Seit dem 25. Mai 2018 ist die DSGVO anwendbar – und fast täglich erhalten wir hier intern neue Nachrichten zu den vielen Fragen, wie die Verordnung zu verstehen ist. Diese Informationen möchten wir gerne mit Ihnen teilen, sodass Sie mit uns in DSGVO-Fragen immer „up to date“ sind. Auf dieser stets aktualisierten Seite erfahren Sie alles über wichtige Entwicklungen in Sachen DSGVO und unsere erstrittenen Urteile, z.B. im Zusammenhang mit Datenlecks wie das bei Facebook.
Neuigkeiten & Urteile:
9. Juli: Hessischer Beauftragte für Datenschutz und Informationsfreiheit hält den Einsatz von Microsoft Office 365 in hessischen Schulen für datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.“
2. Juli: Deutsche Aufsichtsbehörden veröffentlichen Leitlinien zur Datenübertragung im Rahmen von Asset Deals
29. Juni: Frankfurter Rundschau zur Datenkrake Bayer/Monsanto: „Das zur Bayer AG gehörende Agrarunternehmen Monsanto speichert massenhaft Daten auch von Privatpersonen und weigert sich, diese auf Nachfrage zu löschen. Darauf macht das Umweltinstitut München aufmerksam.“
28. Juni: LG Frankfurt am Main, Urteil vom 28.06.2019 zum Recht auf Vergessenwerden: Aus Art. 17 Abs. 1 DSGVO folgt auch Anspruch auf Unterlassung der Verarbeitung personenbezogener Daten für die Zukunft.
25. Juni: Hessischer Datenschutzbeauftragter interpretiert Auskunftsanspruch nach Art. 15 DSGVO restriktiv.
24. Juni: Die deutsche Datenschutzkonferenz (DSK) will Apps prüfen, die das Software-Development Kit (SDK) von Facebook nutzen.
14. Juni: Datenschutzbeauftragter überprüft Lidls digitale Kundenkarte.
Juni: Datenschutzbeauftragte NRW veröffentlicht Broschüre zum Thema Personalausweis und Datenschutz
Juni: Bundesarbeitsgericht, Urteil vom 31.01.2019 (2 AZR 426/18): Die Sichtung und Auswertung von nicht als „privat” gekennzeichneten Dateien auf dem Dienstrechner eines Arbeitnehmers ist datenschutzrechtlich zulässig – auch ohne konkreten Verdacht einer Pflichtverletzung.
Juni: Die Datenschutzstelle Fürstentum Lichtenstein hat ein Prüfschema für Verantwortliche im Hinblick auf das Berechtigtes Interesse gem. Art. 6 Abs. 1 Bst. f DSGVO erstellt.
Juni: Datenschutzbeauftragte Bremen veröffentlicht eine Orientierungshilfe zur E-Mail-Weiterleitung bei längerer Abwesenheit oder Ausscheiden aus dem Betrieb.
20. April: Bundesrat will auf Initiative einiger Bundesländer das Bundesdatenschutzgesetz (BDSG – neu) ändern. Unter anderem soll die Grenze von 10 Personen, ab der ein Datenschutzbeauftragter meist bestellt werden muss, angehoben werden. Die Datenschutzkonferenz (DSK) spricht sich aber gegen eine Abschaffung oder Verwässerung der Pflicht zur Benennung einer oder eines Datenschutzbeauftragten aus. Was kurzfristig wie eine Entlastung wirke, führe langfristig dazu, dass interne Kompetenz fehle.
