Erste Bußgelder verhängt: Datenverstöße werden geahndet

Noch vor Jahresende soll es bei Datenschutzverstößen Bußgelder geben. Von bis zu 20 Millionen Euro war die Rede bei schweren Vergehen gegen die Bestimmungen der DSGVO.

Bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens können im Extremfall als Bußgeld erhoben werden. Bis zu diesem Zeitpunkt hatte die von vielen Seiten befürchtete Prozesswelle noch nicht eingesetzt. Also ist auch bei der Strafverhängung alles halb so schlimm? Schon machte das Wort von der „Schonfrist“ die Runde. Dann das Signal zum Aufwachen: Der Landesdatenschutzbeauftragte von Baden-Württemberg verdonnerte noch 2018 das soziale Netzwerk Knuddels zu einem Bußgeld von 20.000 Euro wegen schlecht gesicherter Kunden-Passwörter – ein verschmerzbarer Warnschuss, dessen moderate Höhe mit der Kooperationsbereitschaft des Datenschutzsünders begründet wurde. Das hat sich allerdings inzwischen geändert.

Kontrolljahr angekündigt

In Baden-Württemberg wurde der Ton im Februar dieses Jahres schärfer: So ließ der Landesdatenschutz verlautbaren, dass 2019 das Jahr der Kontrollen bevorstünde. Klare Ansage für Unternehmen: Eine Schonfrist sei nun nicht mehr zu erwarten. Zeitgleich waren bisher 41 Bußgeldbescheide im Bundesgebiet versandt worden, dazu wurde bereits in 85 Verfahren gerichtlich gestritten. Auslöser für die Prozesswelle sei nach Landesdatenschutzbehörden eine zunehmende Anzahl von Beschwerden. Der Bayerische Landesbeauftragte für den Datenschutz gab bekannt, dass er sich während einer Übergangszeit bewusst mit Sanktionen zurückgehalten hatte. Dies sollte gerade den öffentlichen Unternehmen eine Atempause verschaffen, ihr Datenschutzmanagement so schnell wie möglich auf den von der DSGVO geforderten Stand zu bringen. Doch es sind wohl vor allem kleinere Firmen, die mit unzureichendem Datenschutz auffallen und dafür Bußgelder aufgebrummt bekommen werden. Führend bei der Verhängung von Strafen war im Winter Nordrhein-Westfalen. Danach folgten mit großem Abstand die Länder Baden-Württemberg, Hamburg und das Saarland. Eher ruhig verhielten sich bislang die übrigen Bundesländer.

So wurde bisher geahndet

Bei den bisher zur Kasse gebetenen Unternehmen sind kaum große Player. In Frankreich sieht das beispielsweise anders aus: Hier wurde Branchenriese Google zu 50 Millionen Euro Bußgeld verpflichtet. Kolibri, ein Versandunternehmen mit Sitz in Deutschland, war das erste Unternehmen hierzulande, dem ein Bußgeldbescheid zugestellt wurde: im Gegensatz zu Frankreich mit bescheidenen 5.000 Euro. Kolibri hatte darauf verzichtet, mit einem beauftragten externen Dienstleister einen Auftragsverarbeitungsvertrag zu schließen. Nun war Kolibri keineswegs blauäugig, sondern hatte den Geschäftspartner, ein Paketzusteller, wiederholt um Übersendung eines AVV gebeten – jedoch vergebens. Das Unternehmen beging nun den Fehler, selbst keinen Vertrag aufzusetzen, obwohl die Pflicht zum Vertragsabschluss bei beiden Parteien liegt. Überdies weigerte sich der Versandhändler, mit der Datenschutzbehörde zusammenzuarbeiten, womit eine Strafmilderung nicht in Betracht kam. Womöglich wäre also das Bußgeld sogar vermeidbar gewesen. Die Behörden in Baden-Württemberg wiederum verhängten eine Strafe in Höhe von 80.000 Euro – bislang deutscher Rekord – gegen ein Unternehmen, das Gesundheitsdaten wegen mangelhafter Kontrollmechanismen unzureichend sicherte, sodass diese im Internet landeten. Dazu wurden Mängel bei Werbemails, unzureichend geschützte E-Mail-Verteiler sowie fehlerhafte Videoüberwachungen beanstandet.

So kommt es zum Bußgeld

Grundsätzlich sind es Betroffene, die eine Beschwerde bei den Datenschützern platzieren. Außerdem sind ja Unternehmen verpflichtet, Datenpannen unverzüglich zu melden. Versäumen sie dies, ruft das die Datenschützer schnell auf den Plan. Beispiele hierfür sind Onlinebanking-Anbieter, die versehentlich Konten offenlegen, Hackerangriffe auf die Seiten von Shopbetreibern oder unzulässig aufgezeichnete Telefonate – wenn Unternehmen dies nicht sofort melden, rückt die Datenschutzbehörde an. Im Bereich der Videoüberwachung seien häufig Mitarbeiter und Kunden betroffen, die ohne ihr Wissen gefilmt und darüber nur unzulänglich informiert wurden. Wie der Fall Kolibri gezeigt hat, können schon eher kleine Versäumnisse dazu führen, mit den Datenschützern in Konflikt zu geraten. Wenn man weiß, weshalb Kolibri so hilflos agierte, bekommt die Geschichte indes noch eine andere Dimension: Das kleine Unternehmen sah sich nach eigener Auskunft schlicht überfordert mit der komplizierten Vertragsschließung mit einem in Madrid ansässigen Unternehmen – und hat kurzerhand die Geschäftsbeziehung beendet.