Das Unternehmen habe keine angemessenen technischen und organisatorischen Maßnahmen getroffen, um die Datensicherheit zu gewährleisten. Denn es war Mitarbeiterinnen möglich, (irrtümlich) eine Excel-Datei mit 5.971 Kundenangaben zum Einkommen, zur Kontogruppe, dem Alter und dem Kontostand an 234 Kunden zu versenden.
Trotz umgehendem Rückruf des E-Mails sowie der Aufforderung zur Löschung und dem Einholen entsprechender Löschungsbestätigungen: EUR 50.000 (0,03 % des relevanten Jahresumsatzes).
In diesem Zusammenhang für die Datenschutzpraxis relevant:
📧 Unternehmen haften für Datenschutzverstöße eines jeden Beschäftigten, außer es liegt Exzess vor.
📧 Das Unternehmen haftet auch, wenn der Datenschutzverstoß durch eine irrtümliche – jedenfalls fahrlässige – individuelle Handlung einer Mitarbeiterin erfolgte.
📧 Es ist unbeachtlich, dass eine konkrete Dateikonfiguration auch bei anderen vergleichbaren Verantwortlichen üblich ist.
📧 Kein „State of the Art“, wenn personenbezogene Daten nur durch interne Anweisungen „gesichert“ ist.📧 Keine mangelnde Kontrolle und Überwachung des Leitungsorgans, wenn (angemessene) interne Schulungen durchgeführt werden und Ablaufsregelungen implementiert sind.