Aktuelles Heft

 

Inhalt der aktuellen Ausgabe April 2019:

DSGVO
Ein Überblick – Wer musste bislang zahlen?

Zeitarbeitrelevante Mindestlöhne in Euro pro Stunde

(m/w/d) in Deutschland
Das dritte Geschlecht im Stellentitel

Neue Zeitarbeit-Initiative „Die Integrationsdienstleister“ auf Regionalkonferenz NORD „ARBEIT & PERSONAL“ vorgestellt
Starthilfe Zeitarbeit für Langzeitarbeitslose und Geflüchtete

Bundesverfassungsgericht:
Ablehnung einer einstweiligen Anordnung gegen das „Streikbrecherverbot“ gem. § 11 Abs. 5 AÜG

CSR steht im Mittelpunkt
iGZ-Award: Gewinner stehen fest

40 Jahre Piening Personal:
„Der Mensch steht im Mittelpunkt“

Branchen im Fokus:
Stellenmarktindex im Februar 2019

Personalführung:
5 Gründe, warum Führungstechniken versagen

Personalie:
Julia Wohlfeld ergänzt seit 1. April die Geschäftsführung der Tina Voß GmbH

Neues „Merkblatt für Leiharbeitnehmerinnen und Leiharbeitnehmer“ der BA –
„Wer einen Fehler gemacht hat und ihn nicht korrigiert, begeht einen zweiten“

Wichtige Termine ...
Kündigungen müssen zugegangen sein ...

Das Bundesarbeitsgericht zum Thema:
Unterrichtung des Betriebsrats über Arbeitsunfälle von Fremdpersonal

 

 

Ausgewählter Artikel der Ausgabe April 2019:

DSGVO
Ein Überblick – Wer musste bislang zahlen?

Seit fast einem Jahr ist die EU-Datenschutz­Grundverordnung (DSGVO) wirksam. Während sich die Datenschutzbehörden zunächst zurückhielten und es nach dem „Hype“ erst einmal wieder ruhig wurde, scheint die „Schonfrist“ langsam beendet zu sein.

Bei Verstößen gegen die DSGVO drohen den Unternehmen Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes der Unternehmensgruppe. Doch wie sieht die Realität derzeit aus? Hier ein erster Überblick:

Bußgelder und spezifische Kontrolle von KMU

Bundesweit ergingen bislang in weniger als 100 Fällen Bußgeldbescheide wegen DSGVO-Verstößen. Diese wurden insbesondere gegen kleine Unternehmen verhängt, die auf die neuen Regeln offenbar nicht vorbereitet waren. Die meisten der Bußgelder gab es bislang in Nordrhein-Westfalen, danach folgen Hamburg, Baden-Württemberg, Berlin und das Saarland. Dafür betrugen die Bußgelder in Nordrhein-Westfalen bis Mitte Januar 2019 insgesamt nur zirka 15.000 Euro (!), in Hamburg zirka 25.000 Euro und in Baden-Württemberg zirka 100.000 Euro.

Mit Blick auf die Höhe der Bußgelder scheint derzeit noch eine Schonfrist zu bestehen – die höchste Einzelstrafe belief sich in Deutschland auf 80.000 Euro. Verhängt wurde diese in Baden-Württemberg, nachdem Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen im Internet landeten.

Einige Landesdatenschutzbehörden haben sich mit der Verhängung von Sanktionen bislang zurückgehalten – in elf Bundesländern wurden bis zum jetzigen Zeitpunkt überhaupt noch keine Bußgeldbescheide auf Basis der DSGVO erlassen. Allerdings – es ist bekannt, dass auch bei diesen Datenschutzbehörden diverse Verfahren laufen. So hat das Bayerische Landesamt für Datenschutzaufsicht bekannt gegeben, dass aktuell 85 Verfahren geführt würden. Zudem hatte die Behörde im November 2018 erklärt, 15 kleine (ab 100 Mitarbeiter) und mittelständische Unternehmen (ab 500 Mitarbeiter) ausgesucht zu haben, um bei diesen die Einhaltung der DSGVO, insbesondere die Einhaltung der Dokumentationspflichten, überprüfen zu wollen. Sieben der 15 Unternehmen wurden ausgewählt, zu denen es in der letzten Zeit gehäuft Datenschutzbeschwerden gab. Acht weitere Unternehmen wurden nach dem Zufallsprinzip ausgewählt.

Auch die Datenschutzaufsicht in Niedersachsen, die derzeit eine „Querschnittsprüfung“ von 50 niedersächsischen Unternehmen durchführt, scheint der anfänglichen Zurückhaltung langsam ein Ende zu setzen.

Sanktionierte Verhaltensweisen

Ausgelöst wurden die meisten Bußgeldverfahren durch Beschwerden von Betroffenen, teilweise jedoch auch durch Meldungen von Datenpannen der Unternehmen selbst. Sanktionen wurden unter anderem verhängt

• gegen eine Klinik, die versehentlich eine Kopie eines Schwerbehindertenausweises an einen falschen Patienten ausgab,

• gegen eine Bank, weil Bankkunden beim Online-Banking Kontoauszüge Dritter einsehen konnten,

• gegen den Betreiber eines Webshops, weil bei einem Hackerangriff auf diesen Kundendaten unbefugt kopiert wurden und

• gegen den Betreiber eines Hotels, weil dieser nicht hinreichende, technische und organisatorische Maßnahmen bereitgestellt hatte, um zu verhindern, dass     bei einem erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem offenbart wurden.

