Tücken bei Gewinnspielen - 1,2 Mio Bußgeld gegen die AOK

Gewinnspiele sind eine beliebte Methode, an personenbezogene Daten zu Werbezwecken zu gelangen. Im Austausch für die Gelegenheit einen werthaltigen Preis zu gewinnen sind viele Verbraucher bereit, ihre Daten rauszugeben und sich zu Werbezwecken kontaktieren zu lassen. Dass dabei auch vieles schiefgehen kann, zeigt sich in einem aktuellen Verfahren in Baden-Württemberg, das der örtlichen AOK ein Bußgeld in Höhe von 1.240.000 Euro eingehandelt hat.

In diesem Artikel beschreiben wir den Hintergrund des Falls, die rechtliche Einordnung, die Höhe des Bußgeldes und was das für Unternehmer heute bedeutet (Sprung direkt zu den Handlungsempfehlungen).

Hintergrund

Im Rahmen mehrerer Gewinnspiele hat die AOK zwischen 2015 und 2019 Daten gesammelt, die sie mit expliziter Einwilligung der Teilnehmer auch für Werbezwecke nutzen wollte. Dazu hat sie auf den Formularen die Möglichkeit angeboten, durch Ankreuzen die Zustimmung zur Nutzung ihrer Daten zu Werbezwecken zu erteilen.

Später wurden die Teilnehmer dieser Gewinnspiele dann angeschrieben, um sie auf Angebote der AOK Baden Württemberg aufmerksam zu machen. Dabei sollte mithilfe geeigneter interner Maßnahmen sichergestellt werden, dass solche Schreiben nur an die Teilnehmer rausgingen, die auch entsprechend zugestimmt haben. Teilnehmer, die kein Kreuzchen gesetzt hatten, sollten von den Werbeaktionen ausgenommen werden. Tatsächlich wurden die Schreiben aber auch an 500 Teilnehmer versandt, die der Nutzung für Werbezwecke nicht zugestimmt hatten.

Rechtliche Einordnung

Personenbezogene Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt (Art. 6 DSGVO). Im Falle von Gewinnspielen kommen hierfür regelmäßig die Einwilligung, die Vertragserfüllung oder das berechtigte Interesse des Anbieters infrage. Im vorliegenden Fall hat sich die AOK für die Rechtsgrundlage der Einwilligung entschieden.

Wer personenbezogene Daten verarbeitet ist verpflichtet, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Daten im gesetzlichen Umfang geschützt sind (Art 32. DSGVO). Beruht die Verarbeitung auf der Rechtsgrundlage der Einwilligung, muss gewährleistet werden, dass tatsächlich nur die Daten verarbeitet werden, für die eine Einwilligung vorliegt. Die Nachweispflicht dafür trägt das Unternehmen.

Kann ein Unternehmen nicht nachweisen, dass geeignete Maßnahmen getroffen wurden oder dass die getroffenen Maßnahmen tatsächlich geeignet sind, kann hierfür von der zuständigen Datenschutzbehörde ein Bußgeld verhängt werden (Art. 83 DSGVO).

Im vorliegenden Fall konnte festgestellt werden, dass die Daten von 500 Teilnehmern zu Werbezwecken ohne deren Einwilligung verarbeitet wurden, indem sie zu Angeboten der AOK kontaktiert wurden. Die Maßnahmen, die von der AOK getroffen wurden, waren daher im Ergebnis nicht geeignet, ein angemessenes Schutzniveau sicherzustellen.

Höhe des Bußgeldes: kein gutes Zeichen

Die Höhe von Datenschutz-Bußgeldern ist vom Einzelfall abhängig, muss jedoch immer „wirksam, verhältnismäßig und abschreckend“ sein. Zusammen mit der hier anzuwendenden Obergrenze von 2 % des Vorjahresumsatzes oder 10 Mio Euro (je nachdem, was höher ist) ergeben sich empfindliche Sanktionen, die nicht auf die leichte Schulter genommen werden können.

