DSGVO-Verstöße: Jetzt wirds teuer

Lästig. Aufwendig. Unnötig. Viele Mittelständler hadern nach wie vor mit der Datenschutz-Grundverordnung (DSGVO). Darauf einstellen müssen sie sich trotzdem, denn die Zeiten symbolischer Bußgelder sind vorbei.

 

Die erste Hysterie hat sich gelegt. Doch ihren Frieden gemacht hat die deutsche Wirtschaft mit der Datenschutz-Grundverordnung (DSGVO) noch lange nicht. Knapp zwei Jahre nach dem Wirksamwerden der neuen Regeln in der Bundesrepublik zeigt eine aktuelle Studie des Instituts der deutschen Wirtschaft:

Ein Drittel der Befragten fühlt sich durch die DSGVO im internationalen Wettbewerb benachteiligt. Große Unsicherheit verursachen zudem die Strafen, die die Behörden verhängen dürfen, wenn ein Datenschutzverstoß ruchbar wird. Und das passiert immer häufiger.

Eine Handelsblatt-Umfrage belegt: Die Zahl der Fälle, in denen Unternehmen auf Basis der DSGVO zur Kasse gebeten wurden, hat sich binnen eines Jahres mehr als vervierfacht: von 40 im Jahr 2018 auf 185 im Jahr 2019.

Doch nicht nur die Anzahl der sanktionierten Verstöße steigt, sondern auch die Höhe der Bußgelder. „Die Schonzeit für Unternehmen ist definitiv vorbei“, sagt Nicolas M. Dumont, Counsel bei Arnold & Porter in Frankfurt am Main.

„Wer das Thema Datenschutz bislang stiefmütterlich behandelt hat, muss spätestens jetzt aktiv werden.“

Wichtig sei es vor allem, die IT-Sicherheit sowie den Umgang mit personenbezogenen Daten einem kritischen Check-up zu unterziehen.

„Hier haben vor allem kleinere Mittelständler noch Nachholbedarf – und entsprechend hohe Risiken“, so Dumont.

Ein kleines Hotel, das nach einem Hackerangriff auf sein Buchungssystem nicht nachweisen kann, dass die Gästedaten ausreichend geschützt waren, muss ebenso mit einem schmerzhaften Bußgeld rechnen wie ein Medizindienstleister, der Patientendaten auf ungesicherten Servern ablegt.

 

Zeit der Warnschüsse vorbei

Das war nicht immer so. Kurz nach Wirksamwerden der DSGVO gaben die Behörden bei Datenschutzverstößen sehr bewusst nur harmlose Warnschüsse ab.

„Viele der damals verhängten Bußgelder bewegten sich im niedrigen drei- bis vierstelligen Eurobereich und somit am unteren Ende der Skala“, erläutert Dumont.

Spätestens seit Sommer 2019 müssen Unternehmen aller Größenordnungen aber deutlich härtere Sanktionen fürchten. Zu dieser Zeit hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einem neuen, mehrstufigen Berechnungsmodell für Bußgelder zugestimmt.

Die Behörden unterteilen die Unternehmen dafür zunächst in vier Kategorien – vom Kleinstunternehmen mit maximal zwei Millionen Euro Jahresumsatz bis hin zum Großunternehmen ab 50 Millionen Jahresumsatz.

In einem zweiten Schritt ermitteln sie anhand des weltweiten Jahresumsatzes einen Tagessatz, der die Grundlage des zu zahlenden Bußgeldes bildet. Dumont: „Ein Unternehmen mit neun Millionen Euro Jahresumsatz muss danach mit einem Tagessatz von etwa 24.000 Euro rechnen.

Bei 16 Millionen Euro steigt die Summe auf knapp 49.000 Euro.“ Der Betrag, der am Ende zu zahlen ist, kann sogar noch höher sein:

Je nachdem, wie schwer der Datenschutzverstoß wiegt, dürfen die Behörden den Betrag mit einem individuell festgelegten Faktor von eins bis zwölf multiplizieren.

„Das Konzept bindet zwar nur die deutschen Datenschutzbehörden, nicht die Gerichte. Dennoch ist zu erwarten, dass auch die Rechtsprechung das Modell im Streitfall berücksichtigt“, sagt Hans Markus Wulf, Fachanwalt für Informationstechnologierecht bei Heuking Kühn Lüer Wojtek in Berlin.

