Im Rahmen der Evaluierung der DSGVO nach Art. 97 DSGVO, haben auch die europäischen Datenschutzbehörden Antworten auf verschiedenste Fragen zur Anwendung und praktischen Umsetzung der DSGVO-Vorgaben gegeben. Die Liste aller Antworten ist hier abrufbar.
Die gesammelten Antworten (pdf) der deutschen Datenschutzbehörden sind meines Erachtens durchaus lesenswert. Die zum Teil angegeben Zahlen (zB zu Beschwerden) scheinen meines Erachtens den Stand ca. Ende 2019 abzubilden. Insgesamt gab es seit Mai 2018 danach 66.965 Beschwerden bei den Datenschutzbehörden.
Ganz interessant finde ich die Antworten zu Bußgeldern (S. 17). In dem Fragebogen wird angegeben, dass 208 Bußgelder unter Anwendung der DSGVO verhängt wurden (wie gesagt, wird nicht klar, bis zu welchem Datum die Zahlen erhoben wurden). Zudem informieren die deutschen Behörden auch darüber, in welchen Fällen (also für welche Art von Verstößen) Sanktionen verhängt wurden. Hier eine Auswahl:
- Nichtbenennung eines Datenschutzbeauftragten
- Unzureichende Authentifizierungsmaßnahmen in Callcentern
- Bußgeld gegen einen Polizeibeamten, der seinen Zugang zu arbeitsbezogenen Datenbanken nutzte, um an die persönlichen Daten einer Frau, einschließlich ihrer Telefonnummern, zu gelangen, und sie dann aus privaten Gründen kontaktierte
- Geldstrafe gegen ein Unternehmen, das keinen schriftlichen Vertrag mit dem Auftragsverarbeiter hatte (Artikel 28 (9) GDPR) und die Rechte der betroffenen Personen durch die Verwendung einer intransparenten und unklaren Sprache verletzt hat (Artikel 12 (1) GDPR),
- verspätete Benachrichtigung über eine Datenverletzung und keine Information der betroffenen Personen
- Direktmarketing trotz Widerspruch
- verspätete Benachrichtigung gemäss Artikel 33 GDPR
- unbefugtes Abrufen von Daten durch Mitarbeiter
- Videoüberwachung an Verkaufsstellen
- Videoüberwachung von Angestellten
- Offenlegung von Anwalt/Mandanten-Beziehungen gegenüber einer dritten Partei
- rechtswidrige Sammlung persönlicher Daten über Dashcam
- unrechtmäßige Übermittlung personenbezogener Daten ohne angemessene Sicherheitsmaßnahmen
- keine oder unzureichende Informationen an die Aufsichtsbehörde
- Entsorgung personenbezogener Daten ohne notwendige Sicherheitsvorkehrungen
- unrechtmäßige Offenlegung persönlicher Daten in sozialen Medien
- Videoüberwachung von Mitarbeitern und Kunden
- im öffentlichen Gesundheitssektor wegen Vermischung von Patientendaten und nicht ausreichender TOM
- unzulässige Videoüberwachung
- Versand von Werbe-E-Mails
- E-Mail-Zustellung
- Verletzungen von Zugangsrechten
- mangelnde Kooperation
- verdeckte Videoüberwachung
- unbeantwortete Anfrage nach Informationen
- Versäumnis, der Aufsichtsbehörde Zugang zu den Räumlichkeiten des Kontrolleurs zu gewähren.
Diese Information ist mE vor allem deshalb relevant, da man als Berater bzw. Unternehmen so auch einen guten Überblick darüber bekommt, welche Verarbeitungsbereiche oder Prozesse besondere Risiken bergen.
Zudem erläutern die Datenschutzbehörden auf Basis ihres Bußgeldkonzepts, welche Faktoren erhöhend oder mindernd auf das potenzielle Bußgeld wirken (S. 19).
Erhöhend:
- (sehr) lange Dauer
- Art, Umfang oder Zweck der Verarbeitung sind datenschutzrechtlich zu missbilligen/kritisch
- (sehr) viele betroffene Personen
- (sehr) schwer erlittener Schaden
- notwendige Maßnahmen nicht eingeleitet
- keine / schlechte Zusammenarbeit im Verwaltungsverfahren
- vom Beschwerdeführer gemeldetes Vergehen / Hinweis / Presse
- wirtschaftliche Situation (z.B. sehr hohe Umsatzrentabilität)
Mindernd:
- (sehr) kurze Dauer
- (sehr) wenige betrafen betroffene Personen
- (sehr) wenig / kein Schaden erlitten
- Maßnahmen haben Schäden ausgeschlossen
- Zusammenarbeit übertraf deutlich das erwartete Niveau
- Der Kontrolleur meldete das Vergehen von sich aus
- wirtschaftliche Situation (z.B. drohende Insolvenz)
- Schuldeingeständnis