Das mussten im letzten Jahr nicht nur die „Großen“ lernen, auch kleinere und mittelständische Unternehmen geraten hier immer mehr in den Fokus. Das Thema Bußgeld wegen Verstoß gegen den Datenschutz geht also längst nicht mehr nur große Konzerne an.
Stationärer Einzelhandel im Visier
Ein Beispiel für die Gefahr „Bußgeld“ betraf im Jahr 2021 den stationären Einzelhandel. Um unliebsame Besucher auszusortieren, installierte eine spanische Supermarktkette eine Gesichtserkennungssoftware in ihren Märkten. Diese sollte Kunden erkennen, gegen die ein Verfahren anhängig ist. Aber auch Mitarbeiter und brave Interessenten wurden dabei natürlich aufgenommen. Klarer Verstoß gegen den Grundsatz der Datenminimierung, statuierte die spanische Aufsichtsbehörde und verhängte ein Bußgeld in Höhe von 2,5 Millionen Euro. Betroffene hätten über die Datenverarbeitung gemäß Art. 13 DSGVO informiert werden müssen, eine Datenschutzfolgenabschätzung im Sinne von Art. 35 DSGVO wäre erforderlich gewesen.
Aber auch kleinere Unternehmen stehen im Feuer
Unangekündigte Kontrollen der Datenschutzbehörden sind auch in der Bundesrepublik Deutschland keine Seltenheit – und können auch für kleinere Unternehmen erhebliche Folgen haben. So weigerte sich ein deutscher Mittelständler, die bayrischen Datenschützer in die Geschäftsräume zu lassen. Ein Zugang zu Datenverarbeitungsanlagen wurde schlicht verweigert. Das Bayerische Landesamt für Datenschutzaufsicht verhängte daraufhin ein Bußgeld.
Online- oder Offline: Datenschützer werden gegen alle Geschäftsmodelle aktiv
Auch aus dem deutschen e-Commerce gibt es einige alarmierende Fälle zu berichten. So trat die niedersächsische Datenschutzbehörde gegen einen Web-Shop-Anbieter auf den Plan. Dieser verwendete eine veraltete Version der Web-Shop-Anwendung. Die Anwendung wird bereits seit dem Jahr 2014 nicht mehr mit Sicherheitsupdates ausgestattet. Klarer Datenschutz-Fauxpas: Es bestand die begründete Gefahr, dass Passwort-Hashes ausgelesen werden können (eine Salt-Verschlüsselung fehlte). Webseitenbetreiber sind wie alle Unternehmer verpflichtet, technische und organisatorische Maßnahmen zu implementieren, um ein hinreichendes Schutzniveau für die Daten Betroffener zu gewährleisten. Maßstab ist der Stand der Technik. Allein die Ernennung eines Datenschutzbeauftragten ist kein ausreichender Schutzschild
Fazit
Das waren nur wenige Beispiele für die Flut an Bußgeldern, die im Jahr 2021 bisher in der Europäischen Union verhängt wurden. Sie zeigen eins auf: Sämtliche Verantwortliche sollten unabhängig von der Unternehmensgröße vor einer Prüfung durch die Datenschutzbehörden gefeit sein. Derartige Prüfungen werden häufig durch die Beschwerden von Kunden und Mitbewerbern ausgelöst und sind im freien Markt für alle Geschäftsmodelle an der Tagesordnung. Jedem Unternehmer muss bewusst sein, dass hier bei gravierenden Verstößen gegen den Datenschutz eklatante Strafen von bis zu 4% des im letzten Jahr erzielten weltweiten Jahresumsatzes drohen (Art. 83 Abs. 5 DSGVO). Mit einem professionellen Datenschutzbeauftragten und dessen konsequenter Einbindung in sämtliche Geschäftsprozesse lassen sich Risiken minimieren und aufsichtsbehördliche Anfragen zielsicher abfangen.