Datenschutzverstöße: Hohe Bußgelder lassen auf sich warten

Es wurde erst eine übersichtliche Anzahl an richtungweisenden Datenschutz-Urteilen als Präzedenzfälle geltend gemacht, weshalb auch bei Datenschützern sowie Datenverarbeitern immer noch Unsicherheiten in vielen Belangen vorherrschen.

So auch in Bezug auf die sehr hohen Bußgelder, von denen seit Inkrafttreten der DSGVO die Rede war. Bußgelder im sechsstelligen Bereich für Großunternehmen, existenziell bedenkliche Bescheide für kleine und mittlere Unternehmen und Beträge bis zu 4 Prozent des Jahresumsatzes machten die Runde. Und wurden zum probaten Akquise-Argument für viele „DSGVO-Schnellhelfer“, die im vergangenen Jahr hervorragende Geschäfte mit der Verunsicherung der Unternehmen gemacht haben.

41 Bußgelder wurden im ersten Jahr der DSGVO verhängt

Fest steht: Es gibt Zurückhaltung seitens der Landesdatenschutzverantwortlichen in Bezug auf den Versand von Bußgeldbeschieden. So sollen laut aktuellen Recherchen des „Handelsblatt“ bis 31. Dezember nur 41 Verfahren mit Bußgeldforderungen bestückt worden sein. Auch im Ausmaß der Strafen wurde sich noch herangetastet: So wurden für schlampigen Umgang mit Gesundheitsdaten im großen Stil durch die obersten Datenschützer Baden-Württembergs 80.000 Euro Bußgeld verhängt. Laut den Landesdatenschutzbeauftragten unisono befinde man sich länderübergreifend immer noch in einer „Aufklärungsphase“. So wurde zwar vielen angezeigten Datenschutzverstößen behördlich nachgegangen. Aber zumeist mit dem Ansinnen, die betroffenen Unternehmen aufmerksam zu machen und dazu anzuhalten, künftige Verstöße zu vermeiden. Noch sehen sich die Behörden offenbar in einer Art beratenden Funktion und unterstützen Unternehmen in ihren Bemühungen um einen DSGVO-konformen Umbau des jeweiligen Unternehmensauftritts.

Datenschutz auf hohem Niveau wird zum Qualitätsmerkmal

Die Datenschützer machen jedoch kein Geheimnis daraus, dass die Zeit des Herantastens nur eine vorübergehende Phase ist. Denn wer jetzt noch behauptet, noch nie von der DSGVO und den damit verbundenen neuen Verpflichtungen gehört zu haben, gilt schon länger nicht mehr als glaubwürdig. Auch bei wiederholten Verstößen ist die Goodwill-Phase der Behörden mit Garantie bald vorbei. Wer sich sicher sein will, in Zukunft nicht doch mit staatlich ausgestellten Bußgeldern zu tun zu haben, der sollte grundsätzlich dafür Sorge tragen, dass Datenschutz im eigenen Unternehmen Chefsache ist und mit Ernsthaftigkeit betrieben wird. Auch wenn es einiges an Ressourcen und Investitionen bedeutet, ein Unternehmen fit in Sachen Datenschutz zu machen, eine zeitnahe und lückenlose Umstellung gehört inzwischen nicht nur zum guten Ton, sondern wird nach und nach auch als elementares Qualitätskriterium angesehen, im B2B- wie im B2C-Segment.

Eine „Bußgeld-Versicherung“ ist nicht vorhanden

In Foren zu Datenschutz-Themen stößt man oftmals auf die Frage, ob Firmen sich gegen die Folgen von „unverschuldeten“ Verstößen versichern können. Eine IT-Haftpflichtversicherung oder die Berufs-Haftpflichtversicherung eines freien Mitarbeiters werden oftmals als Beispiel für einen effektiven Versicherungsschutz genannt. Ein generelles rechtlich gelagertes Problem kommt dabei bei der Frage auf, was versichert werden darf und was nicht. In der Essenz können sich Unternehmen beispielsweise gegen Schadenersatzforderungen oder Abmahnungen schützen. Die resultieren ja meist aus Schadenersatzansprüchen, die Kunden oder Geschäftspartner geltend machen, wenn sie mit einer Dienstleistung unzufrieden sind oder ihnen sogar Schaden durch die erbrachte Dienstleistung entstanden ist. Auch hierbei kann es unter Umständen um die DSGVO und ihre Grundsätze gehen. Versäumt es ein Medienunternehmen beispielsweise, seinem Kunden wesentliche von der DSGVO geforderte Hinweise auf einer Webseite einzubinden, und dieser wird aufgrund des Versäumnisses von einem Besucher der Webseite abgemahnt, muss das Medienunternehmen mit Regressansprüchen seines Kunden rechnen. Gegen diese kann sich das Medienunternehmen problemlos versichern.

Kommt es beispielsweise aber zu einem Verfahren aufgrund von Datenschutzverstößen auf der eigenen Webseite des Medienunternehmens, die nach einem Verfahren ein Bußgeld auslösen, gibt es für die „Begleichung“ des Bußgelds keinen legalen Versicherungsschutz. Ein Bußgeld hat ja aus Sicht des Gesetzgebers den Sinn, Uneinsichtige durch eine empfindlich hohe Zahlung zur Einsicht – und damit zur Einhaltung von Gesetzen und Verordnungen – zu bewegen. Könnte man sich gegen ein solches Bußgeld versichern, würde die ausstellende Behörde dieses ureigene Ziel absolut verfehlen.