Manchmal steckt der Datenschutz-Teufel wirklich im Detail…
Wie Mahnungen für den Absender teuer werden können (Stichwort: DSGVO)
Unser Mandant streitet mit einem Unternehmen, weil sich die Zusagen des Vertriebs nicht mit dem Vorgehen der kaufmännischen Abteilung decken. Konkret geht es um individuell schriftlich zugesicherte Preisgarantien, die nicht den “offiziellen Preistabellen” entsprechen.
Eigentlich eine ganz einfache Geschichte. Natürlich verdrängen die individuellen Absprachen die “generellen Regelungen” (vergl § 305 Abs. 1 Satz 3 BGB) der verwendeten Allgemeinen Geschäftsbedingungen (AGB).
Die Parteien schreiben also hin und her und es wird zugesichert, dass sich irgendjemand, irgendwann, irgendwie im Unternehmen um irgendwas kümmert..
Nun erreichte unseren Mandanten etwas überraschend die “2. Mahnung” — wohl ausgelöst durch einen automatisierten Prozess in der Buchhaltung.
Wenn man sich diese Mahnung einmal etwas genauer anschaut, sträuben sich die datenschutzrechtlichen Härchen.
Denn natürlich sind die in der Mahnung genannten Rechtsgrundlagen nicht mehr einschlägig. Das nationale Bundesdatenschutzgesetz präsentiert sich seit Mai 2018 bekanntermaßen anders und die gemeinten Rechtsgrundlagen nicht mehr vorhanden sind.
Das scheint aber irgendwie an den Mustertexten vorbeigegangen zu sein.
Mögliche Folgen
So, und was können die Folgen eines solchen Fehlers sein?
Wenn das Unternehmen — wie angekündigt — personenbezogene Daten an Dritte, also an Auskunfteien wie Creditreform oder Schufa weiterleitet, erfolgt dieses auf der Grundlagen einer nicht mehr vorhandenen Rechtsgrundlage. Und das ist, wie Autofahren ohne Fahrerlaubnis: schön, dass Du es kannst, aber trotzdem begehst Du eine Straftat.
Unterstellen wir bei der weltweit tätigen Unternehmensgruppe dem das Unternehmen angehört, einen Umsatz von 200 Mio EUR im Vorjahr; bewerten den Verstoß als “leicht” (was man durchaus diskutieren kann) und gehen weiter davon aus, dass die Tat nicht vorsätzlich erfolgte…
In der Diktion der bußgeldrechtlichen Regelungen könnte dieser Verstoß gegen Art. 6 DSGVO (Verarbeitung ohne Rechtsgrundlage) nach dem Positionspapier der DSK mithin zu einem Bußgeld bis zu 10.000.000 EUR führen…
Nachrechnen lässt sich dieses mit unserem Bußgeldrechner.
Weitere Verstöße z.B. Art. 5 DSGVO, Art. 12 ff. DSGVO usw. liegen auch noch auf der Hand, die wir aber zur Vereinfachung mit der Figur der Konsumtion ausblenden.
Nach der derzeitigen Praxis wird wohl kein Bußgeld 10 Mio€ verhängt werden. Aber selbst wenn es “nur” 50.000 EUR werden , ist das mehr als ärgerlich für das Unternehmen, oder?
Wir werden sicher nie erfahren, ob und in welcher Höhe die Landesdatenschutzbehörde ein Bußgeld verhängt, denn im Zweifel bekommt die Behörde den Verstoß ja gar nicht mit.
Wir jedenfalls haben das Unternehmen auf das “Optimierungspotential” hingewiesen — mehr wollen wir hier nicht machen — und hoffen auf die “Selbstheilungskräfte” des Unternehmens…
Konsequenzen
Als Datenschutzbeauftragter sollte man unbedingt auch in die Tiefen des Unternehmens eintauchen um einen Datenschutzverstoß möglichst zu vermeiden. Mahnungen, (Muster-)Anschreiben usw. sind häufig ein Fundort für Verstöße gegen datenschutzrechtliche Regelungen. Wohl dem, der alles richtig macht ;o)