Auf den ersten Blick erscheinen 1,2 Mio. Euro für 500 Fälle, also 2.480 Euro pro Fall hoch: die abschreckende Wirkung wäre wohl auch gewährleistet worden, wenn nur ein Bruchteil davon festgesetzt worden wäre. Schließlich zahlt die Gesetzliche Krankenversicherung auch maximal ca. 93 Euro Provision pro vermittelten Beitragszahler, der TKP liegt sicherlich weit darunter.

Im Vergleich zum Vorjahresumsatz der AOK Baden-Württemberg (2019: 14,1 Mrd Euro) hält sich das Bußgeld aber am untersten Rand des Möglichen auf. Dafür gibt es auch einen Grund: Die Landesdatenschutzbehörde hat einige Faktoren identifiziert, die es zugunsten der AOK gewertet hat. Dazu gehörten:

  • umfassende interne Überprüfungen und Anpassungen des Umgangs mit personenbezogenen Daten durch die AOK
  • konstruktive Zusammenarbeit mit der Behörde
  • zusätzliche interne Kontrollmechanismen für Vertriebstätigkeiten
  • Bedeutung der Krankenkasse als Bestandteil des Gesundheitssystems
  • Gefährdung der gesetzlichen Pflichten der Krankenkasse durch ein zu hohes Bußgeld, auch in Bezug zur Corona-Pandemie

Insbesondere die letzten beiden Faktoren geben jedoch zu denken: Den meisten Unternehmen der Privatwirtschaft wird es nicht möglich sein, eine ähnliche öffentliche Bedeutung oder eine Gefährdung gesetzlicher Pflichten durch die Bußgeldhöhe zu beweisen. Das heißt: selbst wenn ein Unternehmen im vergleichbaren Fall umfassend intern aufgeklärt, Verbesserungen umgesetzt und vollständig mit der Behörde kooperiert hätte, müsste es mit einem höheren Bußgeld als 1,2 Mio Euro rechnen. Um so wichtiger ist es daher dafür zu sorgen, dass ein Fall wie dieser gar nicht eintreten kann.

Handlungsempfehlungen bei Gewinnspielen

Die Nutzung von Gewinnspielen zum Sammeln von Daten potenzieller Kunden ist nicht per se rechtswidrig. Im Gegenteil wird die Nutzung personenbezogener Daten für Werbezwecke explizit von der DSGVO als mögliche Grundlage eines berechtigten Interesses genannt. Der Teufel steckt jedoch im Detail.

Wer Gewinnspiele durchführen möchte, hält sich am besten an folgende Regeln:

  1. Die Teilnahme am Gewinnspiel sollte per Formular erfolgen. In diesem Formular sollten verpflichtend die Daten abgefragt werden, die für eine Kontaktaufnahme und für die Teilnahme am Gewinnspiel notwendig sind.
  2. Das Formular sollte keine allgemeine Einwilligung zur Verwendung der Daten zu Werbezwecken einfordern. Es sollte aber deutlich darauf hinweisen, dass die Daten zu Werbezwecken verwendet werden können.
  3. Das Formular sollte separate Möglichkeiten zur Kontaktaufnahme zu werblichen Zwecken per E-Mail und per Telefon enthalten, die vom Teilnehmer angekreuzt werden müssen. Hintergrund hier ist nicht die DSGVO sondern § 7 UWG, wonach sowohl Telefonanrufe als auch E-Mails (aber keine Postsendungen) zu Werbezwecken bei Verbrauchern ohne vorherige ausdrückliche Zustimmung als unzumutbare Belästigung angesehen werden.
  4. Zusammen mit dem Formular sollte eine Datenschutzbelehrung zur Verfügung gestellt werden, aus der hervorgeht, dass die Daten der Teilnehmer zur Durchführung des Gewinnspiels und zu Werbezwecken verwendet werden. Die Rechtsgrundlage hierfür ist das berechtigte Interesse des Unternehmens an der Durchführung des Gewinnspiels sowie zur Akquise neuer Kunden. Auf das unbeschränkte Widerspruchsrecht muss explizit hingewiesen werden
  5. Im CRM bzw. in der Interessentendatenbank muss sorgfältig gespeichert werden, wozu der Teilnehmer alles seine Zustimmung erteilt hat.