20. April: Welche Rechtsgrundlage ist einschlägig, wenn ich Daten von B2B-Geschäftspartnern speichere? Auskunft des BayLDA: Artikel 6 Abs. 1 Buchst. b DSGVO (zur Erfüllung eines Vertrags) ist nur einschlägig, wenn die Vertragsbeziehung zu der natürlichen Person selbst besteht, um deren Daten es geht, also z.B. bei einem Einzelkaufmann oder anderen Einzelpersonen (z.B. Selbständigen). Wenn die Vertragsbeziehung dagegen z.B. zu einer GmbH besteht, und es werden personenbezogene (Kontakt-)Daten von Mitarbeitern dieser GmbH gespeichert, wäre Artikel 6 Abs. 1 Buchst. f DSGVO (berechtigte Interessen) die „richtige“ Rechtsgrundlage (…).“
12. April: Die Datenschutzkonferenz (DSK) hat eine “Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien” zum Einsatz von Tracking-Technologien im Internet herausgegeben. Die DSK gibt darin die vormals vertretene Auffassung auf, dass webseitenübergreifendes Tracking nicht auf die Erlaubnisnorm der “berechtigten Interessen” gestützt werden kann. Stattdessen soll dieser Rechtfertigungsgrund gleichberechtigt neben einer Einwilligung oder einer Notwendigkeit der Datenverarbeitung zur Vertragserfüllung stehen.
1. April: DSK zum Betrieb einer Facebook Fanpage: „Sowohl Facebook als auch die Fanpage-Betreiber müssen ihrer Rechenschaftspflicht nachkommen. Die Datenschutzkonferenz erwartet, dass Facebook entsprechend nachbessert und die Fanpage-Betreiber ihrer Verantwortlichkeit entsprechend gerecht werden. Solange diesen Pflichten nicht nachgekommen wird, ist ein datenschutzkonformer Betrieb einer Fanpage nicht möglich.“
20. März: Landesbeauftragter für Datenschutz und Informationsfreiheit BaWü veröffentlicht FAQ zu Cookies und Tracking. Diese werden beim Datenschutz-Guru kommentiert.
6. März: Die Datenschutzkonferenz (DSK) hat ein Kurzpapier zu rechtswirksamen DSGVO-Einwilligungen veröffentlicht.
7. Februar: OLG München: DSGVO und kommende ePrivacy-Verordnung entfalten keine Sperrwirkung für wettbewerbsrechtliche Ansprüche. Wettbewerber können also weiterhin über das Gesetzgegen den Unlauteren Wettbewerb (UWG) abmahnen. In dem Fall ging es um einen Unterlassungsanspruch bei Cold Calls eines Mitbewerbers. Diese Rechtsfrage ist unter Gerichten hoch umstritten.
7. Februar: Die Datenschutzbehörden der Länder kontrollieren jetzt verstärkt: So hat die Behörde in Baden-Württemberg das “Jahr der Kontrollen” angekündigt. Und die bayerische Datenschutzbehörde wird sich mit einer besonderen Prüfaktion am Safer Internet Day (SID) am 5. Februar 2019 beteiligen und prominente Internetdienste unter die Lupe nehmen.
7. Februar: Die Datenschutzbehörde in Baden-Württemberg hat ihren Tätigkeitsbericht Datenschutz für das Jahr 2018 vorgelegt.
25. Januar: Google legt Einspruch gegen 50-Mio.-DSVGO-Bußgeld ein. Das Unternehmen bestreitet, gegen die DSGVO verstoßen zu haben. Das Unternehmen möchte nicht nur für sich kämpfen. Man sei auch besorgt über die Auswirkungen dieser Entscheidung auf Verlage, Autoren von Originalinhalten und Technologieunternehmen in Europa und darüber hinaus.
25. Januar: LG Magdeburg (Urt. v. 18.01.2019, Az. 36 O 48/18: Die DSGVO enthält ein abschließendes Sanktionssystem. Wettbewerber haben daher keine Klagebefugnis nach UWG, um DSGVO-Verstöße abzumahnen.
22. Januar: Landesdatenschutzbeauftragte Niedersachsen veröffentlicht Merkblatt: Nutzung von „WhatsApp“ in Unternehmen verstößt in mehrfacher Hinsicht gegen die DSGVO. Insbesondere dürften keine Kontaktdaten von Nicht-Whats-App-Nutzern an das US-Unternehmen übermittelt werden. Auch, wenn die Kommunikation Ende-zu-Ende-verschlüsselt sei, würden immer noch Metadaten, also wer mit wem wie oft kommuniziert, übermittelt.
22. Januar: Bundesdatenschützer Kelber fordert mehr Transparenz der Behörden im Hinblick auf DSGVO-Bußgelder. Diese sollten direkt veröffentlicht werden.
