Deutsche Datenschutzbehörden ziehen die Zügel an

Die Datenschutzkonferenz DSK – der Zusammenschluss der deutschen Datenschutzbehörden – hat sich am 14.10.19 auf ein einheitliches Modell zur Berechnung von Bußgeldern bei Datenschutzverstößen verständigt. Nach Ansicht der DSK gewährleiste das Modell eine systematische, transparente und nachvollziehbare Bußgeldbemessung. Vor allem aber dürften die verhängten Geldstrafen empfindlich steigen, meinen Hauke Hansen und Victoria Johnson von der Kanzlei FPS Rechtsanwälte.

Andere EU-Mitgliedstaaten haben bereits von dem Bußgeldrahmen, den die Datenschutzgrundverordnung (DSGVO) mit ihrer Höchstgrenze von 20 Mio. Euro oder 4% des Jahreskonzernumsatzes ermöglicht, Gebrauch gemacht. In Frankreich wurde gegen Google ein Bußgeld in Höhe von 50 Mio. Euro verhängt. In Großbritannien belegten die Aufsichtsbehörden die Hotelkette Marriott mit einem Bußgeld in Höhe von 110 Mio. Euro und die Fluglinie British Airways sogar mit einem in Höhe von 204 Mio. Euro. Die beiden zuletzt genannten Fälle sind zudem insofern bemerkenswert, als dass die bestraften Unternehmen von Hackern angegriffen wurden. Grund der auferlegten Bußgelder waren die unzureichenden Maßnahmen im Bereich der IT-Sicherheit. Es wurden also die Opfer bestraft.

Das neue DSK-Modell könnte den in Deutschland seit Inkrafttreten der DSGVO immer wieder befürchteten Anstieg von Bußgeldern Wirklichkeit werden lassen. So hat die Berliner Datenschutzbehörde bereits angekündigt, ein Bußgeld im zweistelligen Millionenbereich zu verhängen. Dies würde eine deutliche Verschärfung der Bußgeldpraxis bedeuten, denn bisher bewegten sich die in Deutschland ausgesprochenen Bußgelder lediglich im drei- bis vierstelligen Bereich. Zu den geahndeten Verstößen gehörten neben einer unzureichenden IT-Sicherheit z. B. das Fehlen eines Löschkonzeptes, „zu invasive“ Video-überwachungen oder nicht innerhalb von 72 Stunden gemeldete Datenpannen. Hinzukommen wird noch das nach Ansicht der DSK derzeit datenschutzwidrige Betreiben von Facebook-Fanpages oder der Einsatz von Social-Media-Plugins.

Berechnungsgrundlage

Die neue Berechnung der Bußgelder erfolgt in fünf Schritten:

1. Das Unternehmen, das den Datenschutzverstoß begangen hat, wird zunächst einer von vier Größenklasse zugeordnet. Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen.

2. Im zweiten Schritt bestimmt die Behörde den mittleren Jahresumsatz und anschließend den wirtschaftlichen Grundwert. Letzterer orientiert sich am Tagessatz – also dem mittleren Umsatz dividiert durch 360.

3. Dieser Wert wird multipliziert mit einem Faktor, der die Schwere der Tat widerspiegelt. Die Kategorien reichen von leicht und mittel über schwer bis sehr schwer.

4. Dann wird zwischen formellen und materiellen Verstößen unterschieden. Formelle Verstöße können beispielsweise vorliegen, wenn zwar einerseits die Vorschriften der DSGVO eingehalten werden, andererseits der Dokumentationspflicht der DSGVO jedoch nicht genüge getan wird.

5. Und schließlich wird der ermittelte Wert anhand „täterbezogener und sonstiger noch nicht berücksichtigter Umstände“ angepasst. In diesem Zusammenhang dürften vor allem die Kooperationsbereitschaft und Einsichtsfähigkeit der Unternehmen eine Rolle spielen.

Hinsichtlich des zuletzt genannten Aspektes ist auffällig, dass die Bußgelder bisher sehr unterschiedlich ausfallen. So kam das gehackte soziale Netzwerk Knuddels mit einem Bußgeld von 20 000 Euro sehr glimpflich davon, und es wurde von dem baden-württembergischen Datenschutzbeauftragten sogar für seine Kooperation mit der Datenschutzbehörde gelobt. Der Lieferdienst Delivery Hero hingegen muss für eher kleinere Verstöße – nicht gelöschte Kundendatensätze und unzulässige Werbemails – das bisherige deutsche Rekordbußgeld in Höhe von 195 000 Euro bezahlen; laut Berliner Datenschutzbehörde auch auf Grund von unkooperativen Verhaltens.

Gutes Datenschutzmanagement unabdingbar

Was bedeutet das für die Unternehmen? Sicher ist: Unternehmen müssen spätestens jetzt – 18 Monate nach Inkrafttreten der DSGVO – handeln, um einschneidende Haftungsrisiken zu minimieren. Die Berliner Datenschutzbeauftragte Maja Smoltczyk möchte ihren jüngsten Bußgeldbescheid auch als Warnung verstanden wissen: „Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung ent-falten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement.“ Auch könnten Unternehmen sich, so die Berliner Datenschutzbeauftragte weiter, bei einer hohen Anzahl von Verstößen nicht hinter technischen Fehlern und Mitarbeiterversehen verstecken, wenn von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen sei.

Nach der eingangs erwähnten Ankündigung der Berliner Datenschutzbehörde, höhere Strafen verhängen zu wollen, und dem neuen DSK-Modell ist nun auch in Deutschland mit einem empfindlichen Anstieg von Bußgeldern zu rechnen. Ist ein Unternehmen bereits in den Fokus der Datenschutzbehörden gerückt, muss es abwägen, ob ein kooperatives Verhalten sinnvoll ist oder ob das Unternehmen sich gegen die Anordnungen der Datenschutzbehörde zur Wehr setzen möchte.