2.300 Verantwortliche müssen nachbessern
Im Mai 2024 hat die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) ca. 30.000 Internetauftritte aus Sachsen auf die Umsetzung des Datenschutzes hin untersucht. Mit den Ergebnissen beschäftigen wir uns in diesem Blogartikel genauer und wir zeigen Ihnen auf, warum auch die Umsetzung des Datenschutzes auf der Website eine wichtige Rolle spielt.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
2.300 Fälle zeigen nicht ausreichenden Umgang mit Analysetool
Was war passiert? Die Sächsische Datenschutz- und Transparenzbeauftragte Dr. Juliane Hundert hat ca. 30.000 Internetauftritte in Sachsen auf den Datenschutz bzw. auf Verstöße hin kontrollieren lassen. Darunter auch unter anderem, ob die Betreiber der Webseite einen Analysedienst, der als Tracking-Werkzeug fungiert, nutzen. Um dies DS-GVO- und BDSG-konform zu machen, muss der Betroffene dieser Verarbeitung freiwillig und eindeutig zustimmen.
Datenschutzverstoß beseitigen und personenbezogene Daten löschen
Dieser Pflicht sind 2.300 Webseitenbetreiber nicht nachgekommen, das bedeutet, der Datenschutz wurde hier nicht in ausreichendem Maße umgesetzt. Die SDTB hat daraufhin die entsprechenden Verantwortlichen angeschrieben und diese aufgefordert, diesen Datenschutzverstoß zu beseitigen und die unrechtmäßig verarbeiteten Daten zu löschen.
Strafen drohen
Wer dieser Aufforderung nicht nachkommt, dem droht nach einer erneuten Überprüfung ein förmliches Verwaltungsverfahren. Betroffen sind Webseiten von Unternehmen, Vereinen, aber auch öffentliche Stellen.
Tracker auf der Homepage und der Datenschutz
Wer Tracker auf seiner Homepage nutzt, um das Nutzerverhalten von Usern zu analysieren, der muss sich hierfür im Sinne des Datenschutzes eine Einwilligung vom Betroffenen einholen. Diese muss eindeutig und freiwillig sein.
Was ein Verstoß im Datenschutz gegenüber den Aufsichtsbehörden bedeuten kann
Der Schutz personenbezogener Daten ist in der heutigen digitalen Welt von zentraler Bedeutung. Um sicherzustellen, dass Unternehmen und Organisationen die Einhaltung der Datenschutzbestimmungen gewährleisten, überwachen Aufsichtsbehörden diesen Prozess. Ein Verstoß gegen diese Bestimmungen kann erhebliche Konsequenzen nach sich ziehen.
Definition eines Datenschutzverstoßes
Ein Datenschutzverstoß liegt vor, wenn personenbezogene Daten unrechtmäßig offengelegt, verloren gehen, gestohlen oder unbefugt verarbeitet werden. Dies kann sich direkt auf die Betroffenen auswirken und deren Rechte gefährden. Ein solcher Verstoß kann durch unzureichende Sicherheitsmaßnahmen, fehlende Einwilligungen oder Systemeinstellungen, menschliches Versagen oder sogar gezielte Angriffe von außen verursacht werden.
BLOG-TIPP: DATENSCHUTZ AUF DER HOMEPAGE – PFLICHTEN FÜR VERANTWORTLICHE
Mögliche Folgen eines Verstoßes
Ein Verstoß gegen die Datenschutzbestimmungen kann weitreichende Konsequenzen haben, die sowohl wirtschaftlicher als auch rechtlicher Natur sind. Hier sind einige der wichtigsten Auswirkungen:
Bußgelder: Die Aufsichtsbehörden können erhebliche Bußgelder verhängen. Nach der Datenschutz-Grundverordnung (DS-GVO) können diese bis zu 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens betragen, je nachdem, welcher Betrag höher ist.
Reputationsschäden: Ein Datenschutzverstoß kann das Vertrauen der Kunden und Partner in ein Unternehmen schwer beschädigen. Dies kann langfristige negative Auswirkungen auf die Geschäftsbeziehungen und die Position im Markt haben.
Schadensersatzansprüche: Betroffene Personen haben das Recht, Schadensersatzforderungen geltend zu machen. Dies kann zu weiteren finanziellen Belastungen führen und erfordert möglicherweise langwierige rechtliche Auseinandersetzungen.
Verpflichtung zur Meldung
Ein Unternehmen ist verpflichtet, den Verstoß unverzüglich der zuständigen Aufsichtsbehörde zu melden, in der Regel innerhalb von 72 Stunden. Bei besonders schwerwiegenden Verstößen müssen auch die betroffenen Personen informiert werden.
Prüfungen und Auflagen
Die Aufsichtsbehörden können weitere Prüfungen des Unternehmens anordnen und zusätzliche technische und organisatorische Maßnahmen (TOM) verlangen, um zukünftige Verstöße zu verhindern. Dies kann zu zusätzlichen Kosten und administrativen Belastungen führen.Die Aufsichtsbehörde kann, wie im oben genannten Beispiel, die Vernichtung der unrechtmäßig verarbeiteten personenbezogenen Daten und eine Nachbesserung verlangen, z.B. eine eindeutige Einwilligung.
Auf einer Homepage werden personenbezogene Daten verarbeitet
Tracking o.ä. gilt ebenfalls als Verarbeitung von personenbezogenen Daten und ist in der Datenschutzgrundverordnung (DS-GVO) klar geregelt. Webseitenbetreiber sollten sich also damit auseinandersetzen, welche Daten auf welcher rechtlichen Grundlage verarbeitet werden und ggf. nachbessern.
Mögliche Strafen bei Datenschutzverstößen auf Unternehmenswebsites
Besonders im digitalen Raum, wie auf Unternehmenswebsites, kann ein Datenschutzverstoß schwerwiegende rechtliche und finanzielle Folgen nach sich ziehen. Wenn beispielsweise personenbezogene Daten durch unsichere Kontaktformulare, fehlerhafte Cookie-Banner oder mangelhafte Verschlüsselung offengelegt werden, drohen erhebliche Strafen.
Die Maßnahmen sollen sicherstellen, dass die betroffenen Unternehmen schnellstens ihre Datenschutzpraktiken verbessern und die Integrität der personenbezogenen Daten gewährleisten.
Die entstehenden zusätzlichen Kosten und der potenzielle Vertrauensverlust bei den Nutzern verdeutlichen, wie wichtig es ist, Datenschutzrichtlinien zu befolgen und kontinuierlich sicherzustellen, dass alle technischen und organisatorischen Maßnahmen (TOM) auf dem neuesten Stand sind.
BLOG-TIPP: DATENSCHUTZ IN UNTERNEHMEN UMSETZEN – DIE BEDEUTUNG DES DATENSCHUTZBEAUFTRAGTEN
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und bundesweit. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.