NEWS, Informationen und Urteile - Die-Datenschutz-Checker.de by mhdhg

08.09.2020  Schadenersatzansprüche: Das unterschätzte Risiko der DSGVO
Schadenersatzansprüche sind zunehmend ein Thema. Das Arbeitsgericht Düsseldorf hat z.B. aktuell die Kriterien zur Bußgeldbemessung herangezogen, um einen immateriellen Schaden zu bewerten. Sensibilisieren Sie die Geschäftsleitung auch für dieses Risiko. Die Datenschutz-Grundverordnung (DSGVO) hält einige Überraschungen bereit. Ein bisher unterschätztes Risiko sind z.B. die Schadenersatzansprüche. Eine zentrale Frage in der aktuellen Entwicklung ist, wer was beweisen muss. Außerdem muss sich zeigen, ob der Geschädigte eher einen Ausgleich für seinen Schaden erhält oder ob es vielmehr darum gehen wird, den Verursacher zu bestrafen. Grundlagen eines Schadenersatzanspruchs

Die DSGVO regelt den Schadenersatzanspruch in Art. 82 DSGVO. Schadenersatzansprüche sind nicht neu. §§ 7, 8 des alten Bundesdatenschutzgesetzes (BDSG a.F.) sahen Schadenersatzansprüche ebenso vor wie das deutsche Zivilrecht im Bürgerlichen Gesetzbuch sowohl für eine Verletzung von Vertragspflichten (z.B. Arbeitsvertrag) als auch als sogenannter deliktischer Anspruch (§§ 823 ff. BGB; z.B. Verletzung des Persönlichkeitsrechts). Weder nach DSGVO noch nach BGB ist also zwingend eine Vertragsbeziehung zwischen den Geschädigten und dem Schädiger erforderlich. Art. 82 DSGVO ist eine datenschutzrechtliche Spezialregelung, die gegenüber §§ 823 ff. BGB Vorteile für den Anspruchsteller vorsieht.
Voraussetzungen eines Schadenersatzanspruchs Um Anspruch auf Schadenersatz zu haben, sind verschiedene Elemente Voraussetzung. Art. 82 Abs. 1 DSGVO formuliert das so: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Anspruchsberechtigte nach Art. 82 Abs. 1 DSGVO ist also „jede Person“ anspruchsberechtigt. Da die DS-GVO nur natürliche Personen schützt, ergibt sich zumindest die Einschränkung, dass juristische Personen nicht anspruchsberechtigt sind.
Die Fachliteratur diskutiert, dass nicht nur die betroffene Person (siehe Art. 4 Nr. 1 DSGVO), sondern jede Person berechtigt sein soll, weil Art. 82 DSGVO das so formuliert. Das bedeutet, dass nicht nur die Personen den Anspruch geltend machen können, deren Daten von der Verletzung direkt betroffen sind, sondern auch mittelbar berührte Personen. Abgesehen davon, dass diese Ansicht abzulehnen ist, scheinen sich Anwendungsfälle auch nicht gerade aufzudrängen. Ein Beispiel könnte der Schaden eines familiären Mit-Kreditnehmers sein: Ist der Scoring-Wert falsch, zahlt er dadurch bedingt höhere Zinsen.

Rechtsverletzung
Grundlegende Voraussetzung für einen Anspruch ist, dass gegen eine Regelung der DSGVO verstoßen wurde. Hier kommt jede Regelung der DSGVO in Betracht. Gerade auch die in der Praxis ungeliebten Pflichten wie Löschregelungen, Privacy by Design and Default, Datenschutz-Folgenabschätzung, Dokumentations- und Organisationspflichten.