Die oft geäußerte Sorge, dass mittelständische Unternehmen nun im großen Stil mit Millionenbußgeldern überzogen werden, teilt er zwar nicht.

Dass Datenschutzverstöße gerade für große Unternehmen deutlich teurer werden, hält der Rechtsanwalt jedoch für ausgemacht.

 

Selbst Kleinstunternehmen müssen sich vorsehen

Die jüngsten Entscheidungen der Behörden bestätigen diese Erwartung. Im Dezember 2019 belegte der Bundesdatenschutzbeauftragte den Telekommunikationsdienstleister 1&1 mit einer Geldbuße in Höhe von gut 9,5 Millionen Euro.

Der Vorwurf: Das Unternehmen habe keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.

Kurz zuvor hatte die Berliner Beauftragte für Datenschutz der Delivery Hero Germany GmbH ein Bußgeld von knapp 200.000 Euro aufgebrummt – als Strafe für diverse Einzelverstöße.

Unter anderem hatte das Unternehmen seinen Newsletter auch an Verbraucher versandt, die der Verwendung ihrer Daten widersprochen hatten.

Bemerkenswert ist auch der Fall des Telekommunikationsanbieters Rapidata.

Obwohl die Firma als Kleinstunternehmen zu qualifizieren ist, verhängte der Bundesdatenschutzbeauftragte im vergangenen Jahr ein Bußgeld von satten 10.000 Euro. Der Grund: Rapidata hatte trotz mehrfacher Aufforderung keinen betrieblichen Datenschutzbeauftragten benannt.

Nach der Reform ist vor der Reform

Ungünstig für Unternehmen ist es auch, dass es keine Deckelung für Mehrfachverstöße gibt: „Wer gegen die DSGVO verstößt und den Missstand nicht behebt, muss damit rechnen, diverse Male wegen derselben Verfehlung belangt zu werden“, sagt Rechtsanwalt Wulf.

Zudem arbeitet man in Brüssel mit der ePrivacy-Verordnung bereits an der nächsten Reform. Diesmal geht es unter anderem um einheitliche Regeln für das Setzen werberelevanter (Tracking-)Cookies.

Zwar zeichnet sich inzwischen ab, dass die Novelle noch einige Jahre auf sich warten lassen dürfte.

„Trotz intensiver Diskussionen können sich die EU-Staaten derzeit nicht auf eine einheitliche Linie für den Einsatz von Cookies einigen“, erläutert Experte Wulf. Klare Ansagen kommen dafür aus Luxemburg.

Der Europäische Gerichtshof (EuGH) hat entschieden (C-673/17): Um die Verarbeitung der eigenen Daten wirksam zu erlauben, müssen die Nutzer einer Website ihre Einwilligung aktiv und spezifisch erteilen, etwa, indem sie ein Kästchen anklicken und dort einen Haken setzen (Opt-in-Lösung).

Vorausgefüllte Formulare hingegen genügen diesem Anspruch nicht. „Es ist zwar nicht ausgeschlossen, dass die ePrivacy-Verordnung diese Vorgaben irgendwann einmal lockert“, sagt Anwalt Wulf. „Aktuell sind Unternehmen aber nur mit einem Opt-in auf der sicheren Seite.“

 

Kompetente Helfer

Wer Datenschutzverstöße unterbinden will, braucht die Unterstützung von Experten. Wo Unternehmen den richtigen Berater finden.

• Vielfach bieten Datenschutzbehörden selbst eine Art Datenschutzsprechstunde an. Anwalt Dumont mahnt zur Vorsicht: „Wer ein konkretes Problem offenbart, läuft sonst Gefahr, hierfür mit einem Bußgeld belegt zu werden.“
• Eine gute Anlaufstelle sind IT-Serviceunternehmen, die sich auf das Thema Datenschutz spezialisiert haben und Unternehmen insbesondere bei technischen Fragen zur Seite stehen oder sie als externe Datenschutzbeauftragte unterstützen.
• Bei juristischer Auseinandersetzung empfiehlt es sich, die Hilfe eines spezialisierten Rechtsanwalts in Anspruch zu nehmen.