WiWo App 1 Monat für nur 0,99 €
Anzeigen

Rekordstrafen für Datenschutzverstöße Droht nun die DSGVO-Bußgeldwelle?

Die Datenschutzgrundverordnung trat im Mai 2018 in Kraft. Nun verhängen deutsche Behörden Strafen in Rekordhöhe an den Telekommunikationsdienstleister 1&1 Telecom GmbH (1&1) und die Wohngesellschaft Deutsche Wohnen. Quelle: dpa

Datenschutzbehörden haben erstmals Millionenstrafen für DSGVO-Verstöße verhängt. Über ein Jahr nach der Einführung schützen die meisten Unternehmen Daten noch mangelhaft. Sie könnten dafür ebenfalls sanktioniert werden.

  • Artikel teilen per:
  • Artikel teilen per:

Als die Datenschutzgrundverordnung (DSGVO) im Mai 2018 in Kraft trat, blieb der häufig befürchtete Abmahn-Terror aus. Zunächst wurden nur vereinzelt kleinere Geldstrafen verhängt, wenn Unternehmen personenbezogene Daten nicht schützen, wie es die EU-Verordnung verlangt. Doch innerhalb weniger Wochen verhängten deutsche Behörden nun Strafen in Rekordhöhe an den Telekommunikationsdienstleister 1&1 Telecom GmbH (1&1) und die Wohngesellschaft Deutsche Wohnen. Es dürften nicht die letzten Strafen für nachlässigen Datenschutz sein, denn fast alle Unternehmen haben noch Probleme, sich dem Gesetz vollständig anzupassen. Damit riskieren auch sie hohe Strafen. Droht nach der ausgebliebenen Abmahnungsflut nun eine Bußgeldwelle?

Dass die Abmahnwelle bei Einführung der Verordnung ausblieb, liegt nicht an der vorbildlichen Umsetzung in den Unternehmen. Vielmehr ist noch rechtlich umstritten, ob Unternehmen sich gegenseitig abmahnen dürfen. Verbraucherverbände und Behörden haben hingegen die klare Befugnis, Datenschutz-Verstöße mit Bußgeldern zu bestrafen. Bislang fielen die aber recht niedrig aus: Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen etwa hat seit Einführung des Gesetzes 22 Unternehmen mit Strafen zwischen 100 und 1500 Euro belangt. Dabei könnten sie weit höher ausfallen, denn durch die DSGVO hat sich der Rahmen für Bußgelder von 300.000 Euro auf bis zu vier Prozent des Jahresumsatzes eines Unternehmens erhöht.

In anderen EU-Staaten waren die Behörden bei der Höhe von Geldstrafen weniger zurückhaltend. So forderte die französische Aufsichtsbehörde 50 Millionen Euro vom US-Unternehmen Google, die britische Datenschutzbehörde von der Fluggesellschaft British Airways gar ein Bußgeld über 200 Millionen Euro. Doch mit gleich zwei Rekordstrafen scheinen auch deutsche Behörden die Abschreckende Wirkung hoher Strafsummen als Instrument für mehr Datenschutz entdeckt zu haben.

Im November verhängte die Berliner Datenschutzbehörde das bislang höchste Bußgeld der deutschen Datenschutzgeschichte über 14,5 Millionen Euro gegen Deutsche Wohnen. Die Wohnungsgesellschaft verwendete ein Archivsystem, das keine Möglichkeit zur Löschung nicht mehr benötigter Daten vorsah. Im Dezember folgte eine Strafe über 9,55 Millionen Euro für 1&1 vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber. Anrufer hätten allein durch Angabe von Name und Geburtsdatum weitreichende persönliche Informationen erhalten, 1&1 diese Informationen also nicht ausreichend geschützt, erklärte Kelber den Verstoß. 1&1 kündigte an, gegen den Bescheid zu klagen – das Bußgeld sei unverhältnismäßig, zudem habe das Unternehmen die zum Zeitpunkt des Verstoßes gültigen Gesetze eingehalten. Auch Deutsche Wohnen „teilt die rechtliche Bewertung der Berliner Datenschutzbeauftragten nicht“.

