harzewski.de/fehlende-datenschutzerklaerung-nicht-abmahnbar/.