Schaden
Kein Schadenersatzanspruch ohne Schaden! Dem Anspruchsteller muss ein Schaden entstanden sein. Das sind zum einen materielle Schäden. Häufig sind das zumindest die Kosten der Rechtsverfolgung. Die DSGVO stellt aber klar, dass zum anderen auch immaterielle Schäden erfasst sind – Stichwort: Schmerzensgeld.
Die deutsche Rechtsprechung ist derzeit zurückhaltend bei der Höhe von Schmerzensgeld. Nach deutschem Zivilrecht ist auch schon der Anwendungsbereich von Schmerzensgeld inhaltlich begrenzt.
Hier ist mit Ausweitungen gegenüber der bisherigen deutschen Rechtspraxis zu rechnen. Denn der Schadenersatz nach Art. 82 DSGVO sollte EU-weit einheitlich ausgelegt und angewendet werden und nicht alle EU-Mitgliedstaaten sind so restriktiv wie die deutsche Rechtspraxis.
Kausalität zwischen Rechtsverletzung und Schaden
Allein eine Rechtsverletzung und ein Schaden führen nicht zum Schadenersatz. Genau die konkrete Rechtsverletzung muss zusätzlich auch den konkreten Schaden verursacht haben. Das bringt in Art. 82 Abs. 1 DSGVO der Begriff „wegen“ zum Ausdruck.
Welche Anforderungen der ursächliche Zusammenhang erfüllen muss, ist noch nicht abschließend geklärt. Genügt die reine (Mit-)Ursächlichkeit? Oder ist auch die im deutschen Recht anerkannte Adäquanz erforderlich – sprich: Der Schaden liegt nicht außerhalb jeder Erwartbarkeit?
Nicht erforderlich ist nach der DSGVO, dass die verletzte Regelung vor dem konkreten Schaden schützen sollte. Im deutschen Deliktsrecht ist das unter dem Stichwort „Schutzzweck der Norm“ dagegen eine weitere Voraussetzung für einen Schadenersatzanspruch.

Verschulden
Nach deutschem Rechtsverständnis setzt ein Schadenersatzanspruch ein Verschulden desjenigen, der mit dem Anspruch konfrontiert wird (Inanspruchgenommener), in Bezug auf die Rechtsverletzung voraus.
In Bezug auf den Schadenersatzanspruch von Art. 82 DSGVO ist das umstritten, weil er das Verschulden nicht ausdrücklich anspricht. Allerdings sieht Art. 82 Abs. 3 DSGVO vor, den Inanspruchgenommenen von der Haftung zu befreien, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.
Vereinfacht läuft das auf Vergleichbares hinaus. Denn auch nach dem deutschen Schadenersatzrecht müsste der Inanspruchgenommene darlegen, dass ihn kein Verschulden trifft.
Allerdings könnte die Formulierung von Art. 82 Abs. 3 DSGVO dazu führen, dass er sich in weiterem Umfang entlasten muss. Insbesondere könnte auch die Frage nach einer ausreichenden Datenschutzorganisation relevant werden.

Umfang eines Schadenersatzanspruchs
Damit ist noch nichts über das Ausmaß des Ersatzanspruchs gesagt. Dieser zweite Teil eines Schadenersatzanspruchs wird auch als „haftungsausfüllender Tatbestand“ bezeichnet. Hierzu enthält die DSGVO keine Regelungen. Es gilt somit das deutsche Zivilrecht – also insbesondere §§ 249 ff. BGB.
Die DSGVO sieht den Ersatzanspruch sowohl für materielle als auch für immaterielle Schäden vor. Den immateriellen Schaden kennt man auch unter dem Stichwort „Schmerzensgeld“. Materielle Schäden sind – vereinfacht gesagt – die Kosten, die anfallen, um den Zustand ohne das Schadensereignis wiederherzustellen.
Häufig sind das zumindest die Kosten der Rechtsverfolgung – also insbesondere des eingeschalteten Rechtsanwalts. In der deutschen Rechtsprechung ist aber anerkannt, dass nicht jede sofortige Einschaltung eines Rechtsanwalts schadenersatzfähig ist, sondern sich der Betroffene zunächst selbst bemühen muss. Ob das auch für die DSGVO gilt, wird noch zu klären sein.
Strafschadenersatz: Der neue Weg, Datenschutz durchzusetzen
Im deutschen Schadenersatzrecht ist der Schadenersatz in Gestalt einer Bestrafung des Verletzers eigentlich nicht anerkannt. Ziel ist bisher stattdessen, einen entstandenen Schaden zu kompensieren, also auszugleichen.
Das Arbeitsgericht Düsseldorf schlägt in seinem Urteil vom 5. März 2020 (Az. 9 Ca 6557/18) über einen Anspruch auf Ersatz des immateriellen Schadens wegen nicht vollständiger und verspäteter Auskunftserteilung allerdings einen anderen Weg ein.
Das Gericht stellt darauf ab, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten solle. Verstöße müssten effektiv sanktioniert werden, damit die DSGVO wirken könne. Das werde v.a. durch Schadenersatz in abschreckender Höhe erreicht.
Gerichte könnten sich bei der Bemessung des immateriellen Schadenersatzes auch an Art. 83 Abs. 2 DSGVO – also den Bußgeldbemessungskriterien – orientieren. Das tut das Gericht sodann und setzt 5.000 € fest.

