Datenschutzverstöße – Geldbußen über 300 Mio. Euro auf dem Weg

Gleich an zwei Tagen hintereinander hat es die britische Datenschutzaufsichtsbehörde Information Commissioner‘s Office (ICO) in die Schlagzeilen geschafft: Wegen Datenschutzverstößen will die Behörde gegen die Fluggesellschaft British Airways und die Hotelkette Marriott Geldbußen in Höhe von insgesamt rd. 300 Mio. Euro verhängen. In beiden Fällen verletzten die Unternehmen Kundendaten durch mangelhafte Sicherheitsvorkehrungen; Anschriften und Kreditkartendaten gelangten so in die Hände von Cyber-Kriminellen.

Was sich nach amerikanischen Schadensersatzsummen anhört, ist Folge des verschärften Datenschutzregimes in der EU: Seit Mai 2018 stellt die Datenschutz-Grundverordnung (DSGVO) strengere Maßstäbe zum Datenschutz auf. „Sie ermöglicht den Behörden, Strafen zu verhängen, die selbst den Googles und Facebooks der Welt weh tun“, so René Sandor, Experte für deutsches und europäisches Datenschutzrecht bei der Wirtschaftskanzlei CMS Deutschland. So können Datenschutzaufsichtsbehörden bei besonders schweren Verletzungen der DSGVO Geldbußen von bis zu 20 Mio. Euro oder von bis zu 4% des Jahresumsatzes verhängen. Die Strafe gegen British Airways beispielsweise entspricht der Höhe nach 1,5% des gesamten weltweit erzielten Jahresumsatzes der Airline.

Deutsche Behörden (noch) vergleichsweise moderat

Die deutschen Datenschutzbehörden sind bei der Verhängung von Geldbußen noch zurückhaltend. Die bislang höchste Geldstrafe wegen der Verletzung von Gesundheitsdaten liegt bei 80 000 Euro. Datenschutzrechtler Sandor erwartet jedoch auch hierzulande einen Anstieg der geforderten Bußgeldzahlungen. Hauptgrund für die Strafen sind auch in Deutschland vor allem die mangelnden Sicherheitsvorkehrungen in der Wirtschaft. Unternehmen müssten jetzt vor allem zwei Dinge beachten, um Geldbußen zu vermeiden, so der Rat des Experten: Erstens müssen sie die Daten ihrer Kunden und Mitarbeiter durch geeignete technische und organisatorische Maßnahmen absichern. Dazu zählen Maßnahmen wie beispielsweise die Verschlüsselung, die Wahrung der Vertraulichkeit und die schnelle Wiederherstellbarkeit von Daten. Zweitens müssen Unternehmen intern Verfahren automatisieren, damit Betroffene ihre Rechte, wie z. B. das Auskunftsrecht und das Recht auf Löschung, das so genannte „Recht auf Vergessenwerden“, geltend machen können.

„Die deutschen Datenschutzbehörden befragen bereits Unternehmen zur Umsetzung dieser Themen“, weiß Sandor aus der Praxis zu berichten. „Das Thema Datenschutz und Cyber-Security duldet daher keinen Aufschub und sollte auch den Weg in die Chef-Etage finden, möchten deutsche Unternehmen nicht ebenfalls schmerzhafte Schlagzeilen machen.“