Wir als Partner für wirtschaftlichen Datenschutz empfehlen, den Datenschutzbeauftragten im Unternehmen oder einen externen Datenschutzbeauftragten beim Entwurf von Gewinnspielen bereits frühzeitig einzubinden. So beugen Sie Bußgeldern infolge zu Unrecht genutzter Datensätze vor und können Gewinnspiele rechtssicher zur Adressakquise nutzen.

Cookies 2020

Website-Betreiber dürfen Cookies nur mit vorheriger eindeutiger Einwilligung des Website-Besuchers speichern und auslesen. Mit diesem Urteil vor dem Bundesgerichtshof ging am 28. Mai 2020 ein seit 2014 anhängiger Rechtsstreit (Az. I ZR 7/16) zu Ende. Das Urteil bestätigt letztlich, was in der sonstigen EU schon lange galt. Damit werden viele Praktiken obsolet, die in Deutschland seit Jahren üblich sind. Im Folgenden erläutern wir den Hintergrund, geben Hinweise, was jeder Betreiber einer Website jetzt sofort tun muss, und zeigen einen besonders einfachen Weg, das Cookie-Problem zu lösen.

Rechtlicher und technischer Hintergrund

Was sind eigentlich Cookies?

Bei Cookies handelt es sich um Datensätze, die Websites im Browser eines Besuchers speichern und zu einem späteren Zeitpunkt wieder auslesen. Damit wird es ermöglicht, aufeinander folgende Besuche derselben Website zusammenzuzählen und insbesondere wiederkehrende Kunden zu identifizieren. Cookies werden aber auch dazu eingesetzt, um Besucher über mehrere Websites hinweg zu tracken und online für jeden Besucher passgenaue Werbung auszuliefern. Cookies sind zum Beispiel der Grund, warum Besucher einer Website eines Gartenbaumarktes später wiederholt Werbung für Blumenerde und Gießkannen sehen, wenn sie Facebook aufrufen.

Warum sind Cookies aus Datenschutzsicht ein Problem?

Wie wir hier ausgeführt haben, soll der Datenschutz verhindern, dass Menschen durch die Verarbeitung ihrer Daten in ihren Rechten und Freiheit verletzt werden. Grundgedanke des Datenschutzes ist daher: Jeder soll wissen, was mit seinen Daten passiert, und Daten sollen im Regelfall nicht entgegen der Interessen der jeweiligen Person verarbeitet werden. Bei Cookies besteht die Herausforderung, dass sie regelmäßig ohne das Wissen des Website-Besuchers gespeichert oder ausgelesen werden. Die meisten Menschen wissen nicht einmal, dass es Cookies gibt, geschweige denn was sie bedeuten.

Schwerwiegender ist jedoch, dass auch viele Betreiber von Websites nicht wissen, dass ihre eigene Website beim Besuch Cookies speichert oder ausliest. Wer sich mithilfe eines der unzähligen Baukastensysteme für Websites wie Jimdo, WiX oder WordPress eine neue Online-Präsenz zusammenstellt, benutzt sehr schnell Cookies, ohne es zu bemerken. Die Anbieter dieser Systeme sind nicht unbedingt transparent, was ihren eigenen Einsatz von Cookies angeht. Aber auch die Einbindung von populären Plugins wie Google Analytics, Vimeo oder Youtube führt zum Speichern und Auslesen von Cookies, ohne dass den Website-Betreibern das bewusst ist.

Warum gibt es dann auf allen möglichen Websites, Online-Shops etc. große Banner und Popups, die über Cookies sprechen und Besucher zum Akzeptieren“ auffordern?