Ein solcher Weg birgt erhebliche Risiken:
Der Schadenersatzanspruch wird zur „Ersatzstrafe“ und die Zivilgerichte faktisch zu Sanktionsgerichten.
Die betroffene Person darf den „Strafschadenersatz“ – anders als das etwa bei staatlichen Bußgeldern nach Art. 83 DSGVO der Fall ist – behalten. Das könnte auf Kläger und Klägerinnen motivierend wirken. Bedenkt man, dass bei einem Datenschutzverstoß, der auf strukturellen Problemen fußt, eine Vielzahl von Personen betroffen sein kann, potenziert sich das Risiko.
Auch ist nicht klar, ob es dann zu Doppel- und Mehrfachbestrafungen desselben Verstoßes käme. Man stelle sich eine unzulässige Aussendung von E-Mail-Werbung vor, und jeder Empfänger macht Strafschadenersatz geltend. Im Ergebnis würde – jedenfalls unter Beachtung der jeweiligen Kosten für Gerichtsverfahren – eine erheblich höhere Strafe „herauskommen“ als die, die eine Aufsichtsbehörde verhängt.

Das macht die potenzielle Dimension erkennbar. Sie ergibt sich insbesondere auch deshalb, weil die betroffene Person bei diesem Ansatz überhaupt nichts zum eigenen Schaden vortragen müsste, sondern nur den Rechtsverstoß. Das Zivilgericht würde dann anhand der Bußgeldbemessungskriterien einen angemessenen Strafschadenersatz festlegen. Auch für Datenschutzverantwortliche im Unternehmen kann das Konsequenzen haben. Denn die Unternehmen könnten auf die Idee kommen, den Datenschutzverantwortlichen wegen der Schadenersatzpflicht in Anspruch zu nehmen. Sollte sich dieser Ansatz durchsetzen, schafft das durch die Hintertür die Möglichkeit, im Privatklageweg die Bestrafung von Datenschutzverstößen zu erreichen.

