Verstöße gegen die DSGVO – Bußgelder gegen Unternehmen
Knapp ein Jahr nach Geltung der Datenschutz-Grundverordnung (DSGVO) werden immer mehr und höhere Sanktionen gegen Unternehmen aufgrund von Datenschutzverstößen verhängt. Für Verunsicherung sorgt zudem ein Bußgeld-Berechnungskatalog der Aufsichtsbehörden, der noch geheim gehalten wird. Dieser Beitrag soll einen Einblick darin geben, welche Sanktionen bzw. Ansprüche aus der DSGVO gegen Unternehmen zunehmend drohen, um die Compliance-Risiken im Datenschutz entsprechend berücksichtigen zu können.
Erste hohe Bußgelder in Deutschland
Gingen die Aufsichtsbehörden in der Umstellungszeit seit Mai 2018 noch sehr zurückhaltend mit Sanktionen um (Bußgelder von wenigen hundert bis tausend Euro), werden mittlerweile immer höhere Bußgelder auch in Deutschland verhängt:
- 80.000 Euro Bußgeld musste ein Unternehmen in Baden-Württemberg zahlen, durch welches Gesundheitsdaten ins Internet gelangten
- Die App-Bank N26 musste 50.000 Euro zahlen, da Daten ehemaliger Bankkunden unrechtmäßig verarbeitet worden waren (in der Pressemitteilung namentlich benannt)
- Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnDSB) verhängte zuletzt ein Bußgeld in Höhe von insgesamt 200.000 Euro gegen Delivery Hero (in der Pressemitteilung namentlich benannt) aufgrund verschiedener technisch-organisatorischer Verstöße (Mängel bei Löschung und Auskunftserteilung)
- Weiterhin kündigte die BlnDSB an, ein Bußgeld im zweistelligen Millionenbereich zeitnah zu verhängen. Weitere Informationen hierzu sind noch nicht bekannt.
Der Bußgeld-Berechnungskatalog der Aufsichtsbehörden
Die Datenschutzkonferenz, der Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden erarbeitet einen ausführlichen Katalog, der zur Berechnung der Bußgeldhöhe in Deutschland dienen soll. Das ausführliche Dokument könnte aufgrund der Bemessungsgrundlagen zu einem deutlichen Anstieg der Verhängung von Bußgeldern im Datenschutzbereich führen und die Höhe deutlich erhöhen. Der Katalog wird derzeit nur in einzelnen Bundesländern angewandt und dort den betroffenen Unternehmen wohl zumindest als Berechnungsgrundlage dargestellt.
Leider weigern sich die Aufsichtsbehörden derzeit, den Katalog zu veröffentlichen und allgemein frei zu geben. Da es sich auf deutscher Ebene noch um einen Entwurf handeln soll, soll der Entwicklungsstand nicht bekannt werden. Auch Anfragen nach dem Informationsfreiheitsgesetz wurden abgelehnt (obwohl die Behörden auch für die Überwachung der Informationsfreiheit zuständig sind). Derzeit bleibt Unternehmen also nur, Bußgelder durch Erfüllung der Datenschutzvorgaben zu vermeiden. Falls ein Bußgeld auf Basis des Katalogs der Behörden verhängt werden sollte, kann das Berechnungsmodell ggf. angegriffen werden.
Sanktionen in anderen EU-Mitgliedsstaaten
Nachfolgend möchten wir verschiedene Bußgelder in anderen EU-Mitgliedsstaaten darstellen, die bislang bekannt wurden. Einem Bericht des Europäischen Datenschutzausschusses zufolge (Stand: Februar 2019) betrugen die von nationalen Aufsichtsbehörden gemeldeten Fälle vermutlicher Datenverstöße insgesamt über 200.000. Circa 90.000 davon sind auf Beschwerden betroffener Personen zurückzuführen, etwa 64.000 Fälle waren Datenlecks, welche die Unternehmen selbst den Aufsichtsbehörden gemeldet haben.
- Die bislang EU-weit höchsten Bußgelder wurden im Juli 2019 von der britischen Datenschutzaufsichtsbehörde angekündigt: British Airways wird mit einem Bußgeld in Höhe von etwa 200 Millionen Euro konfrontiert. Grund ist ein mangelnder Schutz der Kundendaten vor dem Zugriff Dritter und unzulängliche IT-Sicherheitsmaßnahmen, welcher es Hackern ermöglichte, an Daten von circa 500.000 Kunden zu gelangen.
- Zudem erwartet die Hotelkette Marriott ein Bußgeld in Höhe von circa 110 Millionen Euro. Dort konnten Unbefugte auf Namens-, Adress-, Pass- und Kreditkartendaten zugreifen.
- In Frankreich verhängte die dortige Aufsichtsbehörde CNIL ein Bußgeld von 50 Millionen Euro gegen Google. Diese Entscheidung ging auf eine Beschwerde der NGO von Max Schrems, noyb, zurück. Hier konnten Nutzer essenzielle Datenschutzinformationen nicht oder nur erschwert einsehen, sodass sie nicht herausfinden konnten, wie lange ihre Daten gespeichert und weiterverarbeitet werden. Außerdem seien die Einstellungsmöglichkeiten für personalisierte Werbung und die Erstellungsoptionen für Accounts rechtswidrig. Die Entscheidung ist nicht rechtkräftig, die weiteren Entwicklungen sind also spannend.
Folgen für Unternehmen
Die wachsende Bereitschaft der Datenschutzaufsichtsbehörden, Bußgelder zu verhängen sowie die erste Rechtsprechung zu höheren immateriellen Schadensersatzansprüchen für Betroffene bringt für Unternehmen ein höheres Risiko, mit Sanktionen belegt oder zur Zahlung immaterieller Schäden in Anspruch genommen zu werden.
Die Risiken betreffen längst nicht nur große Unternehmen, sondern es kann auch kleinere und mittlere Unternehmen treffen. Hohe immaterielle Schadensersatzansprüche kommen insbesondere in Betracht, wenn der Datenschutzverstoß ein strukturelles Problem darstellt und somit eine Vielzahl Betroffener existiert. Aufgrund des wachsenden Bewusstseins der Betroffenen ist auch weiterhin mit einer hohen Anzahl von Beschwerden bei den Aufsichtsbehörden zu rechnen.
Zur Minimierung dieses finanziellen Risikos müssen Unternehmen, falls noch nicht geschehen, die Vorgaben der DSGVO umsetzen. Dabei sollte auch auf potenzielle Schadensersatzprozesse geachtet werden. Konkret sollten die Dokumentationspflichten eingehalten werden und genaue Kenntnis darüber bestehen, welche personenbezogenen Daten genau verarbeitet werden.
Autor: Dr. Matthias Lachenmann