Bereits seit einem Jahr müssen Startups die Vorgaben der Datenschutzgrundverordnung (DSGVO) einhalten. Was ist aus der angekündigten Abmahnwelle geworden? Welche Bußgelder wurden verhängt? Und welcher Handlungsbedarf besteht noch? Wir ziehen in diesem Startup-Briefing eine erste Bilanz.
Abmahnwelle? Blieb aus!
Im Vorfeld der Anwendbarkeit der DSGVO wurde in der Presse vielfach eine Abmahn- und Klagewelle angekündigt. Entsprechend groß war die Panik der Startups, noch rechtzeitig am 25. Mai 2018 zumindest die notwendigen Rechtstexte auf die Website zu stellen.
Die große Abmahnwelle ist jedoch ausgeblieben. Vereinzelt kam es zwar zu Abmahnungen, bisher gibt es noch nicht mal eine einheitliche Rechtsprechung dazu, ob Datenschutzrechtsverstöße überhaupt für Wettbewerber abmahnfähig sind.
Erste Urteile, die Datenschutzrechtsverstöße für abmahnfähig halten, gibt es bereits z.B. für eine veraltete Datenschutzerklärung, die nicht auf die DSGVO angepasst wurde und die Möglichkeit der Kontaktaufnahme über ein unverschlüsseltes Kontaktformular auf einer Website.
Gesetzesänderung geplant
Um der rechtswidrigen Abmahnpraxis entgegenzuwirken, wird bereits eine Gesetzesänderung geplant. Der „Entwurf zur Anpassung zivilrechtlicher Vorschriften an die Datenschutzgrundverordnung“ (26.06.2018, BR-Drs. 304/18) soll die zivilrechtliche Geltendmachung von Datenschutzrechtsverstößen durch Verbände eindämmen.
Bereits erste Bußgelder verhängt
Neben den ersten Abmahnungen wurden auch bereits erste Bußgelder verhängt, z.B. für die Offenlegung von Kontoauszügen an Unbefugte beim Online-Banking, unzulässige Werbe-E-Mails, unbefugte Kopien von Kundendaten bei einem Hackerangriff auf einen Webshop, eine unzulässige Dashcam-Nutzung sowie offene E-Mail-Verteiler.
Laut dem Handelsblatt wurden mit Stand Januar 2019 deutschlandweit insgesamt 41 Bußgelder verhängt. Allein 33 Bußgelder wurden dabei in NRW verhängt. Trotz der hohen Anzahl an Bußgeldern betrug die Gesamtsumme der Bußgelder in NRW nur knapp 15.000 €. Die restlichen Bußgelder wurden in Hamburg, Baden-Württemberg, Berlin und im Saarland verhängt.
Die höchste Einzelstrafe eines Bußgeldes betrug 80.000 € und wurde in Baden-Württemberg verhängt. Im betreffenden Fall wurden einem Social-Media Anbieter bei einem Hackerangriff ca. 330.000 Nutzerdaten, u.a. Passwörter und E-Mail-Adressen, entwendet, welche später im Internet veröffentlicht wurden. Das Unternehmen hatte die Passwörter unverschlüsselt, unverfremdet und im Klartext gespeichert, was die Datenschutzbehörde als Verstoß gegen die vorgeschriebene Datensicherheit ahndete. Das Bußgeld fiel laut Aussage der Datenschutzbehörde auch nur deshalb so gering aus, weil das Unternehmen sehr gut mit der Datenschutzbehörde kooperiert hat und bereit war, deren Vorgaben und Empfehlungen umzusetzen.
Insgesamt verhängte Bußgelder (Stand Januar 2019):
- NRW: 33
- Hamburg: 3
- Baden-Württemberg: 2
- Berlin: 2
- Saarland: 1
Höhe der Bußgelder insgesamt (Stand 2019):
- NRW ca. 15.000 €
- Hamburg 25.000 €
- Baden-Württemberg 100.000 €
Erste Bußgelder anderer EU-Staaten
Mit 50 Mio. € verhängte die französische Datenschutzbehörde ein deutlich höheres Bußgeld gegen Google. Laut der französischen Datenschutzbehörde würde im Rahmen der Ersteinrichtung des mobilen Betriebssystems Android die Transparenzvorgabe der DSGVO nicht eingehalten. Zudem würden Einwilligungen im Rahmen der Ersteinrichtung nicht wirksam eingeholt werden.
Handlungsbedarf bleibt
Auf Grund der ausbleibenden Abmahnwelle und eher moderater Bußgelder ist die erste DSGVO-Panik verflogen. Dennoch besteht weiterhin Handlungsbedarf. Viele Verfahren vor den Landesdatenschutzbehörden sind noch offen und auch die Zahl der Beschwerden, Meldungen und Anfragen von Betroffenen an die Landesdatenschutzbehörden sind drastisch gestiegen. Einige Landesdatenschutzbehörden haben zudem bereits anlasslose Kontrollen angekündigt.
Startups sollten daher weiterhin an der Umsetzung der Vorgaben der DSGVO arbeiten. Welche Schritte zur Umsetzung notwendig sind und was Startups bei der Umsetzung beachten müssen erklären wir in unseren Q&A zur neuen EU Datenschutz Grundverordnung – Was Startups jetzt beachten müssen.
Du hast Interesse an detaillierten Informationen zum Thema oder rechtliche Fragen?
Kontaktiere gerne unsere Expertin.
Das #StartupBriefing ist eine regelmäßige Publikation zu rechtlichen Themen, die v.a. für
Gründer / Startups / junge Unternehmen relevant sind.
Mehr #StartupBriefings: hier klicken.