21. Januar: 50 Millionen DSGVO-Bußgeld gegen Google in Frankreich verhängt! Gründe: Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum seien für die Nutzer nicht einfach genug zugänglich und unklar formuliert, außerdem sei die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung nicht gültig, weil die Nutzer nicht ausreichend informiert würden.
16. Januar: DSK veröffentlicht Kurzpapier zum nicht-offentlichen Einsatz von Drohnen: „Drohnenbetreiber sind daher aufgefordert, grundsätzlich niemanden ohne seine Einwilligung zu filmen und die Privatsphäre anderer zu achten. Nutzer dürfen Drohnen mit Foto- oder Videoausrüstung nur in solchen Bereichen einsetzen, in denen eine Verletzung von Rechten Dritter ausgeschlossen werden kann. Insbesondere in urbanen Umgebungen ist das Betreiben von Drohnen mit Film- und Videotechnik im Einklang mit den geltenden Gesetzen in der Regel nicht möglich.“
13. Januar: Das Bundeskartellamt will Facebook das Sammeln und Verwerten von Nutzerdaten aus Drittquellen ohne ausdrückliche Zustimmung der Nutzer in Deutschland z.T. verbieten. Der Beschluss solle dem US-Konzern in den nächsten Wochen zugestellt werden. Konkret gehe es dabei um den Datenaustausch mit den eigenen Unternehmen wie WhatsApp und Instagram, aber auch mit Drittanbietern wie Twitter, Spiele-Apps und Webseiten-Betreibern.
12. Januar: Der Bundesdatenschutzbeauftragte will die DSGVO im Hinblick auf Profiling und Scoring (also das Anlegen von Persönlichkeitsprofilen und die Bewertung des Verhaltens von Privatpersonen durch staatliche Stellen oder private Unternehmen) verschärfen. Man bräuchte klare Beschränkungen für das Erstellen eines Profils. Und bei Bewertungen wie etwa der Kreditwürdigkeit einer Person müsse transparenter werden, nach welchen Kriterien sie zustande kommen.
11. Januar: Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat eine „Information über die Erhebung von personenbezogenen Daten nach Art. 13, 14 und 21 Datenschutz-Grundverordnung“ veröffentlicht. Die Umsetzungshilfe ist für kleinere und mittlere Unternehmen geeignet, wie z. B. Unternehmen im Einzelhandel, kleine Handwerksbetriebe und kleine Produktionsbetriebe, die in Nordrhein-Westfalen ihren Firmensitz haben.
8. Januar: Dürfen DSGVO-Verstöße von Mitbewerbern abgemahnt werden? LG Wiesbaden veröffentlicht Volltext zum Urteil vom 05.11.2018 (Az. 5 O 214/18). Darin steht: „Ein Mitbewerber ist nach den §§ 3 Abs.1, 3a i.V.m. § 8 Abs.3 Nr.1 UWG weder anspruchsberechtigt noch klagebefugt mit dem Ziel Verstöße gegen die DSGVO geltend zu machen. Die DSGVO enthält in den Artikeln 77-84 eine die Ansprüche von Mitbewerbern abschließende Regelung.“
8. Januar: Auch der BGH bezweifelt, ob DSGVO wettbewerbsrechtlich abgemahnt werden kann. Eine Datenschutz-Klage der Verbraucherzentralen gegen Facebook beschäftigt derzeit den BGH. Inhaltlich geht es dabei um das App-Zentrum des US-Konzerns in der Version von 2012. Interessant an der mündlichen Verhandlung im Dezember 2018 war, dass der BGH darin bezweifelte, ob dass das Wettbewerbsrecht im Rahmen der DSGVO zur Anwendung kommen soll.
