Seit dem Inkrafttreten der Datenschutz-Grundverordnung ist bereits mehr als ein Jahr vergangen und es kann jetzt beurteilt werden, inwieweit sich in diesem ersten Zeitraum die vielen Befürchtungen vor hohen Geldbußen, die in der DSGVO festgelegt sind, verwirklicht haben.
Die tschechische Datenschutzbehörde hat zum 31. 5. 2019 Informationen über Geldbußen, die wegen Verletzung der DSGVO verhängt wurden, veröffentlicht, bzw. die betreffenden Bescheide oder Anweisungen zugänglich gemacht. Bis zum 31. 5. 2019 (d. h. für mehr als ein Jahr seit dem Inkrafttreten der DSGVO) wurden von der tschechischen Aufsichtsbehörde nur 9 Geldbußen wegen Verletzung der DSGVO rechtskräftig verhängt, deren Höhe in den meisten Fällen niedrig war, bzw. im unteren Bereich des Bußgeldrahmens – 1x 5 000,- CZK, 2x 10 000,- CZK, 1x 15 000,- CZK, 1x 20 000,- CZK, 2x 30 000,- CZK, 1x 80 000,- CZK und die höchste Geldbuße in Höhe von 250 000,- CZK.
Die höchste Geldbuße iHv. 250 000,- CZK wurde gegen eine Bank verhängt (im Zusammenhang mit der Tätigkeit deren Zweigniederlassung als einer Auslandsbankfiliale), deren Kerngeschäft vor allem die Hereinnahme von Einlagen, Kreditgewährung und die Zahlungsdienstleistungen sind. Die Kontrolle wurde aufgrund des Kontrollplans der Behörde für 2018 eingeleitet, wobei Gegenstand der Kontrolle die Einhaltung der Verpflichtungen bei der Verarbeitung personenbezogener Daten der Klienten im Zusammenhang mit der Kreditgewährung bei der Zweigniederlassung war. Die Datenschutzbehörde hat bei der Bank als einer Verantwortlichen für personenbezogene Daten ihrer Klienten zwei Fälle der Verletzung festgestellt, und zwar (i.) eine Verletzung des im Art. 5 Abs. 1 Buchst. c) der Verordnung (EU) 2016/679 festgelegten Grundsatzes für die Verarbeitung personenbezogener Daten, d. h. des Grundsatzes, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen („Datenminimierung“), indem … sie bei Vertragsabschlüssen mit den Klienten bezüglich Kreditgewährung in elektronischer Form zwecks des Abschlusses und der Aufbewahrung der Vertragsdokumentation und Vereinfachung dieses Prozesses auch die biometrische Unterschrift der Klienten verarbeitet hat (die in die besondere Kategorie von personenbezogenen Daten einzustufen ist, deren Verarbeitung nur in bestimmten Fällen möglich ist), die weder für den Abschluss des betreffenden Vertrags noch für dessen Erfüllung notwendig war…, und weiter (ii.) eine Verletzung des Grundsatzes für die Verarbeitung personenbezogener Daten, das im Art. 5 Abs. 1 Buchst. e) der Verordnung (EU) 2016/679 festgelegt ist, d. h. des Grundsatzes, dass personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“), indem … sie sämtliche Aufzeichnungen von Telefongesprächen mit den Klienten (ohne z. B. zwischen Gesprächen, aufgrund deren es zum Abschluss eines Geschäfts kommt, und anderen informativen Gesprächen oder Beratungen im Rahmen des Kundendienstes zu unterscheiden), die mit ihr einen Rahmenvertrag über die Gewährung von Bankprodukten und -dienstleistungen oder einen Vertrag über den klassischen und/oder Revolvingkredit abgeschlossen haben, für die ganze Vertragslaufzeit und weiter für die nächsten 10 Jahre ab der Erfüllung aller Verbindlichkeiten des Klienten aufbewahrt hat. Es ist offensichtlich, dass es sich um mehrere gravierende Verletzungen gehandelt hat, überdies bei einer Person, die der öffentlichen Regulierung unterliegt. Ebenfalls die zweithöchste Geldbuße (80 000,- CZK) wurde gegen eine Gesellschaft verhängt, die Bankdienstleistungen erbringt, und zwar für mehrere Verletzungen.
