Schonfrist abgelaufen (Update)

Die französische Datenschutzbehörde hat gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat angekündigt gegen die Hotelkette Marriott ein Bußgeld von 99,2 Millionen britischen Pfund, umgerechnet rund 110 Millionen Euro, zu verhängen. Gegen die Fluggesellschaft British Airways hat die ICO bereits ein Bußgeld in Höhe von 183,39 Millionen Britische Pfund, umgerechnet etwa 204 Millionen Euro, verhängt.

Auch hierzulande sind die ersten Sanktionen der Datenschutzbehörden gegen Firmen, denen Verstöße gegen die DSGVO nachgewiesen wurden, bekannt geworden. So wurde z.B. ein bekannter Betreiber einer Online-Dating-Plattform zur Zahlung eines Bußgeldes von 20.000 Euro verurteilt, ein Wert der im ersten Moment recht hoch erscheint, de facto jedoch eher am unteren Ende möglicher Bußgelder angesiedelt ist. Hintergrund des Bußgelds war ein Hackerangriff auf die Datenbanken der Online-Dating-Plattform und insbesondere das Versäumnis, dass die Passwörter der Nutzer nicht verschlüsselt wurden. Vielmehr wurden die Passwörter unverändert im Klartext in den Datenbanken des Unternehmens gespeichert, was als eindeutiger Datenschutzverstoß zu qualifizieren ist. Dass angesichts dieses eindeutigen und gravierenden Verstoßes kein höheres Bußgeld verhängt wurde, lässt sich auf den hohen Grad der Kooperation und massiver nachträglicher Investitionen des Unternehmens in den Datenschutz zurückführen.

In diesem Zusammenhang stellt der Datenschutzbeauftragte Baden-Württembergs in einem Interview mit Spiegel Online klar, dass die Datenschutzbehörden grundsätzlich in erster Linie mit Beratung, etwa über Gespräche, Vorträge oder Infomaterial die Umsetzung des Datenschutzes betreiben würden. Beim Vorliegen gravierender Verstöße müsse im Einzelfall jedoch eine sichtbare Sanktion gegen die Verantwortlichen erfolgen. Diese Sanktionen sind jedoch vom jeweiligen Einzelfall abhängig.

In einem weiteren Fall kam es nach Auskunft des Datenschutzbeauftragten Baden-Württembergs gar zur Festsetzung eines Bußgeldes in Höhe von 80.000 Euro. Dieses erheblich erhöhte Bußgeld lässt sich mit der datenschutzrechtlichen Brisanz erklären, betraf der Verstoß doch Gesundheitsdaten, also in rechtlicher und tatsächlicher Hinsicht besonders sensible und schützenswerte Daten. Hier gibt es vergleichbare Fälle in anderen EU-Staaten. In Portugal wurde einem Krankenhaus, das sämtliche Mitarbeiter ohne Unterscheidung Zugriff auf Patientendaten gewährt hatte, mit einem Bußgeld von 400.00 Euro belegt.

Mittlerweile haben sich die deutschen Datenschutzbehörden auch auf ein Modell zur einheitlichen Berechnung von Bußgeldern geeinigt. Berechnungsgrundlage ist wohl der Umsatz eines Unternehmens, auf dessen Grundlage ein Tagessatz ermittelt wird. Der Tagessatz wird dann mit einem Faktor je nach Schwere des Verstoßes und Art der Begehung multipliziert. Das Konzept wurde bisher nicht veröffentlicht. Ein entsprechender Beschluss zur Umsetzung findet sich aber in den Protokollen der Datenschutzkonferenz, der gemeinsamen Abstimmungsinstanz des Bundesdatenschutzbeauftragten, der Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht.

Eine Vielzahl von Unternehmen scheint auch weiterhin die Relevanz des Datenschutzes nicht hinreichend verinnerlicht zu haben. Laut Handelsblatt vom 18.01. dieses Jahres sind bundesweit bisher bereits in 41 Fällen Bußgeldbescheide ergangen. Weitere Fälle sind in der Bearbeitung. Wie die Praxis zeigt, können deutsche Unternehmen keineswegs mehr sicher sein, im Falle eines Verstoßes gegen datenschutzrechtliche Vorgaben nicht mit entsprechenden Sanktionen der Behörden belegt zu werden.

Die Schonfrist ist tatsächlich abgelaufen.