DS-GVO reloaded – Behördenden machen ernst!
Es ist noch gar nicht so lange her, da betrachteten viele die DS-GVO als zahnlosen Tiger und nahmen auch den Datenschutz nicht sonderlich ernst. Man war sich in den Unternehmen zwar der Existenz und auch der Anwendbarkeit der DS-GVO bewusst. Der Datenschutz rüstete aber vielfach nach wie vor ein Schattendasein. Verschiedenen Umfragen zufolge lag die Umsetzungsquote Mitte 2019 deutlich unterhalb von 50 %. Da die Datenschutzbehörden für 2019 zwar ein Jahr der Kontrolle angekündigt hatten, dies aber z. B. aufgrund von Personalmangel nicht durchgängig und stringent umsetzen konnte, schob manch einer die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, der Datenschutzfolgeabschätzung, aber auch die DS-GVO konforme Gestaltung des unternehmenseigenen Internetauftritts auf die lange Bank.
Wer eine Webseite betreibt, sollte diese unbedingt überprüfen
Es ist daher nicht verwunderlich, dass z. B. die Einbindung von Analysetools und der diesbezüglichen Cookies auf der überwiegenden Zahl der Websites noch nicht DS-GVO-konform gestaltet ist. Spätestens seit dem Urteil des EuGH in der Rechtssache C-637/17 vom 01.10.2019 steht fest, Cookies sollten nur gesetzt werden, wenn hierzu eine aktive Einwilligung des Nutzers, d. h. des Besuchers der Website, vorliegt (s. a. Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679 der Art.-29-Gruppe). Wer auf seiner Seite lediglich darauf hinweist, dass Cookies eingesetzt werden, dem Nutzer aber nicht die Möglichkeit gibt, die nicht zwingend erforderlichen Cookies zu deaktivieren, sondern dessen Einverständnis bei der Nutzung der Webseite unterstellt, sollte dies nach Möglichkeit umgehend ändern. Die gilt auch für den Fall, dass die Datenschutzerklärung keinerlei Hinweise auf die verwendeten Cookies und deren Speicherdauer enthält.
Die Datenschutzbehörden sind aktiv geworden
In Hinblick auf Art. 4 Abs. 1 DS-GVO bedeutet dies, dass der Nutzer in informierter Weise und unmissverständlich bekunden oder sonst bestätigen oder eindeutig erklären muss, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten einverstanden ist. Angekreuzte Felder oder „untergeschobene Einverständnisse durch Nutzung“ reichen nicht aus. Dies ist leicht und ohne großen Aufwand zu überprüfen, was die Datenschutzbehörden jetzt auch tun.
Es ist daher nicht auszuschließen, dass derjenige, der die Nutzer seiner Website nicht DS-GVO konform aufklärt, ein Schreiben des Lanesdatenschutzbeauftragten erhält. Er darf dann darlegen, ob und wie die Anforderungen der DS-GVO in Hinblick auf die nach Art. 6 Abs. 1 lit. a DS-GVO unverzichtbare wirksame Einwilligung des Nutzers einschließlich der Widerrufsmöglichkeit umgesetzt worden sind. Falls nicht, ist zu erläutern, welche Maßnahmen geplant sind. Besser ist es allerdings, wenn es erst gar nicht dazu kommt.
Wie eine DS-GVO-konforme Einwilligungserklärung und Einbindung aussehen kann, zeigt die entsprechende Aufforderung, die auf der Webseite der ETL-Kanzlei Voigt mit der dazugehörigen Datenschutzerklärung hinterlegt ist.
Die Risiken bei Verstößen sind erheblich
Der Begriff des erheblichen Risikos erschließt sich, wenn man das Konzept zur Bußgeldbemessung der Datenschutzkonferenz betrachtet, das „eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung stellen“ und damit einen bußgeldrechtlichen Flickenteppich verhindern soll. Dass die Bußgelder justiziabel und die Gerichte nicht daran gebunden sind, ändert nichts daran. Der Ärger ist erst einmal da.
Die fünf Schritte der Bemessung
- Klassifizierung des Unternehmens
Im ersten Schritt wird das Unternehmen zunächst einer der vier – sich an dem global erzielten Umsatz des Vorjahres orientierenden Größenklassen zugeordnet. Es existieren Kleinst- (A), Kleine (B), Mittlere (C) sowie Großunternehmen (D) sowie Untergruppen. - Der zweite Schritt dient der Ermittlung des mittleren Jahresumsatzes der jeweiligen Untergruppe.
- Ermittlung des wirtschaftlichen Grundwertes
Anhand des mittleren Jahresumsatzes erfolgt die Festsetzung des sogenannten wirtschaftlichen Grundwerts. Zu diesem Zweck wird der mittlere Jahresumsatz durch 360 geteilt und die Vorkommastelle aufgerundet. - Festsetzung von Schweregrad und Multiplikationsfaktor
Anschließend wird der Verstoß – unter Berücksichtigung der „konkreten tatbezogenen Umstände des Einzelfalls“ – kategorisiert und der Grundwert mit einem Faktor von 1 bis 12 multipliziert. Der genaue Faktor hängt davon ab, ob es sich um einen formellen oder materiellen Verstoß handelt und ob dieser als leicht, mittel, schwer oder sehr schwer zu bewerten ist. - Anpassung an die besonderen Umstände
Zum Schluss wird das Bußgeld gemäß den in Art. 83 Abs. 2 DSGVO genannten Kriterien überprüft und ggf. angepasst.
Beispiel
Eine Werkstatt mit einem Jahresumsatz zwischen > 700.000 bis 1,4 Mio. € ist der Gruppe A.II zuzuordnen. Der mittlere Jahresumsatz ist hier mit 1.05000. € festgesetzt. Dieser Betrag wird durch 360 geteilt, was einem wirtschaftlichen Grundwert von 2.917 € ergibt. Mit diesem Betrag muss die Werkstatt bei einem Verstoß in jedem Fall rechnen. Wie hoch das Bußgeld am Ende ausfällt, hängt vom Multiplikationsfaktor ab. Die Bandbreite liegt hier zwischen 2.917 und 35.004 €.
Zusammenfassung
Wer jetzt immer noch meint, dass die Gefahr, „erwischt“ zu werden, hypothetisch sei, weise ich darauf hin, dass die Kontrollintensität steigt. Zudem lassen sich viele Überprüfungen auch automatisiert durchführen. Wer zudem bedenkt, dass das Bußgeld gegen 1&1 (9,5 Mio. €) „nur“ verhängt wurde, weil die Behörde das zweistufige Legitimationsverfahren als unzureichend betrachtete, kommt um eine Schlussfolgerung nicht umhin: „Im Datenschutz wir es jetzt ernst“.