Bußgeldhöhen bei Datenschutzverstößen
Datenschutzverletzungen können, wenn auch nicht so häufig, Bußgelder nach sich ziehen. Höchstbeträge sind 4 % des Jahresweltumsatzes. Doch welche Summen werden bei den vermeidbaren „Alltagsverstößen“ angewendet? Also solchen Verstößen, die einem Unternehmen bei fehlender eigener Kontrolle durch einen Datenschutzbeauftragten einmal passieren können?
Hamburg hat hierzu jüngst folgende Fälle verlautbart:
1. Kundendatenbank wird vom mittelständischem Konzern für mehrere Konzerngesellschaften betrieben, ohne dass ein Datenschutzvertrag vorliegt
(Verstoß durch fehlende Vereinbarung nach Art. 26 DSGVO)
=> 13.000 EUR.
2. Autohaus informiert 550 Kunden, dass der zuständige Berater erkrankt ist, doch die Beratung durch Kollegen fortgesetzt wird
(Verstoß durch Bekanntgabe des Gesundheitsdatums „erkrankt“)
=> 10.110 EUR.
3. Videoüberwachung im Restaurant, die auch den Speiseraum erfasst (Verstoß durch übergriffige Videoaufzeichnung)
=> 3.000 EUR (wirtschaftliche Corona-Lage wurde reduzierend berücksichtigt).
4. Mitarbeiter nutzt Corona-Kontaktliste, um privaten Kontakt aufzubauen
(Verstoß durch Zugriff für private Zwecke)
=> 250 EUR gegen den Mitarbeiter.
Daneben stehen die großen Fälle wie
- 35,3 Mio. EUR gegen Hennes & Mauritz
wegen unzulässiger Mitarbeiterüberwachung (Hamburg; akzeptiert von H&M). - Fast 14,5 Mio. EUR gegen die Deutsche Wohnen wegen unterlassener Löschung von Bewerberdaten (Berlin; man ging von einem Umsatz von 28 Mio. EUR aus; nach Einstellung wg fehlender Darlegung Vorstandverantwortung durch das Landgericht, nun Beschwerde beim Kammergericht).
- 9,55 Mio. EUR gegen 1&1 Telecom GmbH (BfDI; reduziert auf 900.000 EUR durch LG Bonn, weil nur ein Kunde betroffen war)
wegen fehlender hinreichender Identifizierung eines anrufenden Kunden.