Außerdem wurden Bußgelder verhängt, nachdem aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten im Internet veröffentlicht wurden und bei einer Feuerwehr des Landes Bremen nicht nur Notrufe, sondern sämtliche ausgehende und eingehende Anrufe aufgezeichnet wurden. Weiterhin resultierten auch unzulässige Werbe-E-Mails, Dashcam-Nutzung sowie offene E-Mail-Verteiler und die unzulässige Videoüberwachung von Kunden und Arbeitnehmern in Bußgeldverfahren.

Mit Bescheid vom 21.11.2018 verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg sein erstes Bußgeld. Das soziale Netzwerk Knuddels.de hatte Passwörter von Nutzern unverschlüsselt gespeichert und somit gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten. Nach einem Hackerangriff wurden Passwörter, E-Mail-Adressen und Pseudonyme von 330.000 Nutzern im Internet veröffentlicht. Das Unternehmen meldete die Datenpanne der Datenschutzbehörde, setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und wird auch noch in den nächsten Wochen in Abstimmung mit der Datenschutzbehörde zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen. Diese Kooperation wurde bei der Bemessung der Höhe des Bußgeldes in Höhe von 20.000 Euro berücksichtigt sowie die Tatsache, dass das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen hatte.

Weiterhin wurde im Dezember 2018 gegen das kleine Versandunternehmen Kolibri Image ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren aufgrund des Fehlens eines Auftragsverarbeitungsvertrags verhängt.

Im Fokus der Datenschutzbehörden stehen zudem der sichere Betrieb von Online-Shops, der Schutz vor Verschlüsselungstrojanern in Arztpraxen, die Erfüllung der Rechenschaftspflicht von Großkonzernen und mittelständischen Unternehmen sowie die Umsetzung der Informationspflicht in Bewerbungsverfahren. Immer häufiger überprüfen Datenschutzbehörden nun auch mittelständische und kleine Unternehmen.

Europaweite Verhängung von Bußgeldern

Auch in anderen EU-Ländern haben Datenschutzbehörden Bußgelder wegen Verstößen gegen die DSGVO verhängt. Die österreichische Datenschutzbehörde hat beispielsweise wegen illegaler Videoüberwachung gegen zwei Lokale Bußgelder in Höhe von 4.800 und 400 Euro verhängt. Die portugiesische Datenschutzbehörde CNPD hat im Oktober letzten Jahres gegen ein Krankenhaus in Portugal ein Bußgeld in Höhe von 400.000 Euro verhängt, weil nicht nur Ärzte, sondern auch noch eine Vielzahl anderer Personen Zugriff auf die im IT-System gespeicherten Patientendaten hatten.

Den bislang höchsten Bußgeldbescheid wegen DSGVO-Verstößen in Höhe von 50 Millionen Euro erließ die französische Datenschutzbehörde CNIL gegen den Internetgiganten Google. Anfang 2019 hatte CNIL entschieden, dass der Internetkonzern gegen das Prinzip der Transparenz verstoße und keine gültige Einwilligung von Kunden für die Datenverarbeitung einhole.

Insgesamt, so informierte der Europäische Datenschutzausschuss (European Data Protection Board – „EDPB“), das zentrale Abstimmungsgremium der Datenschutzbehörden der EU, seien dem EDPB bislang 206.326 behördliche Verfahren in 11 EU-Ländern bekannt. Davon seien 94.622 behördliche Verfahren aufgrund einer Beschwerde oder Anzeige eingeleitet worden, 64.684 behördliche Verfahren aufgrund der Meldung einer Datenschutzverletzung gemäß Art. 33 DSGVO. Die übrigen behördlichen Verfahren wurden aufgrund anderer Ursachen eingeleitet. Abgeschlossen seien bislang 52 Prozent der behördlichen Verfahren.

Nach Angaben des EDPB wurden bislang Bußgelder in Höhe von insgesamt 55.955.871 Euro verhängt, inklusive der 50 Millionen Euro der CNIL gegen Google. Die restlichen zirka 6 Millionen Euro entfielen auf die übrigen behördlichen Verfahren. Datenschutzrechtler ziehen hieraus den Schluss, dass sich die Datenschutzbehörden bislang mit kleineren, nicht so komplexen und schwerwiegenden Datenschutzverletzungen beschäftigt haben.

Fazit

Es ist davon auszugehen, dass die teilweise Zurückhaltung der deutschen Datenschutzbehörden bei der Verhängung von Bußgeldern nun ein Ende finden wird. Es scheint zwar weiterhin so, als ob nicht die Verhängung möglichst hoher Bußgelder, sondern vielmehr die Reduzierung der Anzahl der Datenschutzverstöße das Ziel der Datenschutzbehörden darstellt – mit einem Bußgeldbescheid ist jedoch zu rechnen, wenn allzu leichtfertig oder mit voller Absicht DSGVO-Verstöße begangen werden.

Auch wenn Datenschutzbehörden aktuell mögliche Datenschutzverstöße von Unternehmensriesen wie Google prüfen, scheinen auch insbesondere mittelständische und kleine Unternehmen im Fokus der Datenschutzbehörden zu stehen. Dies bestätigt auch ein Blick über die Grenzen Deutschlands. KMUs sollten somit ebenfalls „auf der Hut sein“, denn es ist nicht absehbar, ob und ab wann sich die Datenschutzbehörden vermehrt den „Kleinen Fischen“ zuwenden werden.

Mareike Gehrmann,
Rechtsanwältin,
TaylorWessing, Düsseldorf