Anzeige

DSGVO-Verstöße
Nach Google-Strafe: Wie können sich Firmen schützen?

Bei Verstößen gegen die DSGVO kennen die Datenschutzbehörden kein Pardon mehr. Das sind die wichtigsten Dinge, die man jetzt wissen muss.

Text: W&V Redaktion

25. Januar 2019

Stefan Schicker beim Data Marketing Day der W&V
Anzeige

Ab sofort wird es ernst: Während die Datenschutzbehörden anfangs noch kulant auf Verstöße gegen die Datenschutzgrundverordnung (DSGVO) reagiert haben, setzen sie nun die Daumenschrauben an – zuletzt hatte das der Internetkonzern Google zu spüren bekommen, dem die französische Datenschutz-Behörde CNIL ein Bußgeld in Höhe von 50 Millionen Euro aufgebrummt hatte.

Experten wie Stefan Schicker von der Rechtsanwaltskanzlei SKW Schwarz rechnen mit weiteren Verfahren – auch in Deutschland. Denn: In Sachen Transparenz (einer der Gründe, warum Google jetzt gerügt wurde) müssen deutsche Unternehmen noch aufholen.

Die 50 Millionen Euro waren ein Paukenschlag – es war die erste größere Strafe im Zusammenhang mit der DSGVO, die seit Ende Mai 2018 greift. Besonders clever war das Timing der Franzosen: Sie erließen das Bußgeld genau einen Tag, bevor Google seiner irischen Tochter die Datenhoheit für alle europäischen Nutzer übertrug. "Ob in anderen derzeit anhängigen Beschwerden gegen Facebook, Instagram und WhatsApp ein Bußgeld verhängt wird, liegt zunächst bei der federführenden Behörde in Irland, die hier aktiv werden muss", sagt Professor Johannes Caspar, Hamburgs oberster Datenschützer.

Er hält das Bußgeld für "eher moderat", weil es sich zwar an den Umsätzen orientiert, aber natürlich nur an den französischen. Trotzdem begehrt Google dagegen auf und hat Widerspruch eingelegt, schreibt dpa. Man habe hart an einem Zustimmungs-Verfahren für personalisierte Werbung gearbeitet, das möglichst transparent sein sollte und auf Empfehlungen der Regulierer basierte, erklärte der Internet-Konzern. Google sei über die Folgen der CNIL-Entscheidung für Inhalte-Autoren sowie Tech-Unternehmen insgesamt besorgt, hieß es. Deshalb habe man sich entschlossen, in Berufung zu gehen.

Freude bei den Netzaktivisten

Der Privacy-Experte Wolfie Christl sieht in dem Verfahren einen "Startschuss für eine weitere Welle an Verfahren". Er findet auch die Begründung spannend: "Daraus könnten sich unmittelbare Auswirkungen auf die Datenpraktiken anderer Firmen ergeben", sagte er gegenüber Netzpolitik.org.

In Zukunft werden grenzüberschreitende Verfahren zunehmen, ist Datenschützer Caspar überzeugt und sieht darin auch das richtige Mittel. "Der gemeinsame Vollzug in Europa ist nach der DSGVO der Normalfall. Gemeinsame Verfahren sind der Schlüssel zu einem erfolgreichen Rechtsvollzug."

Dies gestalte sich in der Praxis häufig schwierig. "Teilweise schlecht ausgestattete Behörden, schwerfällige, überbürokratische Rechtsstrukturen, lange Verfahrensabläufe und nationale Besonderheiten erschweren einen Vollzug, der sowohl für die Wahrung der Rechte und Freiheiten Betroffener als auch für den fairen Wettbewerb von Unternehmen mit unterschiedlichen Niederlassungen auf dem digitalen Markt entscheidend sind", so Caspar.

Hier hat Google geschlampt

Die CNIL hat vor allem zwei Punkte bemängelt: Die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung sei nicht gültig, weil die Nutzer nicht ausreichend informiert würden. So sei die Vielfalt der beteiligten Google-Dienste wie Youtube, Google Maps oder der Internet-Suche nicht ersichtlich.

Außerdem seien Informationen zur Verwendung erhobener Daten und zum Speicher-Zeitraum für die Nutzer nicht einfach genug zugänglich. Sie seien über mehrere Dokumente verteilt und Nutzer müssten sich über Links und Buttons durchklicken. Zudem seien einige Informationen unklar formuliert.

Das sind Fehler, die auch bei hiesigen Unternehmen vorkommen, meint der Jurist Stefan Schicker. "Die Dienste von Google sind sicherlich komplex. Aber die datenschutzrechtlichen Regeln gelten eben für alle Dienste gleichermaßen. Das heißt, dass alle Unternehmen für den Nutzer transparent darstellen müssen, welche Informationen sie vom Nutzer erfassen."

