Seit Mai 2018 ist sie verbindlich: die DSGVO (Datenschutzgrundverordnung). Nahezu jedes Unternehmen und jede Organisation ist von der Gesetzesänderung betroffen. Ob Industriekonzern oder Sportverein – wer personenbezogene Daten verarbeitet, für den gelten auch die neuen Datenschutzbestimmungen. Bei Missachtung lässt das Gesetz horrende Strafen zu. Dementsprechend groß war nicht nur die mediale Aufmerksamkeit, sondern auch die Verunsicherung bei vielen Unternehmen. Unmittelbar nach dem Stichtag im Mai 2018 passierte jedoch zunächst wenig. An die Öffentlichkeit gelangten weder Nachrichten über Bußgelder noch über die gefürchtete Abmahnwelle durch findige Anwälte. Das änderte sich jedoch zum Jahresende.
Der erste Fall
Am 22. November 2018 veröffentlichte der LfDI (Landesbeauftragte für den Datenschutz und die Informationsfreiheit) in Baden-Württemberg eine Pressemitteilung, in der über das „erste Bußgeld in Deutschland nach DSGVO“ informiert wird. Die Behörde nennt den Grund für das Bußgeld (Verstoß gegen Art. 32 DSGVO) und klärt auch über dessen Höhe auf (20.000,- Euro). Was war passiert?
Datenpanne mit Folgen
Die Chat-Plattform „Knuddels“ wurde Opfer einer Cyberattacke. Hacker entwendeten personenbezogene Daten von über 300.000 Nutzern, um sie im Internet zu veröffentlichen. Problematisch aus Datenschutzsicht: Das Unternehmen hatte die Nutzer-Passwörter im Klartext, unverschlüsselt und nicht verfremdet, gespeichert. Vorbildlich hingegen die Reaktion nach dem Hacker-Angriff: Das Unternehmen informierte sowohl die Nutzer als auch die zuständige Behörde umgehend. Eine Entscheidung, die sich strafmildernd auswirkte: „Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens“, heißt es in der Pressemitteilung des LfDI.
Kleines Unternehmen plötzlich im Fokus
Ein weiterer Fall betrifft das Unternehmen Kolibri Image. Auf ihrer Webseite veröffentlicht die Imageberatung eine Pressemitteilung, die den Hergang aus eigener Sicht beschreibt. Die Kurzfassung: Trotz mehrfacher Aufforderung übersendet ein Dienstleister, der im Auftrag Kundendaten für Kolibri Image verarbeitet, keinen Auftragsverarbeitungsvertrag. Daraufhin wendet sich das Unternehmen an die zuständige Behörde. Nach einem Schriftwechsel und gegensätzlichen Auffassungen erhält Kolibri Image einen Bußgeldbescheid über 5.000,- Euro. Zuzüglich 250,- Euro Gebühren. Grundlage für den Bescheid: Ein Verstoß gegen Art. 83 Abs. 4 DSGVO (Fehlen eines Auftragsverarbeitungsvertrags). Überzeugt, dass kein Fehlverhalten vorliegt, fechtet Kolibri Image den Bußgeldbescheid derzeit an. Ende offen.
Großes Unternehmen unter Dauerbeobachtung
Ob Google den kürzlich zugestellten Bußgeldbescheid ebenfalls anfechten wird, ist zurzeit noch unklar. Die französische Datenschutz-Behörde CNIL verlangt 50 Mio. Euro von dem Internetkonzern. In einer Pressemitteilung vom 21. Januar 2019 erklärt die CNIL, dass Nutzer nicht ausreichend transparent informiert würden, in welchem Umfang und zu welchem Zweck Google Nutzerdaten verarbeitet. Mit 50 Mio. Euro ist der Bußgeldbescheid der bislang höchste seiner Art. Verglichen mit dem gesetzlichen Höchstmaß von 4% des Jahresumsatzes wäre die Strafe jedoch verhältnismäßig klein, da Google Milliardenumsätze verzeichnet.
Ein Zwischenfazit
Knuddel.de, Kolibri Image, Google – drei Unternehmen, die unterschiedlicher kaum seien können, erhalten Bußgeldbescheide der zuständigen Datenschutz-Behörde. Eine Erkenntnis lässt sich ableiten: Die Unternehmensgröße hat keinen Einfluss auf die Wahrscheinlichkeit, dass eine Strafe verhängt wird. Ob Einzelunternehmen oder Weltkonzern – die Behörden prüfen eingehende Hinweise. Das kann die Selbstanzeige einer Datenschutzpanne sein aber auch die Anzeige eines betroffenen Kunden oder Nutzers. Eine Nachfrage des Handelsblatts bei den Datenschutzbeauftragten der Bundesländer hat ergeben, dass bisher lediglich 41 Bußgeldbescheide ausgestellt wurden (Stand 18.01.2019), derzeit jedoch viele Verfahren laufen. Die Verfahren und Prüfungen dauern im Einzelfall häufig mehrere Monate. Und so ist es nicht verwunderlich, dass sich die Aufregung um die DSGVO nach dem Stichtag im Mai 2018 zunächst ein wenig legte. Nach dieser Schonfrist – so viel steht schon jetzt fest – werden die Behörden im Jahr 2019 mehr Bußgelder aussprechen. Wie rigoros die Behörden dabei vorgehen, ist bisher nicht abzusehen. Eine Tendenz, wie die Behörden die DSGVO auslegen, kann jedoch aus der Pressemitteilung des LfDI zum Fall Knuddels.de abgeleitet werden: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“ Die Behörde bewertet somit neben dem rein technischen DSGVO-Verstoß zusätzlich die Umstände sowie Engagement und Kooperationsbereitschaft des betroffenen Unternehmens. Es macht einen Unterschied, ob ein und derselbe Verstoß bei einem Unternehmen festgestellt wird, das eine funktionierende und gut dokumentierte Datenschutz-Organisation vorweisen kann oder bei einem Unternehmen, das Datenschutzvorschriften wissentlich ignoriert.
Die DSGVO-Unsicherheit bleibt somit auch im Jahr 2019 bestehen. Mit einem funktionierenden Datenschutz-Management verringern Sie jedoch das Risiko einer bösen DSGVO-Überraschung.
