DSGVO-Sanktionen müssen verhältnismäßig sein Bußgelder in Millionenhöhe?
26. Februar 2020Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 werden Datenschutzverstöße immer häufiger geahndet. Auch von der Verhängung von Bußgeldern berichten die Medien in den letzten Monaten immer wieder. Häufig handelt es sich dabei um Forderungen gegen große Konzerne wie Facebook und Google.
„Nur, weil man von Millionenstrafen für Facebook und Co. hört, heißt das jedoch nicht, dass kleinere Unternehmen mit solchen enormen Summen belastet würden. Sanktionen sollen grundsätzlich bewirken, dass sich Unternehmen an die DSGVO halten und sich mit ihr auseinandersetzen. Oft erfolgen zunächst Mahnungen und eventuell folgende Strafen müssen verhältnismäßig sein“, erklärt Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH & Co. KG, und ergänzt: „Insgesamt können Verstöße nach den neuen Vorschriften jedoch deutlich höher sanktioniert werden. Nach dem alten Bundesdatenschutzgesetz lag die maximale Bußgeldforderung bei 300.000 Euro. Nun sind nach Artikel 83 der DSGVO bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes möglich.“
Eine Ende 2019 vom Handelsblatt durchgeführte Umfrage unter den Datenschutzbeauftragten der Länder zeigt, dass im Jahr 2019 auf Basis der DSGVO 187 Bußgelder verhängt wurden. Zuvor hatten die Aufsichtsbehörden erst 40 Strafen ausgesprochen. Mahnungen oder Bußen verhängen die Kontrollbehörden, wenn Unternehmen ihre Zertifizierungs- oder Überwachungspflichten oder bestimmte Vorschriften der DSGVO verletzen. Sanktionen und die Höhe der Strafgelder richten sich dabei nach der Art der Verstöße.
Strafgelder richten sich nach Art der Verstöße
Zum Beispiel spielt es eine Rolle, wie viele Personen die Datenschutzverletzung betrifft, ob das Unternehmen absichtlich handelte oder sich die Firma kooperativ verhält. „Erhalten Unternehmen eine Anfrage ihrer Datenschutzbehörde, sollten sie den Beistand eines Experten ersuchen. Meist beginnt eine Untersuchung damit, dass Unternehmen einen mehrseitigen Fragebogen zugesendet bekommen, den die Mitarbeiter häufig eher arglos ausfüllen – sie kopieren zum Beispiel die entsprechenden Antworten und Daten aus dem Internet.
Eine solch unbedachte Vorgehensweise fällt den Aufsichtsbehörden sofort auf und kann im Zweifelsfall kostspielige Folgen für Unternehmen haben. Außerdem lassen sich Datenschutzverletzungen durch einfache Maßnahmen, bei denen Experten helfen können, abwenden“, sagt Hösel.
Durchschnittshöhe der Bußgelder bei circa 6.000 Euro
Facebook droht infolge des Cambridge-Analytica-Skandals beispielsweise eine Strafzahlung im Milliardenbereich – das wäre damit das höchste Datenschutz-Bußgeld weltweit. Die bisher höchste Strafzahlung verhängte Frankreich gegen Google, die französische Datenschutzbehörde CNIL legte eine Forderung von 50 Millionen Euro fest. In Deutschland liegt der höchste Bußgeldbescheid bei 14,5 Millionen Euro. Dieser wurde gegen eine der größten deutschen Wohnungsgesellschaften, Deutsche Wohnen, verhängt, da sie nach Angaben der Berliner Aufsichtsbehörde zahlreiche Mieterdaten nicht oder nicht korrekt gelöscht hatten.
„Bei Verstößen des sozialen Netzwerkes Knuddels wirkte sich beispielsweise der gute Kooperationswille mildernd auf das verhängte Bußgeld aus, sodass gegen das deutsche Unternehmen nur 20.000 Euro Strafgeld verhängt wurden“, berichtet Hösel. Im Jahr 2019 hatte „Die Welt“ in einer Zusammenfassung der DSGVO-Bußgelder festgestellt, dass die Durchschnittshöhe der Strafen in Deutschland bei circa 6.000 Euro lag.
Einheitliches Konzept zur Bußgeldbemessung soll folgen
Derartige Bußgeldsummen lassen viele Unternehmen aufschrecken, zumal der Bundesdatenschutzbeauftragte auf einer Konferenz der Nachrichten-Website Netzpolitik.org im September 2019 angekündigt hat, dass ähnliche Verfahren folgen würden. „Es ist zu vermuten, dass es in Zukunft häufiger zu Bußgeldern kommt, da die Datenschutzbehörden mehr Kontrollen angekündigt haben. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz Datenschutzkonferenz (DSK), gab bekannt, ein einheitliches Konzept zur Bußgeldbemessung zu entwickeln.
Dieses soll auf Grundlage des Artikels 83 der EU-DSGVO beruhen und für einheitlichere Bußgelder über die Grenzen der Bundesländer hinweg sorgen“, berichtet Hösel. Abzuwarten bleibt, wie das Vorgehen gegen die großen IT-Konzerne enden wird. Sicher ist allerdings, dass die Verfahren gegen Google und Facebook aus der Sicht der Datenschützer erst der Anfang sein sollen. (rhh)