„Es gibt immer irgendwelche Schwachstellen“

Rechtsanwalt David Oberbeck sieht bei deutschen Unternehmen noch Verbesserungspotential im Umgang mit Daten. Er ist Partner einer auf Datenschutz spezialisierten Kanzlei in Hamburg und berät Unternehmen in allen Bereichen des Datenschutzrechts. „Es gibt zwar viele, die das gut im Griff haben, aber ich erlebe auch oft, dass sich Firmen noch nicht wirklich mit diesem Gesetz auseinandergesetzt haben oder die konkreten Anforderungen nicht verstehen“, sagt Oberbeck. Die Datenschutzgrundverordnung sei teilweise sehr komplex, weshalb besonders kleine und mittelständische Unternehmen große Probleme bei der Umsetzung hätten. Doch auch bei großen Konzernen gibt es laut dem Rechtsanwalt Schwächen: „Wer die DSGVO 100-prozentig umsetzen will, stößt irgendwann auf Unsicherheiten, zu denen es noch keine abschließende Rechtsprechung gibt“.

Laut Oberbeck ist beispielsweise in vielen Fällen ungeklärt, auf welche Rechtsgrundlage bestimmte Datenverarbeitungen gestützt werden können, aber auch die Frage des Trackings auf Websites. Zudem seien Fragestellungen zur Datensicherheit in den meisten Fällen noch Auslegungssache: „Im Gesetz ist natürlich keine exakte Anweisung zu finden, wie man beispielsweise am Telefon mit Kundendaten umgehen soll. Dort ist vielmehr abstrakt beschrieben, dass angemessene Sicherheitsvorkehrungen getroffen werden müssen.“ Wie diese Maßnahmen konkret umgesetzt werden, müssten die Unternehmen selbst entscheiden, was viele überfordere. „Letztendlich kommt es darauf an, wie die Behörden den Einzelfall bewerten. Selbst wenn bestimmte Vorkehrungen branchenüblich sind, können die Behörden eine andere Meinung vertreten“, sagt Oberbeck. Ob die Praxis der DSGVO wirklich entspricht, müsse in solchen Fällen gerichtlich geprüft werden.

Regelkonform zu arbeiten sei besonders für Unternehmen, die mit vielen Kundendaten umgehen, schwierig - eine vollständige Übereinstimmung mit der Verordnung fast unmöglich: „Es gibt gerade bei Seiten, die viel Traffic und Cookies von Drittanbietern verwenden, immer irgendwelche Schwachstellen. Wenn man das wirklich im Detail prüft, würde man nach meiner Einschätzung in 80 Prozent der Fälle etwas finden“, sagt Oberbeck.

Weitere Bußgelder sind nicht ausgeschlossen

Der Datenschutz-Anwalt beobachtet, dass Behörden vermehrt auf Verstöße gegen die DSGVO hinweisen und sie auch vereinzelt sanktionieren. Laut Dirk Hensel, dem Sprecher des Bundesdatenschutzbeauftragten, könnten weitere Bußgelder auf Unternehmen zukommen. Die Behörde sehe darin zwar auch ein wirksames Mittel gegen mangelhaften Datenschutz. Dennoch betont Hensel, es sei nicht ihr Ziel, möglichst viele Geldbußen zu verhängen: „Ein Datenschutzverstoß muss schon eine gewisse Schwere aufweisen, um zu einer Geldbuße zu führen “, sagt Hensel.

Insbesondere grob fahrlässige oder vorsätzliche Missachtung von datenschutzrechtlichen Vorschriften könne zu Strafen führen. So hat der BfDI beispielsweise den Telekommunikationsanbieter Rapidata mit 10.000 Euro sanktioniert, weil dieser trotz mehrfacher Aufforderung durch die Behörde keinen Datenschutzbeauftragten benannt hatte.

Die Komplexität eines regelkonformen Konzepts zum Schutz von Daten ist dem BfDI bewusst: „Sicherlich muss man sich ein wenig mit der DSGVO auseinandersetzen, um diese richtig anwenden zu können“, sagt Hensel. Dennoch sieht er die Unternehmen in der Pflicht, dieser Aufgabe nachzukommen: „Das Datenschutzrecht wurde ja nicht mit dieser Verordnung erfunden. Viele, die sich heute beschweren, haben sich zuvor einfach nicht darum gekümmert“.

Um nicht ins Visier der Behörden zu geraten, empfiehlt Anwalt Oberbeck kleineren Unternehmen, sich insbesondere mit der Außendarstellung zu beschäftigen: „Mit einer verschlüsselten Website, und einer umfassenden und aktuellen Datenschutzerklärung können Unternehmen zeigen, dass sie Datenschutz ernst nehmen und sich mit dem Thema DSGVO auseinandersetzen“.

Diesen Artikel teilen:
  • Artikel teilen per:
  • Artikel teilen per:
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%