8. Januar: Datenschutzbehörde NRW konkretisiert Anforderungen an Kommunikation per E-Mail: Die DSGVO enthält in Art. 32 keine speziellen Vorgaben zu den technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten in E-Mails. Nun hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LfDI NRW) ihre Position zu den technischen Anforderungen an technische und organisatorische Maßnahmen beim E-Mail-Versand veröffentlicht. Bei der Übermittlung von E-Mails sei grundsätzlich zwischen einer Verschlüsselung auf Inhaltsebene (Inhalt der Mail und Anhänge) und einer Verschlüsselung auf Transportebene (Metadaten wie Absender, Empfänger, Datum und Betreff) zu unterscheiden. Generell bedarf die Kommunikation per E-Mail bedarf mindestens der Transport-Verschlüsselung.
8. Januar: Die LDI NRW hat FAQ zu Datenverarbeitungen bei Inkassounternehmen veröffentlicht.
8. Januar: Österreichische Datenschutzbehörde zu Beschwerdeverfahren nach der DSGVO nur in der amtlichen Landessprache. „Mit Entscheidung vom 21.09.2018 hat die Datenschutzbehörde in Österreich (DSB) die Beschwerde einer Person nach Art. 77 DSGVO zurückgewiesen, die sich nur auf Englisch über ein österreichisches Unternehmen per E-Mail bei der DSB beschwerte.“
Neuigkeiten aus 2018:
- 27. November: Uber muss in Großbritannien und den Niederlanden Millionenstrafe zahlen. Uber hatte seine seine Kunden über ein Jahr lang nicht von einem Hackerangriff unterrichtet. Von der Attacke im Herbst 2016 waren insgesamt 57 Millionen Nutzer und Fahrer betroffen.
- 20. November: Facebook Custom Audience verstößt gegen Datenschutzrecht. Bereits im Jahr 2017 untersagte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) einem Online-Shop den Einsatz von „Facebook Custom Audience“, einem Marketing-Werkzeug von Facebook. Der Bayerische Verwaltungsgerichtshof hat nun entschieden, dass der Einsatz von „Facebook Custom Audience“ ohne Einwilligung des Nutzers gegen das Datenschutzrecht verstößt.
- 19. November: Facebook-Fanpages nach EuGH-Urteil: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit führt seit Anfang November Anhörungsverfahren bei Stellen der Berliner Landesverwaltung, bei den politischen Parteien sowie einer Reihe von Unternehmen und Organisationen u. a. aus der Handels-, Verlags- und Finanzbranche in Sachen Facebook-Fanpages durch.
- 19. November: Wann sind Datenpannen nach Art. 33 DSGVO meldepflichtig? Der Hamburgische Datenschutzbeauftragte hat eine Orientierungshilfe veröffentlicht: https://datenschutz-hamburg.de/assets/pdf/2018.11.15_Data%20Breach_Vermerk_extern.pdf
- 19. November: Die Liste der Verarbeitungstätigkeiten, für die eine Datenschutzfolgenabschätzung durchzuführen ist, wurde aktualisiert: https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf
- 19. November: Es ist umstritten, ob die Tätigkeit als Datenschutzbeauftragter eine gewerbliche oder eine freiberufliche Tätigkeit ist. Nun hat der BGH entschieden, dass die Tätigkeit, wenn sie durch einen Rechtsanwalt ausgeübt wird, nach den Umständen des Einzelfalles eine Anwaltstätigkeit sein kann und dann nicht gewerblich ist (Urt.v. 15.10.2018, Az. AnwZ (Brfg) 20/18). Der Grund: Die DSGVO sei so komplex, dass der Anwalt seine rechtlichen Kenntnisse einbringen müsse.
- 19. November: Brexit No-Deal-Szenario: Die EU-Kommission plant, das Vereinigte Königreich ab dem 30. März 2019 als datenschutzrechtliches Drittland einzuordnen. Sollte es keinen Deal für den Austritt geben, gelten für Datenübermittlungen dann die Vorgaben der Art. 44 ff DSGVO. Ein sog. Angemessenheitsbeschluss nach Art. 45 DSGVO sei nicht in Planung.
- 15. November: Landesbeauftragte Niedersachsen prüft 150 Kommunen. Es geht darum, wie gut die Städte und Gemeinden ihre Arbeit an die neuen Anforderungen angepasst haben und wo sie noch nachbessern müssen. Dafür sollen die Kommunen Fragen zu vier Bereichen des Datenschutzes beantworten: Organisation, datenschutzkonforme Verarbeitung, Umgang mit Betroffenenrechten sowie mit Datenschutzverletzungen.
