Datenschutzbehörde in Portugal verhängt 400.000 Euro DSGVO-Bußgeld

Beitrag von Tim Wybitul und Lukas Ströbel

31.10.2018

Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Art. 83 DSG-VO sieht Bußgelder von bis zu EUR 20 Mio. vor. Oder von bis zu 4 Prozent des globalen Vorjahresumsatzes – je nachdem, welcher Betrag höher ist. Nachdem die stark erhöhten Bußgelder zuerst starke Beachtung in den Medien fanden, hatten die europäischen Datenschutzaufsichtsbehörden bislang noch keine hohen Bußgelder verhängt. Dies lag sicherlich einerseits an der hohen Arbeitsbelastung der Behörden. Andererseits nehmen Ermittlungsverfahren vor der möglichen Verhängung datenschutzrechtlicher Bußgelder erfahrungsgemäß einige Monate in Anspruch. Nun hat die portugiesische Datenschutzaufsichtsbehörde gegen ein Krankenhaus ein erstes beträchtliches DSGVO-Bußgeld in Höhe von EUR 400.000 verhängt. Der vorliegende Überblick zeigt die Folgen für die Praxis und beschreibt, wie man sich gegen solche Bußgelder verteidigt.


Was war der Grund für das Bußgeld?
Wie portugiesische und deutsche Medien berichten, hat die portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) kürzlich gegen ein Krankenhaus bei Lissabon ein hohes Bußgeld verhängt. Laut diesen Berichten hat das Krankenhaus Patientenakten, welche lediglich das behandelnde medizinische Personal benötigt hätte, in großem Umfang auch IT-Technikern zugänglich gemacht. Diese IT-Techniker konnten mit diesen Daten ohne großen Aufwand ein Profil erstellen, welches ihnen den Zugang zu vertraulichen Patientenakten ermöglichte. Das führte dazu, dass bei der Prüfung der Aufsichtsbehörde bei nur 296 angestellten Ärzten im Krankenhaus insgesamt 985 aktive Nutzer im System registriert waren. Nach der DSGVO gilt der Grundsatz der Datenminimierung. Danach müssen Datenverarbeitungen – und damit auch der Zugriff auf personenbezogene Daten – auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Nach Auffassung der Datenschutzbehörde hatte das Krankenhaus gegen dieses Gebot der Zugangsbeschränkung verstoßen.
Das Krankenhaus wehrt sich gegen die Vorwürfe der Aufsichtsbehörde und plant Medienberichten zufolge, gegen das Bußgeld vorzugehen. Die zusätzlichen Systemzugänge seien lediglich temporär im Rahmen eines Dienstleistungsvertrages erstellt worden.

 
Welche Folgen hat die Entscheidung der Datenschutzbehörde?
Mit dem Bußgeld hat die portugiesische Datenschutzaufsichtsbehörde den zulässigen Bußgeldrahmen der DSGVO bei Weitem noch nicht ausgereizt. Danach wäre sogar ein Bußgeld von bis zu EUR 20 Millionen oder in Höhe von vier Prozent des Vorjahresumsatzes möglich gewesen, je nachdem, was höher ist. Angesichts des Ausmaßes des vorgeworfenen Fehlverhalten und der Sensibilität der betroffenen Daten hätte die Behörde gegebenenfalls auch ein deutlich höheres Bußgeld begründen können. Der mit dem Bußgeld verbundene Image-Schaden könnte zudem noch höher als das Bußgeld selbst ausfallen. Dies zeigt sich auch daran, dass das portugiesische Krankenhaus mit seinem Fehlverhalten sogar in Deutschland für Schlagzeilen gesorgt hat.
Jedoch zeigt der Fall deutlich, dass sich die Datenschutzaufsichtsbehörden langsam an den erhöhten rechtlich möglichen Bußgeldrahmen der DSGVO herantasten und die verhängten Bußgelder bereits jetzt deutlich verschärfen. Unternehmen sollten damit rechnen, dass diese Tendenz sich in den nächsten Jahren weiter fortsetzen kann und dass die Behörden künftig bei der Ahndung von Verstößen gegebenenfalls deutlich beherzter vorgehen werden als in der Vergangenheit. Gerade bei klaren Verstößen dürften einige Datenschutzbehörden in der EU nun eine härtere Gangart anschlagen.