Entscheidend: die Beweislast
In der Praxis von entscheidender Bedeutung ist: Wer muss was beweisen?
Nach deutschem Zivilrecht muss der Anspruchsteller grundsätzlich alle Anspruchsvoraussetzungen mit Ausnahme des Verschuldens beweisen. Der Inanspruchgenommene muss also nur beweisen, dass ihn kein Verschulden trifft. Die Rechtsprechung sieht aber – vereinfacht gesagt – auch Beweiserleichterungen für den Anspruchsteller vor, wenn sich beispielsweise ein Vorgang vollkommen in der Sphäre des Inanspruchgenommenen befindet. Wie sich diese Ansätze der Zivilrechtsprechung auf die DSGVO-Ansprüche auswirken, ist noch nicht final klar.
Bleibt es angesichts von Art. 82 DSGVO dabei? Nach der Systematik der DSGVO müssen Verantwortliche und Auftragsverarbeiter nachweisen, dass sie die DSGVO einhalten und nicht gegen das Recht verstoßen (siehe z.B. Art. 5 Abs. 2 DSGVO). Damit läge die vollständige Beweislast allein beim Verantwortlichen bzw. beim Auftragsverarbeiter.
Erste gerichtliche Entscheidungen halten aber am Ansatz des deutschen Zivilrechts fest und sehen nicht die vollständige Beweislast beim Verantwortlichen (und Auftragsverarbeiter). Hier wird die weitere Entwicklung zu beachten sein.
Muss nach deutschen Zivilrecht der Anspruchsteller seinen Schaden und die Kausalität der Rechtsverletzung für diesen Schaden darlegen und beweisen, würde der Ansatz des ArbG Düsseldorf auch hier einschlagen: Denn bestimmte sich der zu zahlende Schadenersatz nicht nach dem Schaden, sondern nach den Bußgeldbemessungskriterien, müsste der Anspruchsteller nichts zum Schaden oder zur Kausalität ausführen.
Schadenersatzhaftung des Auftragsverarbeiters
Für den Auftragsverarbeiter ist mit Blick auf die Haftung eine neue Zeitrechnung angebrochen. Denn nach dem alten BDSG war er durch § 11 Abs. 1 Satz 1 vor Schadenersatzansprüchen des Datenschutzrechts geschützt. Art. 79 und Art. 82 DSGVO haben diese „Haftungsprivilegierung“ beendet.
Der Auftragsverarbeiter kann also seit dem 25.05.2018 direkt in Anspruch genommen werden. Die DSGVO ist noch einen Schritt weitergegangen. Denn nach Art. 82 Abs. 4 DSGVO haftet der Auftragsverarbeiter gegenüber einer betroffenen Person auch für Verstöße des Auftraggebers.
Nach Art. 82 Abs. 2 Satz 2 DSGVO haftet ein Auftragsverarbeiter für den Schaden, den eine Verarbeitung verursacht. Das gilt aber „nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat“. Das schränkt seine Haftung zumindest in Teilen ein.
Gerade für die Sicherheit der Verarbeitung nach Art. 32 DSGVO ist zu beachten, dass der Auftragsverarbeiter diese Pflicht nicht nur als Auftrag des Auftraggebers ausführt.
Art. 32 Abs. 1 DSGVO verpflichtet ihn auch selbst und direkt. Blindes Vertrauen auf die Haftungsbegrenzung könnte daher trügerisch sein.

 Die bessere Ausgangsposition hat der Anspruchsteller. Der Schadenersatzanspruch nach DSGVO ist ein bisher unterschätztes Risiko. Auch wenn noch nicht alle Fragen abschließend geklärt sind, müssen Datenverarbeiter zunehmend damit rechnen.
Die beste Gegenmaßnahme ist schlicht, die DSGVO einzuhalten. Aber wenn es schiefgelaufen ist, muss sich der Verantwortliche konsequent und weitsichtig verteidigen. Denn der Anspruchsteller ist – auch wenn nicht die extreme Auslegung greift, dass er selbst nichts darlegen muss – in der komfortableren Ausgangsposition.
Quelle: Dr. Jens Eckhardt, Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei Derra, Meyer & Partner Rechtsanwälte in Düsseldorf.

#######

02.09.2020 Behörden überprüfen Webseiten zum rechtskonformen Einsatz von Trackingmechanismen
In dem Beschluss vom 12. Mai 2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ haben sich die unabhängigen Datenschutzbehörden des Bundes und der Länder zum rechtskonformen Einsatz von Google Analytics geäußert.
Bereits Mitte August 2020 haben die Behörden eine länderübergreifende Prüfung von Trackingmechanismen auf den Webseiten verschiedener Medienunternehmen gestartet. Mit dieser groß angelegten Überprüfung soll festgestellt werden, ob die jeweiligen Unternehmen die Standards für eine wirksame Einwilligung erfüllen, Grund für die Überprüfung von Medienunternehmen ist laut der Datenschutzbehörde aus Baden-Württemberg deren häufiger und umfangreicher Einsatz von Trackingmechanismen. Unternehmen sollten daher – auch sofern diese nicht im Medienbereich tätig sind – darauf achten, spätestens jetzt ihre Webseiten anzupassen.

Quelle: https://www.datenschutzkonferenz-online.de/media/dskb/20200526_beschluss_hinweise_zum_einsatz_von_google_analytics.pdf

######

08.06.2020 Thema Auskunftsanspruch

Der Auskunfstanspruch ist ein umfassendes Betroffenenrecht, hierzu sind in der nahen Vergangenheit viele Urteile gesprochen und Busgelder verhängt worden. Die Lage in Deutschland ist nicht leicht zu durchschauen. Wie bereits kurz angedeutet, sind zur Reichweite des Auskunftsanspruchs bereits mehrere Urteile ergangen. Die Chance, dadurch etwas Licht ins Dunkel zu bringen, wurde aber leider verpasst. Im Gegenteil – was der Auskunftsanspruch umfasst und was nicht, ist fraglicher denn je. Dass die Missachtung von Betroffenenrechten regelmäßig zu Bußgeldern führt, macht die Sache nicht einfacher. Die Nichtbearbeitung von Auskunftsanfragen war unter anderem Grund für das Rekordbußgeld gegen die Delivery Hero SE mit Sitz in Berlin.

Wir finden den Ansatz der Datenschutzstelle Fürstentum Liechtenstein für empfehlenswert, dass eine extensive Auslegung des Auskunftsrechts nicht notwendig ist.
Folgende Punkte sind jedoch zwingend zu gewährleisten:

• Auskünfte dienen der Ermöglichung der Wahrnehmung weiterer Betroffenenrechte
• Bei einer begrenzten Anzahl von Empfängern sind diese namentlich zu benennen, bei einer großen Anzahl genügt die Auflistung von Kategorien (bspw. Fluggesellschaften, Hotels, usw.)
• Kopie umfasst nicht die Herausgabe einer Fotokopie sämtlicher Schriftstücke, Kopie bedeutet vielmehr „geordnete Darstellung der personenbezogenen Daten“
• es sind nur jene Kopien herauszugeben, die notwendig sind, damit die betroffene Person die Rechtmäßigkeit der Verarbeitung ihrer Daten überprüfen und gegebenenfalls ihre Rechte wahrnehmen kann

Es ist zu hoffen, dass der Ansatz der Datenschutzstelle Fürstentum Liechtenstein in Zukunft viele Unterstützer finden wird und der Auskunftsanspruch nicht zu einem Mittel verkommt, das verärgerte Betroffene nur nutzen, um Unternehmen zu belasten. Schon jetzt mausert sich der Auskunftsanspruch zum prozesstaktischen Mittel.

Quelle:  https://www.datenschutzbeauftragter-info.de &

https://www.datenschutzstelle.li/application/files/1915/8893/6331/web-2020-05-04_datenschutzsetelle_taetigkeitsbericht_2019.pd.pdf

#####

Januar 2020 - Unvollständige Erfüllung des Auskunftsanspruchs.
Der Auskunftsanspruch gehört zu den zentralen Rechten der betroffenen Person. Seine Durchsetzung erfolgt im Alltag der „Gerichte erster Instanz“.
Ausgangspunkt war ein Auskunftsanspruch auf der Basis von Art. 15 Datenschutz-Grundverordnung (DSGVO).
Kläger war eine Privatperson, Beklagte eine Aktiengesellschaft.
Die Beklagte war u.a. dazu verurteilt worden, Auskunft über die Herkunft der Daten zu erteilen (siehe Ziffer 1 Buchst. g des Urteils des Amtsgerichts Wertheim vom 27.5.2019). Dieser Verpflichtung kam die Beklagte nicht nach. Das wollte sich der Kläger nicht gefallen lassen.
Diese Verurteilung sieht konkret so aus:
1. „Die Beklagte wird kostenpflichtig verurteilt, Auskunft über die personenbezogenen Daten des Klägers bei der Beklagten zu erteilen und folgende Informationen dem Kläger mitzuteilen:
a) die Verarbeitungszwecke;
b) die Kategorien personenbezogener Daten, die verarbeitet werden;
c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchrechts gegen diese Verarbeitung;
f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
h) das Bestehen einer automatisier­ten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
2. Die Beklagte wird kostenpflichtig verurteilt, an den Kläger außergerichtliche Anwaltskosten in Höhe von 413,64 € zzgl. Zinsen in Höhe von 5 Prozentpunkten über Basiszins seit 26.02.2019 zu bezahlen.
3. Die Beklagte hat die Kosten des Rechtsstreits zu tragen.
4. Das Urteil ist vorläufig vollstreckbar.
5. Der Streitwert wird auf 4.000,00 € festgesetzt.“
Amtsgericht Wertheim, Beschluss vom 12.12.2019 – 1 C 66/19 (Festsetzung von Zwangsgeld, ersatzweise Zwangshaft), https://openjur.de/u/2196561.html [6]
Landgericht Mosbach, Beschluss vom 27.1.2020 – 5 T 4/20 (Herabsetzung des Zwangsgelds), https://openjur.de/u/2194102.html [7]

####

18.05.2020 Gerade in den Zeiten von „Homeoffice und Videokonferenz“ 

wächst die Frage nach einer DSGVO konformen Datenverarbeitung am Arbeitsplatz Zuhause.
Anlässlich der Wiedereröffnung von Restaurants, bei dem Daten von den Gästen zu erheben sind, steht ebenfalls ein Mustervorschlag parat.

Wir sind darauf vorbereitet diese Fragen zu beantworten und halten u.a. folgende Vorlagen für unsere www.Die-Datenschutz-Checker.de Kunden optional auf Anfrage bereit:

·         Datenschutzrichtlinie Home Office

·         Datenschutzhinweis für Online-Meetings mit „Microsoft Teams“

·         Datenschutzhinweis für Online-Meetings mit „Zoom“

·         Informationspflicht nach Art. 13 DSGVO bei einer Erhebung von Daten für Gastronomie

INFO Backoffice

#####

28.04.2020 Regelungen zum Datenschutzmanagement in der DSGVO

Die für das Datenschutzmanagement relevanten Normen finden sich in der Verordnung an vielen unterschiedlichen Stellen, beispielsweise:

Die große Frage ist aber: Wie soll in der Praxis ein Datenschutzmanagementsystem in einem Unternehmen aussehen, um in der Lage zu sein, alle Vorgaben der Datenschutz-Grundverordnung zu erfüllen?
Lösung: Die-Datenschutz-Checker.de bietet aktive Unterstützung für Ihr persönliches Datenschutzmanagement.

Quelle: https://www.datenschutzbeauftragter-info.de, https://www.die-datenschutz-checker.de

######

11.03.2020 Urteil ArbG: Missbrauch von Kundendaten führt zu außerordentlicher Kündigung

Das erst kürzlich ergangene Urteil des Arbeitsgerichts Siegburg (Az.: 3 Ca 1793/19) zeigt, welche Konsequenzen es haben kann, wenn Mitarbeiter sich nicht ausreichend mit dem Thema Datenschutz befassen und dahingehend sensibilisiert werden.

Der Angestellte räumte gegenüber seinen Vorgesetzten ein, dass er vom Rechner eines Spielcasinos Kopfschmerztabletten für zwei Vorstandsmitglieder eines Unternehmens bestellt habe. Dieses Unternehmen zählte zu den Kunden seines Arbeitgebers. Um per Lastschrift-Verfahren zahlen zu können, hatte der Kläger zuvor von einem verschlüsselten Rechner der Kundin auf einen privaten Memory-Stick heruntergeladene Namen, Anschriften und Bankverbindungsdaten vom Kunden dieses Unternehmens zurückgegriffen.

Als dies bekannt wurde, erfolgte die Fristlose Kündigung des Angestellten. Der reichte Klage gegen die Kündigung ein. Das Arbeitsgericht wies die Klage ab und hat entschieden, dass die fristlose Kündigung gerechtfertigt sei.

Nicht gerade selten kommt es zu Datenmissbräuche durch Mitarbeiter im Unternehmen. Dies kann nicht nur zu einem Bußgeld durch die Datenschutzaufsichtsbehörde führen, sondern kann auch arbeitsrechtliche Konsequenzen haben

Quelle: https://www.datenschutzbeauftragter-info.de,

https://www.justiz.nrw.de/nrwe/arbgs/koeln/arbg_siegburg/j2020/3_Ca_1793_19_Urteil_20200115.html

#######

19.02.2020 Deutsche Datenschutzbehörden deuteten bereits Ende 2019 an, dass  sie den Strafrahmen der DSGVO nun auszuschöpfen gedenken. Für schlampige Unternehmen könnte 2020 ein teures Jahr werden.
Quelle: https://www.heise.de/ct/artikel/Die-DSGVO-wird-erst-2020-richtig-scharfgestellt-4657760.html

12/2019 Interview mit Thomas Petri, Landesbeauftragter für Datenschutz in Bayern
Der Landesbeauftragte für Datenschutz in Bayern, Thomas Petri, hat die ersten Blauen Briefe verschickt. "In Bayern habe ich im Jahre 2019 noch kein einziges Bußgeld verhängt. Ich habe aber einzelnen Unternehmen schon blaue Briefe versandt und habe gesagt, bringt eure IT-Sicherheit, bringt euer Datenschutzmanagement in Ordnung, ansonsten läuft die Schonfrist 2019 ab."
Quelle: https://www.br.de/nachrichten/bayern/datenschutzgrundverordnung-die-schonfrist-ist-vorbei,RlDQaJ8

Datenschutzbeauftragter künftig erst ab 20 Mitarbeitern nötig - Entlastung für kleine Organisationen
20.09.2019 ...Durch die Anpassungen sollen vor allem kleine Unternehmen, aber auch Vereine entlastet werden. So greift die bislang ab einer Organisationsgröße von 10 Mitarbeitern geltende Pflicht, einen Datenschutzbeauftragten zu benennen, künftig erst ab einer Organisationsgröße von 20 Personen. Dies befreit Unternehmen, die weniger Mitarbeiter haben und folglich keinen Datenschutzbeauftragten benennen müssen jedoch nicht von den Pflichten der DSGVO.
Mit den Anpassungen wird zudem die Einwilligung von Beschäftigten zur Datenverarbeitung vereinfacht. War bislang die Schriftform notwendig, reicht zukünftig eine E-Mail. 

         
(09/2019) In ihrer Pressemitteilung empfiehlt die Berliner Datenschutzbeauftragte Maja Smoltczyk gerade kleineren Unternehmen und Start-Ups, sich rechtzeitig mit Datenschutz auseinanderzusetzen: "Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft..."
Aufsichtsbehörde Thüringen versendet Fragebogen
Der Thüringer Landesbeauftragte für den Datenschutz und die  Informationsfreiheit führt seit dem 12.12.2018 eine „Umfrage zur  Umsetzung der Datenschutz-Grundverordnung in Thüringer Unternehmen“  durch. In einem Anschreiben wurden rund 17.000 Unternehmen aufgefordert,  einen vierseitigen Fragebogen auszufüllen und der Aufsichtsbehörde  zukommen zu lassen (Beispielauszug eines Fragebogens).  Der Fragebogen soll nach Erhalt kurzfristig, spätestens jedoch  innerhalb einer Woche bearbeitet werden, und beinhaltet unter anderem  Fragen wie:

    Wurde in Ihrem Unternehmen ein betrieblicher Datenschutzbeauftragter benannt?
    Gibt es in Ihrem Unternehmen für jede Verarbeitungstätigkeit (z. B.  Kundenverwaltung, Lohnbuchhaltung) ein Verzeichnis der  Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO?
    Wie werden in Ihrem Unternehmen die Informationspflichten nach Art. 13  und 14 DS-GVO umgesetzt (mehrere Antworten sind möglich)?
    Wurde in Ihrem Unternehmen bereits eine Datenschutz-Folgenabschätzung seit der Geltung der DS-GVO durchgeführt?

Zweck dieser Aktion ist zum einen, einen Eindruck über den Stand der Umsetzung der DSGVO in den Unternehmen zu bekommen, und zum anderen, diese bezüglich ihrer Pflichten unter der DSGVO weiter zu  sensibilisieren.

Weitere Quellen:
https://www.datenschutzbeauftragter-info.de/aufsichtsbehoerde-prueft-datenschutzorganisation-unternehmen
https://www.lda.bayern.de/de/kontrollen.html