Die Antwort der EU auf die genannte Intransparenz ist die seit 2009 geltende ePrivacy-Direktive. Sie erlegt allen Betreibern von Websites auf, Cookies nur mit Einwilligung des Nutzers zu speichern und auszulesen. In Deutschland wurde dieser Teil der Direktive in § 15 Telemediengesetz (TMG) umgesetzt. Ein Verstoß stellt eine Ordnungswidrigkeit dar, mit einem Bußgeldrahmen von bis zu 50.000 Euro.

Die ePrivacy-Direktive schreibt nicht vor, auf welche Art und Weise die Einwilligung einzuholen ist. Aber ein technisch einfacher und offensichtlicher Weg ist es, den Nutzer zu Beginn des Besuchs der Website über Cookies zu informieren und ihn das irgendwie bestätigen zu lassen. Banner oder Popups sind also schlicht der einfachste Weg, den gesetzlichen Vorgaben zu Cookies zu folgen.

Muss wirklich für jedes Cookie eine Einwilligung eingeholt werden?

Tatsächlich sieht die ePrivacy-Direktive auch eine Ausnahme vor: Cookies, die unbedingt erforderlich sind, um die Website zu betreiben, bedürfen keiner Einwilligung. Für solche Cookies ergab sich aus der Direktive nicht einmal eine Informationspflicht.

Die seit 2018 geltende DSGVO enthält aber eine solche Informationspflicht, sodass über Cookies auf jeden Fall in der Datenschutzerklärung informiert werden muss – unabhängig davon, ob eine Einwilligung erforderlich ist oder nicht.

So weit so klar. Aber worüber streitet man sich vor Gericht?

Die gesetzlichen Vorgaben sind nicht sehr detailliert und bieten viel Spielraum für Interpretationen, was zu einer Reihe von Gerichtsprozessen geführt hat. Viele davon schafften es bis zu den höchsten Gerichten der EU-Mitgliedsstaaten und zum Europäischen Gerichtshof. Eine Auswahl der Streitpunkte:

  • Welche Informationen über Cookies müssen bereitgestellt werden?
    Antwort: Jedes Cookie muss einzeln beschrieben werden samt Zweck und Speicherdauer.
  • Wenn ein Nutzer auf der Website nach unten scrollt oder auf weitere Links auf der Website klickt, die Website also weiter besucht, kann dann von einer Einwilligung ausgegangen werden?
    Antwort: Nein, von einer Einwilligung kann nur ausgegangen werden, wenn der Nutzer ausdrücklich und eindeutig zustimmt.
  • Ist es ausreichend, wenn der Nutzer der Website nur die Möglichkeit hat, allen Cookies zuzustimmen?
    Antwort: Nein, der Nutzer muss die Möglichkeit haben, Cookies je nach Zweck zuzulassen oder abzulehnen.
  • Ist eine bereits gesetzte Häkchenbox erlaubt, um die Zustimmung einzuholen? Der Nutzer müsste also das Häkchen entfernen, um Cookies abzulehnen.
    Antwort: Nein, die Zustimmung muss durch eine eindeutige ausdrückliche Handlung erteilt werden. Ohne diese Handlung darf von keiner Einwilligung ausgegangen werden.
  • Sind Cookies, die für Marketing- oder Werbezwecke verwendet werden, unbedingt notwendig und damit von der Einwilligungspflicht befreit?
    Antwort: Nein, für Marketing- und Werbe-Cookies ist auf jeden Fall die vorherige Einwilligung des Nutzers erforderlich.
  • Wäre es zulässig, erst einmal von der Einwilligung des Nutzers auszugehen, wenn man ihm später die Möglichkeit gibt zu widersprechen (sogenanntes Opt-out)?
    Antwort: Nein, die Einwilligung ist nur gegeben, nachdem der Nutzer durch eine eindeutige und ausdrückliche Handlung seine Zustimmung erteilt hat. Cookies dürfen auch erst danach gespeichert oder ausgelesen werden.

