Aktueller Stand zum Durchsetzungsgrad der DSGVO

Im Mai 2020 sind zwei Jahre seit dem Inkrafttreten der Datenschutz-Grundverordnung 2016/679 (DSGVO) vergangen. Die DSGVO erteilt den Datenschutzbehörden im Falle von Datenschutzverstößen die Befugnis, höhere Strafen zu verhängen als jemals zuvor. In den schwerwiegendsten Fällen können Unternehmen mit einer Geldstrafe von bis zu 20 Mio. EUR oder 4% ihres weltweiten Jahresumsatzes belegt werden – je nachdem welcher Betrag höher ist. Kurz nach der Inkraftsetzung kam es sowohl bei Datenschutzbehörden als auch bei Verantwortlichen und Datenverarbeitern zu zahlreichen Fragestellungen hinsichtlich der Auslegung der DSGVO sowie im Speziellen zur Berechnung von Bußgeldern.

Die jüngste Analyse von dem Marktforschungsunternehmen Forrester ergab, dass die Datenschutzbehörden in der Europäischen Union die Aktivitäten zur Durchsetzung der DSGVO verstärken. Außerdem herrscht nach fast zwei Jahren nun mehr Sicherheit hinsichtlich der Interpretation der Normen der DSGVO durch die Datenschutzbehörden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat Ende des letzten Jahres einen Bußgeldkatalog verabschiedet, der deutlich höhere Sanktionen zulässt und einen Weckruf für Unternehmen darstellen sollte, um der Ernsthaftigkeit der Bundesregierung in Sachen Datenschutz Nachdruck zu verleihen.

Das jüngste Beispiel einer vom BfDI verhängten 9,5 Millionen Euro Geldbuße gegen ein bekanntes deutsches Telekommunikationsunternehmen wegen einer DSGVO-Zuwider­hand­lung hat gezeigt, dass die deutschen Behörden Rechtsverletzungen nicht auf die leichte Schulter nehmen bzw. zukünftig nehmen werden. Im Fall des Telekommunikations­unternehmens folgte auf die Beschwerde eines Kunden beim BfDI eine Untersuchung, bei der festgestellt wurde, Dritte über die telefonische Kundenbetreuung des Unternehmens Auskünfte zu anderen Kunden bekommen konnte. Es reichte demnach schon, den Namen und das Geburtsdatum eines Kunden zu kennen, um an weitere Informationen zu dieser Person zu gelangen. Das Problem habe nicht nur für einen geringen Teil der Kunden ein Risiko dargestellt, sondern für den gesamten Kundenbestand. Das Unternehmen erklärte seinerseits, dass der Hotline-Mitarbeiter unter Verwendung einer Zwei-Faktor-Authentifizierung gemäß den damaligen Unternehmens­richt­linien gehandelt habe und dies den branchenüblichen Gepflogenheiten entsprach. Das BfDI stellte jedoch fest, dass durch dieses Verfahren Risiken für „weitreichende Informationen“ über Kunden entstehen. So wurde festgestellt, dass die von der Kunden-Hotline des Tele­kom­mu­ni­ka­tions­unternehmens verwendeten Authentifizierungsverfahren nicht ausreichten, um die Anforderungen nach Art. 32 DSGVO zu erfüllen.

Weitere richtungsweisende Geldbußen im Zusammenhang mit der DSGVO wurden im vergangenen Jahr über ein deutsches Immobilienunternehmen sowie andere Unternehmen wie z.B. Google, British Airways und Marriott Hotels verhängt.

Schützen Sie Ihr Unternehmen und handeln Sie rasch indem Sie ihre Lücken bei der Einhaltung der Datenschutzanforderungen schließen.

RSM hilft Ihnen gerne dabei Sensibilisierungsprogramme für Mitarbeiter durchzuführen oder ihr Datenschutz-Management-System (DSMS) zu durchleuchten. Gerne überprüfen wir Ihre individuelle Risikobewertung oder validieren Ihre Verfahrensbeschreibung.

Weitere Dienstleistungen im Zusammenhang mit der DSGVO:

  • Datenschutz-Management-System (DSMS)
    Wir unterstützen Sie bei der Konzeption und Implementierung des DSMS und prüfen die Wirksamkeit des DSMS nach anerkannten Standards
     
  • Risikomanagement und Ermittlung von Lücken
    Wir unterstützen Sie bei der Ermittlung von Risiken, um potenzielle Lücken in Bezug auf den Datenschutz zu ermitteln
     
  • Datenschutzanforderungen
    Wir unterstützen Sie dabei, die Lücken in Ihrer Organisation zu überprüfen und Empfehlungen zur Einhaltung der DSGVO abzugeben
     
  • Datenschutz- und Datenschutzprogramme
    Wir unterstützen Sie bei der Entwicklung und Einführung von Datenschutz- und Datenschutzprogrammen
     
  • Sensibilisierungsprogramme
    Wir führen Sensibilisierungsprogramme für Ihre Organisation aus, um die Rollen und Verantwortlichkeiten jedes Einzelnen in der Organisation im Bereich Datenschutz festzulegen
     
  • Überprüfung der Standard Operation Procedures (SOP)
    Wir überprüfen die SOP ihrer Organisation in Bezug auf das Datenmanagement und geben Empfehlungen ab, indem wir sie mit Best Practices und Branchenstandards vergleichen
     
  • Unterstützung bei der Aufklärung und Verarbeitung von Datenschutz- oder Datenschutzverletzungen
    Wir überwachen die Grundsätze und Praktiken des Umgangs mit Daten und beurteilen das Informationssicherheitsrisiko
     
  • Microsoft SSPA Dienstleistung
    Wir helfen Ihnen bei der Selbstbeurteilung des Microsoft SSPA Programms und erstellen einen Bericht als externer Prüfer über die Einhaltung des SSPA Programms

Ansprechpartner

Telefon: +49 40 35006-300
E-Mail: gregor.strobl[at]rsm.de

Alexandra Khammud LL.M
DSGVO Expertin - Risk Advisory Services (RAS)
E-Mail: alexandra.khammud[at]rsm.de

JETZT KONTAKT AUFNEHMEN

Internet Explorer 11 wird nicht unterstützt.

Wir haben festgestellt, dass Sie einen veralteten Browser verwenden. Wir empfehlen Ihnen, einen aktuellen Browser zu nutzen, um Ihre Sicherheit zu erhöhen und alle Funktionalitäten der RSM-Website nutzen zu können.

Wir empfehlen die folgenden Browser: