Verwendung von Cookies auf LEWENTO.de

Um Ihnen den bestmöglichen Service zu gewährleisten, verwendet lewento.de Cookies. Sie können Ihre Präferenzen unten auswählen und mit dem Klick auf "Einstellungen speichern" diese festlegen.

Hinweis: Zur Verwendung der Online-Shop Funktionalitäten, wie zum Beispiel Bestellabschlüsse, müssen Sie Cookies aus der Kategorie Online-Payment aktivieren.

Verwendung der Cookies zum Bezahlen.

Cookie Beschreibung
PayPal PayPal ist ein Finanzdienstleister, mit welchem Sie Problemlos, nach vorheriger Anmeldung, kostenlos unsere Dienstleistungen und Waren bezahlen können. Weiter Informationen zu PayPal finden Sie hier. Die Datenschutz-Erklärung von Paypal finden Sie hier.
Stripe Stripe ist ein Technologieunternehmen, das Lösungen für die Wirtschaftsinfrastruktur des Internets aufbaut. Wir nutzen Stripe Dienste, um Online-Zahlungen abzuwickeln. Weitere Informationen zu Stripe finden Sie hier. Die Datenschutz-Erklärung von Stripe finden Sie hier.

Diese Cookies werden zu Analysezwecken verwendet.

Cookie Beschreibung
Matomo Matomo ist ein Web-Analyse-Tool, welches uns hilf Besucherströme zu messen und unsere Webseite zu verbessern. Benutzerdaten (Ip Adressen und besuchte Seiten) werden anonym bei matomo.org gespeichert. Weiter Informationen zu Matomo finden Sie hier. Die Datenschutz-Erklärung von Matomo finden Sie hier.
Datenschutzerklärung
zur Suche Klicken Sie hier um zur Suchseite zu gelangen zum Warenkorb Klicken Sie hier um zum Warenkorb zu gelangen
0

Achtung: Bußgeld droht beim Datenschutzverstoß von Mitarbeitern!

Achtung: Bußgeld droht beim Datenschutzverstoß von Mitarbeitern!
25.11.2020

Achtung: Bußgeld droht beim Datenschutzverstoß von Mitarbeitern!

Das erste Urteil eines deutschen Gerichts gegen ein DSGVO-Bußgeld liegt vor! Mit Urteil vom 11.11.2020 (Az. 29 OWi 1/20 LG) hat das Landgericht Bonn über ein DSGVO-Millionenbußgeld entschieden. Streitgegenständlich war eine Geldbuße in Höhe von 9,55 Millionen Euro, die im Dezember 2019 auf Veranlassung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber gegen den Telekommunikationsdienstleister 1&1 ergangen war, weil ein Mitarbeiter im Callcenter einen Datenschutzverstoß begangen hatte.

Der Verhängung des Bußgeldes lag folgender Sachverhalt zugrunde: Im Jahr 2018 hatte ein Mitarbeiter des Callcenters von 1&1 einer Frau die Handynummer ihres Ex-Mannes herausgegeben. Im Rahmen des Authentifizierungsverfahrens hatte es genügt, dass die Frau dessen Namen und das Geburtsdatum nennen konnte. Die Handynummer wurde von der Frau benutzt, um ihren Ex-Mann zu stalken.

Aus der Sicht der Aufsichtsbehörde lag mit der Anwendung dieses Authentifizierungsverfahrens ein systematischer Verstoß gegen die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO vor. Nach dieser Bestimmung der DSGVO müssen von jedem Verantwortlichen und jedem Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen werden, um für personenbezogene Daten ein angemessenes Schutzniveau zu gewährleisten.

1&1 hatte sich gegen den Bußgeldbescheid zur Wehr gesetzt und unter anderem moniert, dass es sich lediglich um einen Einzelfall gehandelt habe und also eben keine systemische Ursache für die eingetretene Datenschutzverletzung vorliege; darüber hinaus sei die Höhe des Bußgeldes unverhältnismäßig.

Was hat das Landgericht entschieden?

Das LG Bonn hat die Verhängung eines Bußgeldes dem Grunde nach für gerechtfertigt gehalten, weil das angewendete Authentifizierungsverfahren unzureichend war und folglich ein Datenschutzverstoß vorliege; es wurden insoweit im Ergebnis keine geeigneten technischen und organisatorischen Maßnahmen getroffen, um die personenbezogenen Daten von Kunden zu schützen.

Der Höhe nach wurde der Bußgeldrahmen jedoch erheblich-, nämlich auf den Betrag von 900.000 Euro reduziert. Das LG Bonn hat hierbei unter anderem darauf abgestellt, dass die Authentifizierungspraxis in der Vergangenheit noch nicht beanstandet worden sei, weswegen beim Dienstleister ein entsprechendes Problembewusstsein gefehlt habe, außerdem fehle es generell an datenschutzrechtlichen Vorgaben für Callcenter, so dass der eingetretene Rechtsverstoß verständlich sei.