Handlungsempfehlungen
Daten verarbeitende Unternehmen sollten das von der portugiesischen Datenschutzaufsichtsbehörde verhängte Bußgeld als Warnsignal bewerten. Bei einer fehlerhaften Umsetzung der hohen Anforderungen der DSGVO drohen seit dem 25. Mai 2018 empfindliche Strafen. Hier sollte man neben den möglichen Bußgeldern auch Schadensersatzansprüche, Abmahnungen und Rufschäden nicht außer Acht lassen. Nur wenigen Unternehmen wird es voraussichtlich gelingen, die umfassenden und komplexen Anforderungen der DSGVO zeitnah und flächendeckend umzusetzen.
Daher sollten Unternehmen ihre Umsetzungsprojekte gleich auch daran ausrichten, eine gute Verteidigungsposition gegen Bußgelder zu schaffen. Einzelne Schritte zur Implementierung eines Datenschutz-Management-Systems sollten Unternehmen auch danach priorisieren, in welchem Maße sie geeignet sind Bußgelder abzuwenden oder deren Höhe zu verringern. Dabei sollten Unternehmen insbesondere solche Schwachstellen identifizieren, die im Fall eines Ermittlungsverfahrens der Behörden besonders hohe Bußgelder rechtfertigen könnten. Erfahrungsgemäß werden Datenschutzbehörden vor allem auf Beschwerden von betroffenen Personen hin tätig. Daher kann es zweckmäßig sein, problematische Datenverarbeitungen besonders gründlich auf Schwachstellen zu prüfen, wenn diese zu späteren Beschwerden von betroffenen Personen führen können. Weiterhin ist es entscheidend, dass Unternehmen bereits von Beginn des Umsetzungsprojektes an, auf eine umfassende Dokumentation achten. Diese Dokumentation sollte möglichst in einer Form erfolgen, die man später ohne übermäßigen Aufwand in ein Bußgeldverfahren einbringen kann. Dabei sollten sie auch die Implementierung von Maßnahmen zur Umsetzung der DSGVO gründlich dokumentieren, da Unternehmen gegebenenfalls ihre Anstrengungen bei der Umsetzung der Anforderungen der DSGVO im Bußgeldverfahren strafmindernd geltend machen können.


Wie verteidigt man sich gegen drohende Bußgelder?
Sofern Unternehmen wegen der von ihnen verarbeiteten Daten ein hohes Risikopotenzial aufweisen, sollten sie sich bereits vor einem eigentlichen Ermittlungsverfahren gründlich auf ein solches Verfahren vorbereiten. Dabei können Unternehmen schon im Vorfeld grundsätzliche Pläne zum Umgang mit Ermittlungsverfahren der Datenschutzbehörden oder der Staatsanwaltschaften bestimmen. So bietet sich bei einem unstreitigen Verstoß in der Regel eher eine Kooperation mit der Behörde an, um eine möglichst geringe Bußgeldhöhe zu erreichen (Strafmaßverteidigung). Geht es hingegen bei den Vorwürfen eher um Rechtsfragen beziehungsweise ist das Unternehmen der Auffassung, dass tatsächlich gar keine Verstöße gegen die DSGVO vorliegen, kann sich auch eine sogenannte Sockelverteidigung anbieten. Durch eine grundsätzliche interne Klärung des Umgangs mit den Behörden, kann das Unternehmen sich gleich beim ersten Kontakt mit der Aufsichtsbehörde positionieren. Auch bietet es sich bei einem hohen Risikopotenzial gegebenenfalls an, bereits erste Textbausteine für Schriftsätze zu erstellen, mit denen Unternehmen die getroffenen Maßnahmen zur Umsetzung der DSGVO gegenüber Behörden oder Gerichten zeitnah nachweisen können.
Auch bei der Auditierung bereits umgesetzter DSGVO-Maßnahmen sollten sich Unternehmen daran orientieren, ob und in welchem Umfang diese Maßnahmen geeignet sind, die Verteidigungsposition in Bußgeldverfahren oder anderen rechtlichen Verfahren zu stärken.


Fazit
Die Tatsache, dass die Datenschutzbehörden in den wenigen Monaten seit Geltung der DSGVO noch keine hohen Bußgelder verhängt hatten, bedeutet nicht, dass die Behörden Beschwerden nicht nachgingen. Das Gegenteil ist der Fall. Auch die deutschen Datenschutzbehörden sind alles andere als untätig und haben bereits zahlreiche Ermittlungsverfahren wegen tatsächlichen oder vermuteten Datenschutzverstößen eingeleitet. Allerdings nehmen derartige Verfahren nicht erst seit der Einführung der DSGVO einen gewissen Zeitraum in Anspruch. Der hier beschriebene Fall zeigt, dass sich die Behörden nicht auf für Laien offenkundige, schwere Vorfälle beschränken, sondern bereits bei Fällen Bußgelder verhängen, in denen sie der Auffassung sind, ein Unternehmen habe zu vielen Mitarbeitern Zugriff auf sensitive Daten gewährt.
Um es klar zu sagen, die Entscheidung der portugiesischen Datenschutzbehörde ist kein Grund zur Panik. Stattdessen sollten Unternehmen das weitere Vorgehen der Behörden gründlich beobachten und die vorstehend genannten Handlungsempfehlungen berücksichtigen, falls das Risiko besteht, dass sie in den Fokus der Datenschutzbehörden geraten.

 

 
 
Hinweis: Wir freuen uns über Ihr Interesse an Latham& Watkins. Falls sich dieses auf eine Rechtssache bezieht und Sie nicht bereits ein gegenwärtiger Mandant der Kanzlei sind, bitten wir darum, uns noch keine vertraulichen Informationen zu übermitteln. Bevor wir ein Mandat annehmen können, müssen wir prüfen, ob die Mandatsübernahme zulässig ist, und die dafür geltenden Bedingungen vereinbaren. Bevor dies nicht geschehen ist, wird keine Mandatsbeziehung begründet und es besteht daher auch keine Vertraulichkeitsverpflichtung hinsichtlich der von Ihnen möglicherweise übermittelten Informationen. Wir bedanken uns für Ihr Verständnis.