In den anderen Fällen wurden Verletzungen des Art. 15 Abs. 1 der Verordnung (EU) 2016/679 festgestellt, d. h. des Rechts der betroffenen Person von dem Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, und ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informationen, wobei die verhängten Geldbußen zwischen 5 000,- CZK – 20 000,- CZK lagen. Wegen Verletzung des Art. 6 Abs. 1 der Verordnung (EU) 2016/679, d. h. der Verpflichtung, dass die Verarbeitung personenbezogener Daten nur aus einem rechtlichen Grund erfolgt (wobei die Verletzung trotz wiederholter Aufforderung nicht behoben wurde), wurde eine Geldbuße iHv. 10 000,- CZK verhängt. Alle diese Verfahren wurden auf Antrag von Beschwerdeführern, d. h. der betroffenen Personen, eingeleitet.
Für die Praxis ist auch der Fall interessant, wo die Behörde bei einer kontrollierten Person (die Kontrolle wurde aufgrund einer Anzeige wegen Verletzung der Datensicherheit eingeleitet, wobei die Behörde zugleich einen Antrag erhalten hat) eine Verletzung des Art. 28 Abs. 3 der Verordnung (EU) 2016/679 festgestellt hat, d. h. der Verpflichtung, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erfolgt, und zugleich eine Verletzung des Art. 5 Abs. 1 Buchst. f) der Verordnung (EU) 2016/679, d. h. des Grundsatzes, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“), indem sie die personenbezogenen Daten … der betroffenen Personen, Spieler eines Internet-Online-Spieles, die unter der Internetadresse … betrieben wird, nicht gesichert hat, infolge dessen es unter anderem zur Veröffentlichung dieser Daten unter der Internetadresse … für die Dauer von ca. 30 Minuten gekommen ist. Für diese zwei Verletzungen hat die Behörde eine Geldbuße iHv. nur 15 000,- CZK verhängt. Unserer Meinung nach ist besonders der erste Verletzungsfall von Bedeutung, wo die Notwendigkeit mit den Auftragsverarbeitern einen Vertrag zu schließen an die Verantwortlichen unter anderem große Verwaltungsanforderungen und finanzielle Anforderungen stellt, wobei der Abschluss eines solchen Vertrags nicht nur von dem Willen des Verantwortlichen abhängig ist (manche Auftragsverarbeiter verweigern diese Verpflichtung in der Praxis, oder schieben deren Erfüllung aus verschiedenen Gründen hinaus). Aus diesem Beispiel ergibt sich, dass die Verletzung für den Auftragsverarbeiter mit dem Risiko einer Geldbuße verbunden ist, die Höhe der Geldbuße ist jedoch eher niedrig (angemessen).
Aus der obigen Zusammenfassung ist also ersichtlich, dass sich die anfänglichen großen Befürchtungen vor hohen Sanktionen gemäß DSGVO bisher nicht verwirklicht haben. Die tschechische Datenschutzbehörde führt die Kontrollen besonders bei Subjekten durch, die der öffentlichen Regulierung unterliegen, bzw. bei Subjekten, die von der Natur der Sache her große Mengen von personenbezogenen Daten verarbeiten, und ist praktisch u. a. durch die Anzahl der Prüfer beschränkt; sonst werden die Verfahren eher aufgrund der Ad-hoc-Anträge der betroffenen Personen, evtl. aufgrund einer Anzeige des Verantwortlichen eingeleitet. Die bis jetzt verhängten Geldbußen sind angemessen, bzw. eher im unteren Bereich des Bußgeldrahmens, und zwar auch wenn mehrere Verletzungen festgestellt werden. Unter anderem auch mit Rücksicht auf die Vorhersehbarkeit der Entscheidungen der öffentlichen Verwaltung ohne unbegründete Unterschiede in gleichen oder ähnlichen Fällen setzen wir voraus, dass sich die Geldbußen, die von der Behörde verhängt werden, auch weiterhin meistens in den oben genannten Bereichen bewegen werden, wobei eine hohe Geldbuße in einem außergewöhnlichen (von der Behörde festgestellten) Verletzungsfall mit einer erheblichen Auswirkung auf viele betroffene Personen verhängt würde.