- 15. November: OLG München: “Berechtigte Interessen” i.S.d. Art. 6 Abs. 1 lit. f) DSGVO sind weit auszulegen. Im Rahmen der Frage, ob es gegen die DSGVO verstößt, eine rechtlich geforderte Auskunft zu erteilen, sagte das Oberlandesgericht (OLG) folgendes: “Eine möglichst weite Interpretation des berechtigten Interesses ist zudem (unions-)grundrechtlich geboten (…)” In diesem Fall stand daher die DSGVO einer Auskunftserteilung nicht im Wege, weil der zur Auskunft Verpflichtete sich auf seine berechtigten Interessen stützen konnte (Teilurteil v. 24.10.2018, Az. 3 U 1551/17).
- 15. November: LG Ffm zu Fotorecht – KUG und DSGVO kommen zu gleichem Ergebnis: Das Landgericht (LG) Frankfurt a.M. hätte die Gelegenheit gehabt, als erstes Gericht darüber zu entscheiden, ob ein ohne Einwilligung veröffentlichtes Fotos aus dem gewerblichen Bereich nach dem Kunsturhebergesetz (KUG) oder der Datenschutzgrundverordnung (DSGVO) zu beurteilen ist. Leider hat es diese Möglichkeit nicht genutzt, sondern den Fall einfach unter beiden Normen entschieden – sie kämen ohnehin zu dem gleichen Ergebnis. Das zeigt ein nun bekannt gewordenes Urteil von September (Urt. v. 13.09.2018, Az. 2-03 O 283/18). Jemand hatte in einem Frisörsalon eine Kundin ohne deren Einwilligung gefilmt, fotografiert und auf der Facebook Fanpage des Frisörsalons online gestellt. Der Frisörsalon wollte die Fotos aber nicht löschen. Dies verstoße sowohl gegen das KUG als auch gegen die DSGVO, so die Frankfurter Richter. http://www.lareda.hessenrecht.hessen.de/lexsoft/default/hessenrecht_lareda.html#docid:8136994
- 15. November: Nun hat auch das Landgericht (LG) Wiesbaden abgelehnt, dass Wettbewerber Verstöße gegen DSGVO über das UWG abmahnen können (Urt. v. 05.11.2018, Az. 5 O 214/18). Die DSGVO sei abschließend.
- 9. November: Schwerwiegende Schwachstelle in DSGVO-Plugin für WordPress. Es berichtet: https://www.heise.de/security/meldung/Schwerwiegendes-Schwachstelle-in-DSGVO-Plugin-fuer-WordPress-4217962.html
- 7. November: Facebook ist nicht kostenlos – Zehn Millionen Euro Datenschutzstrafe in Italien: Die italienische Wettbewerbsbehörde AGCM hat Facebook zu zwei Datenschutz-Strafen in Höhe von zusammen 10 Millionen Euro verurteilt. Ein Vorwurf lautet, dass das Netzwerk Internetnutzer in die Irre führe, wenn es vor der Kontoeröffnung vor allem darauf hinweist, dass die Nutzung kostenlos ist. Dass Nutzerdaten für kommerzielle Zwecke gesammelt werden, sei dagegen nicht so klar ersichtlich.
- 7. November: Orientierungshilfe für Direktwerbung: Die Aufsichtsbehörden haben eine Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung veröffentlicht.