Diese Prozesse erfreuten sich erheblicher Aufmerksamkeit, insbesondere von allen, die Online-Marketing betreiben. Die Sorge: Wenn Cookies tatsächlich nur dann verwendet werden dürfen, nachdem der Nutzer aktiv eingewilligt hat, würden viele Cookies nicht mehr gesetzt werden können. Und dann wäre auch keine passgenaue Werbung über Websites hinweg mehr möglich (Stichwort Remarketing bzw. Retargeting). Salopp gesagt: keine Werbung mehr für Blumenerde oder Gießkannen auf Facebook nach dem Besuch der Website eines Gartenbaumarkts.

Wie steht das alles im Verhältnis zum Datenschutz und der DSGVO?

Zwei Dinge müssen im Verhältnis zwischen ePrivacy-Direktive und DSGVO berücksichtigt werden:

  1. Cookies gelten in der Regel als personenbezogene Daten und sind damit vom Datenschutz erfasst. Theoretisch könnten Cookies auch genutzt werden, um Daten zu speichern, die nichts mit dem Nutzer zu tun haben und damit auch nicht dem Datenschutz unterliegen. Der praktische geschäftliche Nutzen ergibt sich aber regelmäßig erst aus der individuellen Identifikationsmöglichkeit und dem Tracken zwischen Websites.
  2. Die ePrivacy-Direktive gilt in ihrer aktuellen Form seit 2009, die DSGVO trat erst 2018 in Kraft. Damit gelten seit 2018 auch für Cookies die gleichen strengen Anforderungen an Informationspflichten und wirksame Einwilligungen aus der DSGVO wie sonst auch.

Unsere Hinweise und Tipps zum Umgang mit Cookies

In den folgenden Schritten beschreiben wir, was jeder Betreiber einer Website jetzt unverzüglich tun sollte.

1. Bestandsaufnahme – Benutze ich überhaupt Cookies?

Ob eine Website Cookies einsetzt, ist regelmäßig weder für den Besucher am PC zuhause oder im Büro noch für den Betreiber einer Website selbst offensichtlich. Für Letztere ergibt sich die Problematik daraus, dass Websites oft aus verschiedenen Plugins und Erweiterungen Dritter zusammengesetzt werden und die meisten Website-Betreiber die technischen Hintergründe ihrer eigenen Website nicht wirklich verstehen.

Das ist weder verwunderlich noch wirklich zu bemängeln: Wer Visitenkarten drucken lässt, wird sich selten mit den Details des Offset-Drucks, der verwendeten Maschinen und Druckerfarben oder des Druckprozesses auseinandersetzen wollen. Man will einfach Visitenkarten, die gedruckt so aussehen, wie sie am Bildschirm entworfen wurden. Bei Websites ist das nicht anders.

Erste Aufgabe ist es also herauszufinden, ob überhaupt Cookies verwendet werden. Wer Agentur, Webdesigner oder Programmierer für die eigene Website beauftragt hat, fragt am besten diese danach. Wer sich die Website mithilfe eines Baukastens wie Jimdo, WiX oder WordPress zusammengestellt hat, bekommt gegebenenfalls Unterstützung von diesen Anbietern in Form eines Cookie-Plugins, das auch Informationen über genutzt Cookies bereitstellt. Für alle Übrigen empfiehlt sich die Beauftragung eines Web-Programmierers, die selbstständige Arbeit mit Browser-Plugins wie EditThisCookie für Chrome oder Cookie-Editor für Firefox oder auch die Nutzung unseres Website-Checks.

2. Aufräumen – Brauche ich alle Cookies wirklich?

Jede Bestandsaufnahme ist eine Gelegenheit zum Aufräumen. Manchmal sammeln sich über Jahre Plugins und Erweiterungen in Websites an, die nie benutzt werden und schlimmstenfalls die Website verlangsamen. Wir empfehlen daher dringend zu schauen, ob tatsächlich alle Cookies gebraucht werden.

