Auch in der Corona-Krise sind wir weiter für Sie da. Dank effizientem Homeoffice mit leistungsstarkem Server und elektronischer Akte können wir sowohl bestehende Mandate als auch neue Anfragen weiter bearbeiten.

Nutzen Sie unsere Beratungsmöglichkeiten per Telefon, E-Mail und insbesondere auch Videokonferenz.
Medienrecht, IT-Recht

DSGVO-Bußgeld gegen Facebook

Hamburger Datenschutzbehörde verhängt Bußgeld gegen Facebook

Ein Beitrag von Rechtsanwalt Thomas Repka

Der Hamburgische Datenschutzbeauftragte, Prof. Dr. Johannes Caspar, hat ein Bußgeld gegen die Social Media-Plattform Facebook erlassen. Die Facebook Germany GmbH hatte es unterlassen, ihren neuen Datenschutzbeauftragten der Behörde zu melden. So berichtet es die Hamburger Datenschutzbehörde in ihrem Tätigkeitsbericht 2019. Es handelt sich hierbei um das europaweit erste Datenschutz-Bußgeld unter der DSGVO gegen Facebook.

Pflicht zur Meldung des Datenschutzbeauftragten

Die Pflicht zur Meldung des Datenschutzbeauftragten bei der zuständigen Behörde ergibt sich aus Art. 37 Abs. 7 DSGVO. Darin heißt es:

„Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.“

Diese Meldung hatte die Facebook Germany GmbH nicht vorgenommen. Der Betreiber des sozialen Netzwerkes verteidigte sich damit, dass ab Inkrafttreten der Datenschutzgrundverordnung der in Irland ansässige Datenschutzbeauftragte verantwortlich wäre und zweifelte die Wirksamkeit der deutschen Regelung zum Datenschutzbeauftragten im Bundesdatenschutzgesetz an.

51.000 Euro Bußgeld

Diese Argumente überzeugten die Hamburger Datenschutz-Aufsichtsbehörde nicht. Sie verhängte ein Bußgeld in Höhe von 51.000 Euro gegen Facebook auf Grundlage der DSGVO.

Der Hamburgische Datenschutzbeauftragte teilte dazu mit, dass das Bußgeld zwar auf den ersten Blick für einen Konzern wie Facebook niedrig erscheint. Allerdings richtete sich das Bußgeld nicht an das Mutterunternehmen, sondern allein gegen das deutsche Tochterunternehmen der Social Media-Plattform, die Facebook Germany GmbH. Geahndet würde damit ein ausschließlich in Deutschland begangener Verstoß gegen die Mitteilungspflicht.

Die Facebook Germany GmbH verarbeitet nicht in erster Linie personenbezogene Daten. Bei der Bemessung des – relativ niedrigen – Bußgeldes wurde berücksichtigt, dass der Verstoß fahrlässig begangenen wurde, der Verstoß direkt abgestellt wurde und zu jeder Zeit ein Datenschutzbeauftragter benannt war. Nur die Meldung an die Datenschutzbehörde fehlte. Vor diesem Hintergrund erscheint das festgesetzte Bußgeld angemessen.

Braucht unser Unternehmen einen Datenschutzbeauftragten?

Die Benennung eines Datenschutzbeauftragten ist verpflichtend, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Außerdem besteht auch dann eine entsprechende Pflicht, wenn das Geschäftsmodell es gerade erfordert, personenbezogene Daten zu übermitteln (z.B. zum Zweck der Markt- oder Meinungsforschung) oder wenn mit einer Vielzahl von sensiblen Daten umgegangen wird.

Aufgaben und Pflichten des Datenschutzbeauftragten

Zu den Aufgaben des Datenschutzbeauftragten gehören u.a.

  • die Unterrichtung und Beratung der Verantwortlichen, Auftragsverarbeiter und Beschäftigten
  • Überwachung der Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften, z.B. der Datenschutzgesetze der Länder
  • Sensibilisierung und Schulung der Mitarbeiter
  • Beratung und Überwachung der Datenschutz-Folgeabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Warnung an alle Unternehmen – fehlende Meldung kann zu hohem Bußgeld führen

In ihrem Tätigkeitsbericht verbindet die Hamburger Datenschutzbehörde die Mitteilung über den Verstoß und das Bußgeld gegen Facebook mit einer deutlichen Warnung an alle Unternehmen. Wörtlich heißt es:

„Die Benennung des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörde sind Pflichten, die die DSGVO ernst nimmt. Schon kleinere Verstöße gegen derartige Pflichten können zu nicht unerheblichen Geldbußen führen.“

Unternehmen sollten diesen Hinweis in jedem Fall ernst nehmen und prüfen, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht und ob dieser an die Aufsichtsbehörde gemeldet wurde. Allein wegen eines formalen Fehlers können im schlimmsten Fall Bußgelder verhängt werden.