- 7. November: Die Bayerische Aufsichtsbehörde kündigt Datenschutzprüfungen an. So lautet es in der Pressemitteilung: „Knapp ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfaktivitäten wieder verstärkt aufgenommen und neue flächendeckende Datenschutzkontrollen in Bayern angestoßen. Im Fokus der aktuellen Prüfungen steht der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht bei Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflichten in Bewerbungsverfahren. Pressemitteilung: https://www.lda.bayern.de/media/pm2018_17_de.pdf
- 7. November: Offenbar bestreitet die irische „Data Protection Commission“ (DPC). Irlands unabhängige Aufsichtsbehörde für den Datenschutz, ihre Zuständigkeit für Google: https://twitter.com/lfdi_bw/status/1060102656138584065
- 25. Oktober: Neues von der ePrivacy-Verordnung: „Der aktuelle Zeitplan: Eine Entscheidung zum weiteren Vorgehen – also eine Verabschiedung der Verordnung noch 2018 oder eine Vertagung bis nach der Europawahl im Mai 2019 – fällt in der zuständigen Arbeitsgruppe des Rats schon in den nächsten Tagen. Wir gehen derzeit eher vom zweiten Szenario aus. Zu bemerken ist dabei auch, dass der aktuell vorliegende Entwurf der österreichischen Ratspräsidentschaft eine zweijährige Übergangsfrist vorsieht, was die deutsche Bundesregierung auch unterstützt.“ Es berichtet: http://www.onlinemarketingrecht.de/2018/10/neues-von-der-eprivacy-verordnung/
- 23. Oktober: Die Verbraucherzentrale Sachsen verklagt Facebook. Das Unternehmen erfülle seine Pflichten im Hinblick auf die gemeinsame Verantwortlichkeit bei Facebook-Fanpages nicht, so die Verbraucherschützer. Eine ausreichende Vereinbarung mit dem Verbraucher müsse klarstellen, wer die Verantwortung für die Einhaltung des Datenschutzrechts auf den Profilen trägt. Pressemitteilung: https://www.verbraucherzentrale-sachsen.de/pressemeldungen/digitale-welt/verbraucherzentrale-sachsen-verklagt-facebook-30961
- 9. Oktober: Das OLG Nürnberg weist noch einmal darauf hin, dass die DSGVO nicht auf Daten verstorbener Personen Anwendung findet (Beschl. v. 09.10.2018, Az. 11 W 717/18): http://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-24655?hl=true
- 8. Oktober: Die Bundesregierung sieht in ihrem Vorschlag, die Nutzung werbefinanzierter Online-Dienste von der Einwilligung des Nutzers in das Setzen von Cookies für Werbezwecke abhängig machen zu können, keinen Widerspruch zu Art. 7 Abs. 4 DSGVO („Bedingungen für die Einwilligung“) http://dipbt.bundestag.de/dip21/btd/19/049/1904946.pdf (dort S. 31)
- 5. Oktober: Deutschland meldet Vorschriften an die Europäische Kommission – das KUG ist nicht dabei! „Die DSGVO enthält an vielen Stellen Öffnungs- oder Spezifizierungsmöglichkeiten für die Mitgliedstaaten, über die es den Ländern zum Teil gestattet ist, weiterhin nationale Datenschutzgesetze zu erlassen. Zum Teil sind die Mitgliedstaaten auch zu nationalen Regelungen verpflichtet. Wenn Mitgliedstaaten entsprechende Regelungen erlassen, sind sie nach der DSGVO dazu verpflichtet, diese nationalen Vorgaben der EU Kommission mitzuteilen (zu notifizieren).“ Nicht notifiziert wurden aber §§ 22, 23 Kunsturhebergesetz (KUG). Unklar ist, ob dies nun bedeutet, dass die Normen des KUG nach dem Willen des Gesetzgebers nun nicht mehr neben der DSGVO anwendbar sein sollen. Dies schreibt Delegelata. Hier erhalten Sie eine Übersicht der notifizierten Vorschriften (PDF).
- 3. Oktober: EU-Kommission: DSGVO-Betroffenenrechte sind abschließend. Nach einer Stellungnahme der EU-Kommission haben (zumindest) die Rechtsbehelfe für die Betroffenen aus den Art. 77ff DSGVO abschließende Wirkung. Die Aussage der Kommission könnte nun dahingehend verstanden werden, dass jedwede Geltendmachung von DSGVO-Verstößen außerhalb des Regelungssystems der Verordnung selbst nicht vorgesehen ist. Auf der anderen Seite bezieht sich die Kommission in ihrer Antwort explizit nur auf die Rechte der Betroffenen – von dem spezifischen wettbewerbsrechtlichen System ist in der Antwort nicht die Rede. Somit ist diese Frage zwar nicht eindeutig beantwortet, wohl aber deutet die Stellungnahme in eine Richtung, die so manchem abmahnfreudigen Unternehmer nicht gefallen dürfte. Hier die Antwort der Kommission.
