Datenschutz-Grundverordnung – Update: Erste Geldbußen verhängt
In unserem Newsflash 05/2018 hatten wir Mitte 2018 über die aktuelle Diskussion zu der befürchteten wettbewerbsrechtlichen „Abmahnwelle“ im Hinblick auf Verstöße gegen die EU-Datenschutz-Grundverordnung („EU-DSGVO“) berichtet.
Auch rund ein halbes Jahr später ist die rechtliche Lage im Hinblick auf die Frage nach wie vor ungeklärt, ob das novellierte Datenschutzrecht derzeit überhaupt einen geeigneten Gegenstand für etwaige Abmahnungen im Falle einschlägiger Verstöße bietet. Bislang sind zu dieser Rechtsfrage von verschiedenen Gerichten Entscheidungen ergangen, die in der Sache höchst unterschiedlich ausfallen. Einige bejahen die wettbewerbliche Abmahnfähigkeit datenschutzrechtlicher Verstöße (etwa das Landgericht Würzburg und das Landgericht Hamburg), andere dagegen verneinen eine entsprechende Abmahnfähigkeit unter Verweis darauf, dass die EU-DSGVO ein abschließendes Sanktionssystem enthalte, ausdrücklich (etwa das Landgericht Bochum und das Landgericht Wiesbaden). Eine endgültige Klärung vermag am Ende allein der Gerichtshof der Europäischen Union (EuGH) herbeizuführen.
Jenseits des Wettbewerbsrechts hat indes die behördliche Überwachungstätigkeit der zuständigen Datenschutzbehörden der Bundesländer zu der Verhängung erster Geldbußen auf der Grundlage der EU-DSGVO geführt. Als erste Landesdatenschutzbehörde in Deutschland hat der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg ein erhebliches mediales Echo ausgelöst, als in seinem Zuständigkeitsbereich gegen ein Unternehmen, das die Internetplattform „Knuddels“ betreibt, am 21.11.2018 eine Geldbuße i. H. v. 20.000 € wegen eines Verstoßes gegen die Sicherheitsanforderungen gem. Art. 32 EU-DSGVO verhängt worden ist.
Einer (noch) höheren Geldbuße ist das Unternehmen wohl nur deshalb entgangen, weil es den Hackerangriff sowohl der Aufsichtsbehörde als auch seinen Nutzern unverzüglich gemeldet hatte. In einem weiteren Fall wurde unter dem 17.12.2018 seitens der Hamburgischen Datenschutzbehörde eine Geldbuße über 5.000 € verhängt, da ein Unternehmen keinen sog. Auftragsverarbeitungsvertrag für entsprechende Tätigkeiten abgeschlossen hatte.
Fazit: Auch wenn die von einigen befürchteten erheblichen Folgen des Inkrafttretens der EU-DSGVO bislang noch relativ mild ausgefallen sind, kommt der Einhaltung datenschutzrechtlicher Anforderungen eine zunehmend bedeutsame Rolle in der Unternehmensorganisation zu. Nach wie vor gilt jedoch: Die EU-DSGVO ist kein „Hexenwerk“. Die Minimierung finanzieller Risiken ist in aller Regel mit überschaubarem Aufwand erreichbar.
Ihr Team von
PAULY•Rechtsanwälte
Cäcilienstraße 30
50667 Köln
Tel.: 0221 / 250 890 – 0
Fax: 0221 / 250 890 – 69
www.pauly-rechtsanwaelte-koeln.de
Köln, 04.02.2019