Bußgelder sind nicht alles! Die Instrumente der Datenschutz-Aufsicht nach DSGVO

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Viele Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) wegen möglicher, hoher Bußgelder. Doch die Aufsichtsbehörden haben noch ganz andere Instrumente, wenn es um Sanktionen geht. Bei genauerer Betrachtung könnten Bußgelder nicht das folgenreichste Mittel sein, um eine Verletzung der DSGVO zu ahnden. Wir gehen einen Überblick über die möglichen Abhilfen nach DSGVO.

Firmen zum Thema

Aufsichtsbehörden haben nicht Sanktionen und Abhilfemaßnahmen im Fokus, sondern den Datenschutz. Sie können aber neben Bußgeldern auch zu weiteren Maßnahmen greifen, um die Betroffenen und deren Daten zu schützen.
Aufsichtsbehörden haben nicht Sanktionen und Abhilfemaßnahmen im Fokus, sondern den Datenschutz. Sie können aber neben Bußgeldern auch zu weiteren Maßnahmen greifen, um die Betroffenen und deren Daten zu schützen.
(Bild: gemeinfrei / Pixabay )

Die Datenschutz-Grundverordnung (DSGVO) war schon lange vor ihrer Anwendbarkeit ein häufig diskutiertes Thema und ist es immer noch. Ein wesentlicher Grund, warum der Datenschutz in Zeiten der DSGVO viel Aufmerksamkeit erlangt, wird in der Höhe der möglichen Bußgelder gesehen. Tatsächlich gibt es inzwischen viele Beispiele für Bußgelder, die es früher unter dem alten Bundesdatenschutzgesetz (BDSG) nicht gegeben hat.

Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern eines Servicecenters durch die Center-Leitung hat zum Beispiel der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von mehr als 35 Millionen Euro erlassen. Das verhängte Bußgeld sei in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken, erklärt die Aufsichtsbehörde.

Wie es zu einer solchen Bußgeldhöhe kommen kann, lässt sich nachvollziehen, wenn man sich das Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen ansieht. Als dieses Konzept im Oktober 2019 veröffentlicht wurde, erregte es viel Interesse.

Allerdings wird weniger darüber diskutiert und berichtet, welche anderen Sanktionen und Abhilfen durch die jeweils zuständige Aufsichtsbehörde für den Datenschutz denkbar und möglich sind. Das sollte sich ändern, denn es gibt weitere Gründe, Datenschutzverletzungen tunlichst zu vermeiden, nicht nur hohe Bußgelder.

Die Vielfalt der Abhilfebefugnisse

Wenn eine Datenschutzaufsichtsbehörde eine Datenschutzverletzung erkannt hat und dagegen vorgeht, gibt es eine ganze Reihe von Möglichkeiten, die einem Unternehmen bekannt und bewusst sein sollten. So sieht Artikel 58 DSGVO (Befugnisse) insbesondere vor: Die zuständige Aufsichtsbehörde kann:

  • einen Verantwortlichen oder einen Auftragsverarbeiter warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen,
  • einen Verantwortlichen oder einen Auftragsverarbeiter verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
  • den Verantwortlichen oder den Auftragsverarbeiter anweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
  • den Verantwortlichen oder den Auftragsverarbeiter anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
  • den Verantwortlichen anweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
  • eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, verhängen,
  • die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 DSGVO und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten offengelegt wurden, über solche Maßnahmen anordnen,
  • eine Zertifizierung widerrufen oder die Zertifizierungsstelle anweisen, eine erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden,
  • eine Geldbuße verhängen, zusätzlich zu oder anstelle von den genannten Maßnahmen, je nach den Umständen des Einzelfalls,
  • die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anordnen.

Offensichtlich sind Geldbußen also nicht alles, zudem können die gefürchteten Geldbußen durch weitere Abhilfemaßnahmen ergänzt werden.

Beispiel: Verbot der Verarbeitung, Aussetzung der Datenübermittlung

Besonderes Augenmerk sollten Unternehmen auch auf diese möglichen Befugnisse legen, das Verbot der Verarbeitung und die Aussetzung der Datenübermittlung personenbezogener Daten. Beide Maßnahmen bedeuten, es gibt kein „Weiter so“, sondern die Verletzung des Datenschutzes muss umgehend aufhören. Eine Aufsichtsbehörde kann also im Fall des Falles die Verarbeitung personenbezogener Daten in einem beanstandeten Fall komplett einstellen lassen, ebenso die Übermittlung der Daten.

Je nach Bedeutung der Verarbeitung oder Übermittlung kann solch eine Maßnahme durchaus eine Betriebsunterbrechung zur Folge haben. Die Datenverarbeitung oder Datenübermittlung darf dann nicht mehr stattfinden, mit Konsequenzen für das betroffene Unternehmen, über die sich viele gar nicht im Klaren sind.

Es sei an dieser Stelle ein Vergleich zu einem ganz anderen Bereich gezogen, zu Ransomware. Bei einer Ransomware-Attacke können die betroffenen Daten nicht mehr verarbeitet und nicht mehr sinnvoll übermittelt werden, sie wurden gegen den Willen des Unternehmens verschlüsselt. Daneben gibt es den finanziellen Aspekt, das geforderte Lösegeld.

Nun liegt es dem Autor mehr als fern, die Aufsichtsbehörden mit den Ransomware-Kriminellen auch nur im Geringsten in Verbindung zu bringen. Doch man muss sich klarmachen: Aufsichtsbehörden können nicht nur zur Zahlung eines Bußgeldes auffordern, sie können auch die Datenverarbeitung und Datenübermittlung verbieten, wenn dies erforderlich erscheint, um weiteren Schaden von den Betroffenen abzuwenden.

Wer sich also vor den Folgen von Ransomware fürchtet (zu denen im Übrigen auch Sanktionen durch die zuständige Aufsichtsbehörde gehören können), sollte sich auch mehr Gedanken machen, dass eine Datenschutzverletzung zu einem Verbot einer bestimmten Datenverarbeitung oder Datenübermittlung führen kann.

Wenn man sich nicht an die Forderungen der zuständigen Aufsicht hält, sind zusätzlich zu den Bußgeldern auch Zwangsgelder möglich, um den notwendigen Druck auf ein Unternehmen zu erhöhen.

Wichtig ist zu wissen, dass die Aufsichtsbehörden nicht Sanktionen und Abhilfemaßnahmen im Fokus haben, sondern den Datenschutz. Im Fall des Falles werden sie jedoch zu durchaus gravierenden Maßnahmen greifen, um die Betroffenen und deren Daten zu schützen und dadurch die Einhaltung der DSGVO sicherzustellen. Es gibt also viele Gründe, sich an die DSGVO zu halten, nicht nur die möglichen, hohen Bußgelder.

(ID:47019960)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research