Nun ziehen also auch die deutschen Behörden die Daumenschrauben an: Vor wenigen Tagen verhängte der Bundesdatenschutzbeauftragte Ulrich Kelber eine Geldbuße von immerhin 9,55 Millionen Euro gegen den Internetdienstleister 1&1 Drillisch. Die Sicherheitsmechanismen zum Schutz personenbezogener Daten in einem Callcenter, befanden die Experten der Bonner Behörde, seien bei Drillisch allzu lax gewesen.
Das dürfte ein Weckruf sein für all jene, die die seit gut eineinhalb Jahren geltende Europäische Datenschutzgrundverordnung (DSGVO), für einen Papiertiger gehalten haben.
Bisher waren die Datenschutzbehörden hierzulande tatsächlich noch recht geduldig mit deutschen Unternehmen, bei denen sie auf Lücken im Umgang mit sensiblen Kundendaten gestoßen waren oder von denen sie Sicherheitslücken oder Cyberattacken gemeldet bekamen.
Gemessen etwa an der 50-Millionen-Euro-Strafe, die Frankreich dem Internet-Konzern Google Anfang 2019 wegen mangelhafter Transparenz beim Umgang mit Nutzerdaten aufgebrummt hatte, summierten sich die in Deutschland verhängten Sanktionen vorwiegend auf vier- bis fünfstellige Beträge Das zeigt auch der Blick in die „EnforcementTracker"-Datenbank.
Die Strafe gegen 1&1 Drillisch ist die zweite in Millionenhöhe binnen kurzer Zeit, die deutsche Datenschutzbehörden auf Basis der DSGVO ausgesprochen haben. Der Immobilienkonzern „Deutsche Wohnen“ habe Daten zu persönlichen und finanziellen Verhältnissen von Mietern gespeichert, obwohl das datenschutzrechtlich nicht zulässig war, begründete die Berliner Datenschutzbeauftragte Maja Smoltczyk die Ende Oktober gegen das MDAX-Unternehmen verhängte 14,5-Millionen-Euro-Strafe.
Nach einer ersten Prüfung 2017 habe der Konzern die Mieterdaten im Archivsystem trotz entsprechender Aufforderung nicht bereinigt, monierte die Berliner Behördenchefin. Die Deutsche Wohnen sieht das anders und will gerichtlich gegen den Bußgeldbescheid vorgehen. Auch 1&1 hält die Strafe für unverhältnismäßig und will gegen den Bußgeldbescheid klagen.
In beiden Fällen werden also Gerichte das Strafmaß prüfen müssen. Doch unabhängig davon wird deutlich, dass die Schonfrist vorbei ist, die die Behörden den hiesigen Unternehmen bisher eingeräumt haben, um sowohl ihre Vorkehrungen zum Schutz persönlicher Daten als auch die Meldeprozesse bei Sicherheitsvorfällen an die neuen Vorgaben anzupassen.
Denn selbst wenn beide Millionenstrafen sich vordergründig „nur“ auf Nachlässigkeiten beim Umgang mit Kundendaten beziehen, die neue Härte bei den Sanktionen gilt auch für den Umgang mit Cyberangriffen. Das bedeutet: Auch Unternehmen, die etwa der Meldepflicht bei Hackerattacken nicht fristgerecht und umfänglich nachkommen, drohen nun merklich höhere Strafen.
Wie die deutschen Datenschützer diese Beträge künftig kalkulieren wollen, haben sie Mitte Oktober in ihrem gemeinsamen Bußgeldkonzept festgelegt. Wie teuer es am Ende wird, regelt ein fünfstufiges Berechnungsmodell, das unter anderem Firmengröße, Umsatz und Schadensschwere berücksichtigt.
Und noch etwas haben die Mitglieder der Datenschutzkonferenz in ihrem Konzept festgelegt: Um Verstöße wirksam und abschreckend zu sanktionieren, setzen sie auf „erhebliche maximale Bußgeldbeträge“.
Ob Konzern oder Kleinunternehmen, ob interne Schluderei oder externe Cyberattacke – jedem Firmenverantwortlichen sollte spätestens jetzt klar sein: Verstöße gegen die DSGVO werden von nun an richtig teuer.