So war es zum Beispiel einige Jahre „schick“, Google Maps direkt in die eigene Website einzubinden, um den Standort des Unternehmens zu verdeutlichen. Eine wesentlich bessere Lösung ist es inzwischen, nur noch ein Bild der Karte in die Website zu integrieren und das Bild mit einem Link zu Google Maps mit der richtigen Standort-Adresse zu versehen. Das hat drei Vorteile: Handy-Benutzer landen mit dem Link direkt in ihrer Google Maps App, die Ladegeschwindigkeit vieler Websites erhöht sich massiv und für Google Maps werden keine Cookies mehr auf der Website gesetzt. Ähnlich können Sie auch mit Vimeo oder Youtube verfahren.

3. Ausnahmen – Welche Cookies sind „unbedingt erforderlich“?

Cookies, die für den Betrieb der Website unbedingt erforderlich sind, bedürfen keiner Einwilligung. Ob diese Ausnahme zutrifft, hängt ganz entschieden von Funktion bzw. vom Zweck ab.

Leider enthalten die gesetzlichen Vorgaben keine Definition, was unter „unbedingt erforderlich“ zu verstehen ist. Es gibt auch kaum verbindliche Rechtsprechung zu dieser Frage. Die folgende Übersicht stellt daher nur unsere Einstufung dar, die wir hier ausdrücklich ohne Gewähr veröffentlichen. Es ist nicht auszuschließen, dass die Datenschutzaufsichtsbehörden und letztlich die Gerichte das anders sehen. Wir halten diese Einstufung jedoch für vertretbar und begründbar.

Funktion / ZweckEinwilligung erforderlich
Anmeldung / Login, Warenkorb, Sprachauswahlnein
Speichern der Einwilligung zu Cookiesnein
Load-Balancingnein
Mediensteuerung (z.B. letzte angeschaute Stelle von Videos)nein
Reichweitenmessung (z.B. mittels Matomo)nein
Remarketing / Retargetingja
Facebook Pixelja
Google Ads Conversion Trackingja
Google Analyticsja

4. Absichern – Cookie-Manager einbauen

Wenn nach Bestandsaufnahme und Aufräumen noch Cookies übrig bleiben, die nicht unbedingt erforderlich sind, empfehlen wir den Einbau eines Cookie-Managers. Es gibt eine Vielzahl von Lösungen am Markt, die sich darauf spezialisieren, die Informationspflichten über Cookies zu erfüllen und wirksame Einwilligungen einzuholen. Diese Lösungen sind nicht immer kostenlos. Hier eine nicht abschließende Auswahl von Lösungen in unsortierter Reihenfolge, die wir aus der Beratungspraxis kennen und für tauglich halten:

Bei einigen Cookie-Managern muss beachtet werden: ihre Benutzung führt dazu, dass personenbezogene Daten von Dritten (nämlich den Anbietern dieser Lösungen) verarbeitet werden. In solchen Fällen ist regelmäßig ein Auftragsverarbeitungsvertrag notwendig, den seriöse Anbieter jedoch automatisch anbieten.

Wir raten ausdrücklich davon ab, Cookie-Manager selbst zu bauen oder selbst entwickeln zu lassen. Zu groß ist das Risiko, Cookies versehentlich doch zu setzen oder auszulesen, ohne dass eine wirksame Einwilligung vorliegt.

Womit muss ich rechnen, wenn ich Nichts tue?

Wenn auf Ihrer Website keine Cookies verwendet werden, gibt es auch keinen Handlungsbedarf. Verwenden Sie jedoch Cookies, ob direkt oder indirekt mittels Plugins wie Google Analytics, Vimeo oder Youtube, und beschaffen sich nicht die notwendige Einwilligung, sind alle folgenden Konsequenzen möglich:

  • Abmahnung und ggf. Schadensersatz und Schmerzensgeldforderungen durch Nutzer
  • Abmahnung durch Wettbewerber
  • Bußgelder durch die 16 deutschen Datenschutzbehörden

Insbesondere der letzte Punkt darf nicht unterschätzt werden: Wenn die Datenschutzbehörden tätig werden, gilt ein erheblich höherer Bußgeldrahmen von bis zu 20 Mio. Euro oder 4 % des Vorjahresumsatzes, je nachdem welcher Betrag höher liegt. Solange der Rechtsstreit noch beim BGH anhängig war, durften die Datenschutzbehörden wegen der unklaren Rechtslage keine Verfahren wegen Cookies einleiten. Diese Zurückhaltung ist seit der Verkündung des Urteils am 28. Mai 2020 aber vorbei.

