Nach der Einführung der neuen Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) im Mai 2018, gilt auch eine neue Bußgeldverordnung. Zuvor waren Bußgelder für Datenschutzverstöße in Deutschland auf 300.000 Euro gedeckelt gewesen.
Um auch effektiv gegen Unternehmen mit gewaltigen Umsätzen wie Google oder Amazon im Fall der Fälle vorgehen zu können, wurden die Bußgelder erhöht und es gilt keine absolute Obergrenze mehr. Stattdessen können Bußgelder bis zu einer Höhe von vier Prozent des Jahresumsatz eines Unternehmens erhoben werden.
Im ersten Jahr nach der Einführung der neuen Rechtsgrundlage galt scheinbar eine Art inoffizieller „Schonfrist“ für Unternehmen, Institutionen oder Vereine. Damit ist sie seit dem Jahreswechsel 2019/2020 endgültig vorbei. Immer öfter verhängen die Bundes- und Landesbeauftragte für Datenschutz und die Informationsfreiheit Bußgelder – und die haben es in sich.
Die große Abmahnwelle kam nicht
Vor der Einführung von DSGVO und BDSG warnten verschiedene Stimmen aus Presse und Wirtschaft vor einer bevorstehenden Abmahnwelle. Die Ungetüme von Vorschriftenkatalogen wären viel zu umfangreich, als das ein durchschnittliches Unternehmen oder gar ein Sportverein zeitnah umsetzen könnten.
Die Folge hiervon wäre dann eine gewaltige Abmahnwelle, von der vor allem windige Unternehmer profitieren würden, die ihre Konkurrenz beim kleinsten Fehler abmahnen würden.
Diese angekündigte Abmahnwelle blieb aber aus. Ein Grund hierfür ist, dass es keine klare Rechtsprechung gibt, ob Unternehmen andere Unternehmen überhaupt so einfach abmahnen dürfen. Auch von Seiten der Behörden kamen keine großen Abmahnungen auf Unternehmen zu. Es ist davon auszugehen, dass die Behörden sich intern auf eine Art Schonfrist geeinigt hatten. Lediglich kleinere Geldstrafen wurden in Einzelfällen verhängt.
Schonfrist seit Dezember 2019 vorbei
Seit dem Dezember 2019 ist diese Schonfrist allerdings vorbei und niemand kann mehr auf Nachsicht der Behörden hoffen.
Ein zu laxer Umgang mit personenbezogenen Daten, kam den Internetkonzern 1&1 teuer zu stehen.
Der Fall: Eine Frau, die ihren Exfreund stalkte, rief einfach bei 1&1 – dem Telefonanbieter ihres Exfreundes – an, um dessen neue Telefonnummer zu erfragen. Um diese zu erhalten, musste sie nur seinen Namen und Geburtstag angeben – und bekam die gewünschten Daten.
Ulrich Kelber (SPD), Bundesbeauftragter für Datenschutz und Informationsfreiheit, befand das als einen zu sorglosen Umgang mit personenbezogenen Daten und stellte dem Unternehmen einen Bußgeldbescheid über 9,6 Millionen Euro zu. Das Unternehmen 1&1 hätte nicht die in Artikel 32 DSGVO geforderten, systematischen Maßnahmen ergriffen, um personenbezogene Daten zu schützen.
Ein weiteres Unternehmen, gegen das ein hoher Bußgeldbescheid erhoben wurde, ist die Deutsche Wohnen SE. Weil das Unternehmen die personenbezogenen Daten ihrer Mieter in einem Archiv verarbeitet hat, das eine Löschung der Daten nicht vorsah, erregte es die Aufmerksamkeit der Berliner Datenschutzbeauftragten. In diesem System können die personenbezogenen Daten jahrelang abgerufen werden – auch nach der Auflösung des Vertragsverhältnisses zwischen Mieter und Unternehmer.
Weil die Datenschutzbeauftragte, Maja Smoltczyk, keinen missbräuchlichen Umgang mit diesen Daten, sondern nur einen Verstoß gegen die Vorschriften zur Verarbeitung der Daten feststellte, erhob sie nur ein Bußgeld in mittlerer Höhe. Anstelle der möglichen 28 Millionen, musste die Deutsche Wohnen SE lediglich 14,5 Millionen Euro zahlen.
Behörden nehmen Datenschutz ernst
Solche hohen Strafen werden durch die Datenschutzbeauftragten von Bund und Ländern nur selten verhangen. Aber das Beispiel der Deutsche Wohnen SE zeigt, dass die Behörden den Datenschutz sehr ernst nehmen.
Aber auch sonst zeigt die Anzahl der erhobenen Strafen, das es sich niemand mehr leisten kann, den Datenschutz auf die leichte Schulter zu nehmen. Wurden im Jahr 2018 nur 40 Strafen verhängt, waren es im Jahr 2019 schon fast 200 Bußgelder, wie das Handelsblatt in einem Artikel schrieb.
Für Unternehmen, Institutionen und Vereine lohnt sich die Zusammenarbeit. Stellen die Behörden fest, dass sich Betroffene einsichtig zeigen und aktiv bei der Abstellung der Probleme mitarbeiten, werden ihnen teilweise erhebliche Summen erlassen.
Der umgangssprachliche Begriff der „Datenpanne“ ist ein Euphemismus, über den Betroffene nur noch müde lachen können.
Bei wem suchen Behörden nach Datenschutzverstößen?
In ihrer festen Absicht, die Datenschutzvorschriften durchzusetzen, suchen Behörden aktiv nach Verstößen in verschiedenen Branchen.
Jeder Betrieb, in dem personenbezogene Daten verarbeitet werden, stehen im Fokus der Aufmerksamkeit von Datenschutzbeauftragten. Allen voran werden Online Shops überprüft, die für ihre Arbeit viele personenbezogene Daten erfassen müssen. Das Bayerische Landesamt für Datenschutzaufsicht hat zum Beispiel gezielt E-Commerce-Unternehmen angefragt, um sich die Verarbeitung von Zahlungsdaten anzusehen.
Auch Arztpraxen werden von den Behörden untersucht. Denn hier müssen besonders schutzbedürftige personenbezogene Daten verarbeitet werden. Hier kann eine Schadsoftware im IT-System großen Schaden anrichten.
Ob in kleinen, mittelständischen oder großen Unternehmen, Online-Shops oder Arztpraxen – Datenschutzbeauftragte überprüfen bei jedem Betrieb, ob personenbezogene Daten ausreichend geschützt werden. Außerdem wird versucht festzustellen, ob die Mitarbeiter für das Thema Datenschutz ausreichend sensibilisiert wurden.
Die Datenschutzbeauftragten nehmen den Datenschutz sehr ernst – und suchen umfassend nach Datenschutzverstößen im Interesse von uns Verbrauchern. Wo nötig, scheuen Behörden nicht mehr davor zurück, hohe und schmerzhafte Bußgelder zu erheben.