"Je komplexer die Dienste sind, desto mehr Gedanken muss sich ein Anbieter darüber machen, wie er seine Dienste datenschutzkonform gestaltet." Stefan Schicker

41 Verfahren in Deutschland anhängig

Bei lokalen Einzelfällen mit Betroffenen in einem EU-Mitgliedsstaat sind weiterhin die Datenschützer des jeweiligen Landes zuständig. Und die deutschen Behörden sind beileibe nicht untätig: 41 Bußgeldverfahren zählt das Handelsblatt auf. Die höchste Einzelstrafe belief sich bisher auf 80.000 Euro.  

"Grundsätzlich achten die Behörden auch in Deutschland stark darauf, dass sich Unternehmen an die Regeln halten", weiß Anwalt Schicker aus seiner Praxis. "Viele Unternehmen haben die Umsetzungsfrist für die DSGVO nur knapp oder nicht ganz einhalten können."

In Sachen Transparenz sieht er weiter großen Nachholbedarf. Da legten Unternehmen "keinen ausreichenden Fokus" drauf. Allerdings verbreitet er auch Zuversicht: "Wenn man eine vernünftige Struktur in die Dokumente bringt, ist das auch nicht unmöglich. Doch je komplexer die Dienste sind, desto mehr Gedanken muss sich ein Anbieter darüber machen, wie er seine Dienste datenschutzkonform gestaltet."

Oft bieten Webseiten eine Vielzahl von Möglichkeiten, Daten zu hinterlegen. All das müsse dem Nutzer klar sein: "Auch bei Standarddiensten, die normale Webangebote enthalten und dabei Nutzerdaten gespeichert haben, zum Beispiel beim Anlegen von Nutzerkonten, Kontaktformularen oder dem Anlegen von Nutzerprofilen, muss für die Nutzer transparent und nachvollziehbar sein, wozu sie ihre Einwilligung erteilen."

Vorsicht bei Display-Werbung und Targeting

Mit der DSGVO hat der Verbraucher an Macht gewonnen. "Er kann leichter der Nutzung seiner Daten widersprechen und Auskunft darüber erhalten, was wo über ihn gespeichert wird", erläutert Schicker. Das habe bereits zum Umdenken in vielen Firmen geführt – und muss sich auch in der Adtech-Branche durchsetzen.

"Darauf müssen Unternehmen auch bei ihrer Display-Werbung und ihren Targeting-Aktivitäten achten und ihre Prozesse entsprechend anpassen und überarbeiten. Konkret also Fragen klären, welche Daten aus welchem Grund gespeichert werden, wofür sie zum Beispiel beim Targeting verwendet werden, wie lange sie aufbewahrt werden und wann sie gelöscht werden."

Aber die DSGVO ist noch nicht das Ende - eher der Anfang weiterer Regulierungen. "Wir erwarten für die Unternehmen in diesem Bereich noch sehr viel weitreichendere Änderungen, wenn die E-Privacy-Verordnung umgesetzt wird", wirft der Jurist einen Blick in die Zukunft.

TIPPS FÜR UNTERNEHMEN

Was provoziert Wettbewerber und die Behörden am meisten? An diesen Stellen müssen Unternehmen zuerst agieren, sagt Stefan Schicker, Rechtsanwalt bei SKW Schwarz Rechtsanwälte.

1. Zentrale Anlaufstelle im Unternehmen schaffen: Hierarchiekette -> wo können sich Mitarbeiter mit Fragen hinwenden?
2. Verarbeitungsverzeichnis erstellen: Das wichtigste Thema, wenn der Prüfer kommt. Liste/Excel-Tabelle, die aufführt, wo welche personenbezogenen Daten gespeichert werden (von Bewerbern, Kunden, Mitarbeitern, Lieferanten ...)
3. Auftragsverarbeitungen: Alles, was mein Unternehmen an Daten verlässt. Zum Beispiel Archivierung, Cloud, IT-Dienstleister, Support usw. Sie alle brauchen einen Auftragsverarbeitungsvertrag. 
4. Betroffenenrechte: Kunden und Mitarbeiter -> müssen beide informiert werden, wie ich mit ihren Daten umgehe. Wichtig: AGBs anpassen 
5. Schulungen: Sensibilisierung aller Mitarbeiter
6. Datenschutzbeauftragter: intern oder extern besetzt. Für kleinere Unternehmen: Datenschutzexperte.de ist einer der Dienstleister, die dafür zur Verfügung stehen

Wenn Sie dazu noch Fragen haben, dann finden Sie hier im W&V-Report zur DSGVO alles Wissenswerte. Sichern Sie sich hier Ihr persönliches Exemplar. 

Spannende Experten und interessante Praxisbeispiele lernen Sie beim nächsten W&V Data Marketing Day am 28. März 2019 kennen. Informieren Sie sich hier über das Programm und melden Sie sich gleich an. 

Anzeige