Anwendung der DSGVO: Erste Erkenntnisse und Sanktionen in der Höhe von vielen Tausend Euro!

Die europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 anwendbar. Wie hier schon erklärte wurde, kann diese Verordnung auch auf schweizerische Gesellschaften zur Anwendung gelangen.

Seitens der betroffenen – sowohl europäischen als auch schweizerischen – Unternehmen waren bis zum 25. Mai 2018 verschiedene Massnahmen umzusetzen. Diese beinhalteten beispielsweise die Ernennung eines DPO (Data Protection Officer), die Platzierung eines Banners auf der Homepage, die Anpassung der Datenschutzerklärung und der allgemeinen Nutzungsbedingungen, das Anbringen eines Cookie-Hinweises, die Anpassung des Kontaktformulars, Information der Empfänger des Newsletters über die Datenverarbeitung, die Überprüfung des IT-Systems, die Schulung des Personals und die Einführung interner Regeln sowie die Überprüfung der abgeschlossenen Verträge und gegebenenfalls den Abschluss von Vertragszusätzen.

Im Rahmen unserer Tätigkeit haben wir festgestellt, dass zahlreiche Unternehmen die erforderlichen Massnahmen bis zum 25. Mai 2018 noch nicht umgesetzt hatten. Einige haben sich bisher damit begnügt, Massnahmen einzuführen, die wir als «dringlich» qualifizieren, konkret die Platzierung eines Banners, das Anbringen eines Cookie-Hinweises sowie die Anpassung der Datenschutzerklärung.

Zu betonen ist allerdings, dass mit sogenannten dringlichen Massnahmen allein den Anforderungen der DSGVO noch nicht Genüge getan wird. Es sind einschneidende Sanktionen vorgesehen; diese reichen bis zu einer endgültigen Beschränkung der Datenverarbeitung und/oder einer Verwaltungsbusse von bis zu 20 Millionen Euro bzw. 4 % des weltweit erzielten Jahresumsatzes (Art. 83 DSGVO).

Wenn ein Unternehmen in den Geltungsbereich der DSGVO fällt, hat es seine Tätigkeiten somit zwingend in Einklang mit den betreffenden Vorschriften zu bringen, auch wenn letzteres noch viel Aufwand mit sich bringen wird.

Im Übrigen sind bereits erste Sanktionen ausgesprochen worden. In Frankreich hat der kleine Ausschuss der nationalen Datenschutzbehörde CNIL gegenüber der Association pour le Développement des Foyers (ADEF) aufgrund von Mängeln beim Schutz der Daten ihrer Website-Nutzer eine Busse in der Höhe von EUR 75’000.– ausgesprochen. Dieser Ausschuss sprach zudem auch gegenüber der Gesellschaft OPTICAL CENTER eine Busse im Betrag von EUR 250’000.– aus, da das Unternehmen seiner Pflicht zum Schutz von persönlichen Daten nicht nachgekommen war. Konkret war es möglich, sich durch Manipulation der URL Zugriff auf Hunderte von Kundenrechnungen der Gesellschaft zu verschaffen, wobei diese Rechnungen Angaben wie Name, Vorname, Postadresse, Gesundheitsdaten (Sehkorrektur) sowie in einigen Fällen auch die Sozialversicherungsnummer der betroffenen Personen enthielten.

Aufgrund der Bedeutung der betroffenen Daten bzw. mit Blick auf die Tatsache, dass es sich um besonders intime und umfassende Daten handelte, beschloss der kleine Ausschuss der CNIL, seine Entscheidung publik zu machen. Es ist allerdings zu präzisieren, dass die CNIL vor den erwähnten Entscheidungen die fraglichen Unternehmen – erfolglos – auf die Mängel in ihrem System aufmerksam gemacht und sie aufgefordert hatte, dem Problem Abhilfe zu schaffen.

WILHELM Avocats SA – 02.07.2018