Bisher verhängte Bußgelder:
- 2019: Britische Datenschutz-Behörde ICO beabsichtigt, Marriott International wegen Verstößen gegen die DSGVO mit einem Bußgeld in Höhe von 99 Mio Pfund (ca 110 Mio €) zu belegen. Grund: Sicherheit der Verarbeitung
- 2019: „notice of intent“ der britischen Datenschutz-Behörde gegen British Airways. ICO beabsichtigt wegen Verstößen gegen #DSGVO ein Bußgeld in Höhe von 183.39 Mio Pfund (ca. 204 Mio EUR) gegen British Airways zu verhängen.
- 2019: Rumänische Aufsichtsbehörde verhängt ein Bußgeld von ca. 15.000 € gegen ein Hotel wegen einem Verstoß gegen Art. 32 Abs. 4 DSGVO. Grund: Ein Dritter fotografierte die Frühstücksliste mit Daten von 46 Gästen & veröffentlichte diese im Internet.
- 2019: Die italienische Datenschutzaufsichtsbehörde verhängt ein 1 Mio. Euro #Bußgeld gegen Facebook im Fall Cambridge Analytica. Nur 57 italienische Nutzer hatten die Persönlichkeitstest-App heruntergeladen. Über diese wurden Daten von weiteren 214.077 Nutzern gesammelt.
- 2019: Frankreich verhängt eine Geldbuße von “nur” 20.000 Euro, u.a. wegen illegaler Mitarbeiterüberwachung per Videokamera sowie weiterer Verstöße. Die Summe fiel niedrig aus, weil das Unternehmen sehr klein ist und nur 9 Mitarbeiter beschäftigt.
- 2019: Italienische Datenschutzbehörde verhängt 2 Millionen Euro Bußgeld für Telemarketing ohne Einwilligung.
- 25. Januar: Google legt Einspruch gegen 50-Mio.-DSVGO-Bußgeld ein. Das Unternehmen bestreitet, gegen die DSGVO verstoßen zu haben. Das Unternehmen möchte nicht nur für sich kämpfen. Man sei auch besorgt über die Auswirkungen dieser Entscheidung auf Verlage, Autoren von Originalinhalten und Technologieunternehmen in Europa und darüber hinaus.
- 21. Januar: 50 Millionen DSGVO-Bußgeld gegen Google in Frankreich verhängt! Gründe: Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum seien für die Nutzer nicht einfach genug zugänglich und unklar formuliert, außerdem sei die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung nicht gültig, weil die Nutzer nicht ausreichend informiert würden.
- 21. Januar: DSGVO-Bußgelder: Nun trifft es auch kleine Unternehmen: Das Versandunternehmen Kolibri Image hatte es versäumt, einen sog. Auftragsverarbeitungsvertrag zu schließen. Dafür muss es nun 5000 Euro zuzüglich 250 Euro Gebühren zahlen. Das Unternehmen will dagegen Widerspruch einlegen.
- 18. Januar: Behörden verhängten bereits 41 Bußgelder wegen Verstößen gegen DSGVO! Vor allem kleine Unternehmen waren auf die neuen Regeln offenbar nicht vorbereitet. Handelsblatt.de schreibt: “Die meisten Bußgelder verhängte Nordrhein-Westfalen (33), gefolgt von Hamburg (3) und Baden-Württemberg und Berlin (jeweils 2) und dem Saarland (1). Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO”.
- 15. Januar: Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg hat deutschlandweit das zweite DSGVO-Bußgeld verhängt: 80.000 Euro müssen wegen versehentlich im Internet gelandeter Gesundheitsdaten gezahlt werden. Auch das erste in Deutschland verhängte Bußgeld gegen das soziale Netzwerk Knuddels.de war von dem Baden-Württembergischen Datenschutzbeauftragten verhängt worden.