Ende der Schonfrist bei der DSGVO: Die ersten Bußgelder wegen Datenschutzverstößen werden bundesweit verhängt
Europas oberster Datenschützer Giovanni Buttarelli hat erklärt, dass noch vor Jahresende mit ersten Strafen bei Verstößen gegen frisch eingeführte Datenschutzgrundverordnung zu rechnen sei.
Gravierende Datenschutzmängel und -vergehen könnten Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Unternehmensumsatzes nach sich ziehen. Die befürchtete Prozesswelle war indes ausgeblieben. Also ist auch bei der Strafverhängung alles halb so schlimm? Schon machte das Wort von der „Schonfrist“ die Runde.
Dann das Signal zum Aufwachen: Der Landesdatenschutzbeauftragte von Baden-Württemberg verdonnerte noch 2018 das soziale Netzwerk Knuddels zu einem Bußgeld von 20.000 Euro wegen schlecht gesicherter Kunden-Passwörter – ein verschmerzbarer Warnschuss, dessen moderate Höhe mit der Kooperationsbereitschaft des Datenschutzsünders begründet wurde. Was hat sich seither getan?
„Das Jahr der Kontrollen“
Baden-Württembergs Datenwächter legte im Februar verbal nach: „2019 wird das Jahr der Kontrollen“. Unternehmen, die auf Lücke setzen, könnten sich schon mal auf eine schwierige Zeit einstellen. Zu diesem Zeitpunkt waren bundesweit bereits 41 Bußgeldbescheide ergangen, 85 laufende Verfahren wurden gemeldet. Die wachsende Zahl der Beschwerden, so die Landesdatenschützer, werden zu einem weiteren Anstieg der Bußgeldverfahren führen mit Strafen, die deutlich höher als in der Vergangenheit ausfallen dürften.
Der Bayerische Landesbeauftragte für den Datenschutz gab bekannt, dass er sich während einer Übergangszeit bewusst mit Sanktionen zurückgehalten hatte. Dies sollte gerade den öffentlichen Unternehmen eine Atempause verschaffen, ihr Datenschutzmanagement so schnell wie möglich auf den von der DSGVO geforderten Stand zu bringen. Doch es sind wohl vor allem kleinere Firmen, die mit unzureichendem Datenschutz auffallen und dafür Bußgelder aufgebrummt bekommen werden. Mit großem Abstand führend bei der Verhängung von Strafen war im Winter Nordrhein-Westfalen. Mit weitem Abstand folgten Hamburg, Baden-Württemberg und das Saarland. Die anderen Bundesländer hielten sich nach bayerischem Vorbild bedeckt – vorerst.
Welche Bußgelder schon verhängt wurden
Wirft man einen Blick auf die bekannt gewordenen Bußgeldbescheide, so sind es nicht immer die großen Namen, die es trifft. Anders im Ausland: In Frankreich forderten Datenschutzbehörden unter anderem von Google wegen gleich mehrerer Datenschutzverstöße insgesamt 50 Millionen Euro Strafzahlungen.
In Deutschland hingegen wurde der Fall des Versandunternehmens Kolibri bekannt, das der Hamburger Datenschützer zu einer Zahlung von 5.000 Euro sowie 250 Euro an Gebühren aufforderte. Hintergrund: Kolibri hatte es versäumt, mit einem beauftragten externen Dienstleister einen Auftragsverarbeitungsvertrag zu schließen. Nun war Kolibri keineswegs blauäugig, sondern hatte den Geschäftspartner, ein Paketzusteller, wiederholt um Übersendung eines AVV gebeten – jedoch vergebens. Das Unternehmen beging nun den Fehler, selbst keinen Vertrag aufzusetzen, obwohl die Pflicht zum Vertragsabschluss bei beiden Parteien liegt. Überdies weigerte sich der Versandhändler, mit der Datenschutzbehörde zusammenzuarbeiten, womit eine Strafmilderung nicht in Betracht kam. Womöglich wäre also das Bußgeld sogar vermeidbar gewesen.
Die Behörden in Baden-Württemberg wiederum verhängten eine Strafe in Höhe von 80.000 Euro – bislang deutscher Rekord – gegen ein Unternehmen, das Gesundheitsdaten wegen mangelhafter Kontrollmechanismen unzureichend sicherte, sodass diese im Internet landeten. Weitere strafwürdige Sachverhalte waren unzulässig versandte Werbemails, ungeschützte E-Mail-Verteiler, unkorrekte Dashcam-Nutzung oder fehlerhafte Videoüberwachung.
Wie ein Bußgeldverfahren ins Rollen kommt
Ein Bußgeldverfahren wird zumeist durch die Beschwerde von Betroffenen in Gang gebracht. Dann nimmt die zuständige Datenschutzbehörde Ermittlungen auf, die bis zu einem Bußgeldbescheid führen können. Zugleich sind Unternehmen verpflichtet, ein Datenleck oder Datenschutzversäumnis auf schnellstem Weg zu melden – wenn möglich binnen 72 Stunden. Deutschlands Datenschützer nennen dafür Beispiele wie die Bank, deren Onlinebanking-Portal Einblick in fremde Konten gestattete, Hackerangriffe auf Shopseiten, bei denen Kundendaten kopiert wurden, oder irrtümlich aufgezeichnete Telefonate. Im Bereich der Videoüberwachung seien häufig Mitarbeiter und Kunden betroffen, die ohne ihr Wissen gefilmt und darüber nur unzulänglich informiert wurden.
Wie der Fall Kolibri gezeigt hat, können schon eher kleine Versäumnisse dazu führen, mit den Datenschützern in Konflikt zu geraten. Wenn man weiß, weshalb Kolibri so hilflos agierte, bekommt die Geschichte indes noch eine andere Dimension: Das kleine Unternehmen sah sich nach eigener Auskunft schlicht überfordert mit der komplizierten Vertragsschließung mit einem in Madrid ansässigen Unternehmen – und hat diese Zusammenarbeit nun gekündigt.
Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.
Datenschutz & Datensicherheit Das Fachinformationsportal
- Aktuelles Fachwissen
- Rechtssichere Entscheidungen
- Praktische Arbeitshilfen
- Schritt-für-Schritt-Anleitungen
- Sofort einsetzbare Schulungen