In den Entscheidungsgründen wurde vom LG Bonn außerdem ausdrücklich klargestellt, dass es keinen Unterschied mache, ob der Datenschutzverstoß von einer Führungsperson verursacht wurde oder von einem Mitarbeiter. Der Verstoß durch einen Mitarbeiter reicht für die Haftung nach der DSGVO (!). Gemäß § 41 BDSG findet das Gesetz über Ordnungswidrigkeiten (OWiG) zwar auf DSGVO-Bußgelder entsprechende Anwendung und nach dem OWiG sind Bußgelder gegen Unternehmen nur zulässig, wenn eine Person aus der Unternehmensleitung einen Verstoß selbst begangen- oder Aufsichtspflichten verletzt hat. Anders als das deutsche Gesetz über Ordnungswidrigkeiten enthält die DSGVO aber keine Bestimmungen über die Zurechenbarkeit von Datenschutzverstößen. Damit könne nach der europäischen Rechtsgrundlage auch jedweder Verstoß sanktioniert werden.

Was bedeutet das Urteil in der Praxis?

1. Es kann sich lohnen, sich gegen aufsichtsbehördliche Maßnahmen zur Wehr zu setzen. Insofern wurden vom Gericht gleich eine ganze Bandbreite von Argumenten angeführt, die geeignet sind, einen behördlicherseits verhängten Bußgeldrahmen zu senken. Ein ganz überwiegend umsatzorientiertes Bußgeldkonzept, welches von der Bundesbehörde angewendet wurde, lässt nach Auffassung des Gerichts wesentliche Bemessungskriterien außer Acht (Schwere der Verletzung, die Dauer, die Wiederholung, die Umsetzung von Maßnahmen zur Risikominimierung etc.).

2. Jeder Datenschutzverstoß, der von einem Mitarbeiter begangen wird, kann ein Bußgeld für das Unternehmen zur Folge haben.  Auf den Umgang Ihrer Mitarbeiter mit personenbezogenen Daten ist folglich besonderes Augenmerk zu legen.

Zur Vermeidung von Datenschutzverstößen überprüfen Sie auch in angemessenen Abständen Ihre unternehmensinternen Prozesse und finden Sie so mögliche Schwachstellen im Bereich Datenschutz und Datensicherheit.

Wie lautet unsere Handlungsempfehlung?

Prüfen Sie den Schulungsgrad und das Schulungsangebot für Ihre Mitarbeiter. Gibt es z.B. ein Informationsangebot, dass den Mitarbeitern jederzeit zur Verfügung steht (z.B. Datenschutzhandbuch, FAQ´s)? Etablieren Sie außerdem ein Verfahren zur regelmäßigen Überprüfung und Weiterentwicklung Ihres Datenschutzmanagementsystems.

Bei Fragen zur Einbindung von Datenschutzzielen in ein (bestehendes) Managementsystem oder bei Fragen zur Mitarbeiterschulung unterstützt GROSS Rechtsanwaltsgesellschaft mbH gerne.

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay

Services

Icon für Videos

Videos

Zum Service
Icon für Webinare

Webinare

Zum Service
Icon für Experten Chat

Experten Chat

Zum Service
Icon für Fortbildung

Fortbildung

Zum Service
Icon für Mustervorlagen

Mustervorlagen

Zum Service
Icon für Mediathek

Mediathek

Zum Service

Aktuelle Beiträge

Hier finden Sie aktuelle Beiträge und aktuelle Urteile zu relevanten Themen im Bereich des Immobilienrechts und Datenschutzes. Speziell für Immobilien-Verwalter.

Bußgeld für unkooperatives Verhalten

Bußgeld für unkooperatives Verhalten

Warum die Vogel-Strauß-Taktik im Datenschutz nicht zu empfehlen ist

mehr erfahren Datenschutzmanagement - Wie organisiere ich den Datenschutz im eigenen Unternehmen?

Datenschutzmanagement - Wie organisiere ich den Datenschutz im eigenen Unternehmen?

Wie organisiere ich den Datenschutz im eigenen Unternehmen?

mehr erfahren Noch nicht ausgebremst

Noch nicht ausgebremst

Verlängerung der Mietpreisbremse

mehr erfahren easimo startet Kooperation mit LEWENTO

easimo startet Kooperation mit LEWENTO

Angetreten, um die digitale Transformation der Immobilienverwaltung nachhaltig zu schaffen.

mehr erfahren
Alle anzeigen