Gibt es nicht einen einfacheren Weg, das Thema Cookies abzuhaken?

Ja, den gibt es: Wir bieten als Experten für wirtschaftlichen Datenschutz unseren Website-Check an. Dabei prüfen wir Ihre Website auf Cookies und andere Datenschutzthemen, helfen Ihnen bei der Behebung eventueller Mängel und bestätigen schließlich die Einhaltung aller Regeln. Noch besser: Sie bekommen auch ein grafisches Siegel für Ihre eigene Website, mit dem Sie Ihren Kunden und Partnern demonstrieren, dass alle Datenschutzregeln eingehalten werden.

Ob Weltkonzern oder Kleinstbetrieb – Die DSGVO gilt für alle Unternehmen und mangelnde Verantwortung wird bestraft!

Zuerst ist gegen ein Krankenhaus in Portugal die europaweit erste substanzielle Geldstrafe in Höhe von 400.000 EUR wegen eines Verstoßes gegen die neue EU-Datenschutz-Grundverordnung (DSGVO) bekannt geworden.

Anfang der letzten Woche wurde nun die erste Rekorde-Strafe in Höhe von 50 Millionen EUR bekannt, die der Internetriese Google in Frankreich wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO-Bußgelder) zahlen soll. Hintergrund: der Weltkonzern hat die Pflicht missachtet, seine Nutzer transparent über die Datennutzung zu informieren, und zudem keine wirksame Einwilligung für die Verarbeitung der Daten zu Werbezwecken vorweisen könne.

Eher zu vernachlässigen erscheint dagegen ein Fall, welcher fast zeitgleich aus Hamburg bekannt wurde. Dort hatte die Datenschutzbehörde an das kleine Versandunternehmen Kolibri Image einen Bußgeldbescheid über 5.000 EUR aufgrund eines fehlenden Auftragsverarbeitungsvertrags erlassen.

Ergo: Ob Weltkonzern oder Kleinstunternehmen – Die DSGVO gilt für alle Unternehmen und mangelnde Verantwortung wird bestraft!

Die eigene Verantwortung muss von den Unternehmen daher erkannt und umgesetzt werden

Neben diesen medienbekannten Fällen gibt es natürlich bereits zahlreiche andere Entscheidungen der Aussichtsbehörden. Allein in Bayern laufen nach Angaben der Datenschutzbehörde zurzeit ca. 85 Bußgeldverfahren nach der DSGVO.

Die häufigsten Auslöser für die Bußgeldverfahren seien dabei Beschwerden von Betroffenen, welche nach Art 38 Absatz 4 DSGVO in erster Instanz dem Zuständigkeitsbereich des Datenschutzbeauftragten des Unternehmens unterfallen. Sie gehen in den meisten Fälle aufgrund von Werbemails, unzulässig aufgezeichneten Telefonaten o.a. ein.

Natürlich sind viele Bestimmungen der DSGVO hochgradig auslegungsbedürftig. Das gilt für „berechtigte Interessen“ (Art. 6 Abs. 1 Satz 1 lit. f DSGVO), für die Frage eines möglichen Kopplungsverbots (Art. 7 Abs. 4 DSGVO) und für unzählige andere Fragen.

Dass Aufsichtsbehörden strenge Maßstäbe an die Auslegung der DSGVO anlegen und im Zweifel für den Betroffenen argumentieren, ist ihnen nicht zu verdenken. Denn der Schutz der Betroffenen ist die originäre Aufgabe der Behörden.

Die Benennung eines Datenschutzbeauftragten kann Ihnen dabei helfen, die Unwägbarkeiten der Datenschutzgrundverordnung gut zu meistern und insbesondere Haftungs- und Bußgeldtatbestände zu vermeiden.