Die deutschen Aufsichtsbehörden sind aufgewacht – Erste Millionen-Bußgelder wegen Verstoßes gegen die DSGVO

 

Die Datenschutzbehörden haben die ersten hohen Bußgelder in Millionenhöhe verhängt. Nach einer Schonzeit ab Einführung der DSGVO im Mai letzten Jahres werden nun erstmals deutlich abschreckende Strafzahlungen verhängt.

Aktuelles Beispiel ist das Telekommunikationsunternehmen 1&1, das mit einem Bußgeld von 9,55 Millionen Euro belegt wurde. Grund ist die nach Ansicht der Aufsichtsbehörde unzureichende Authentifizierungsmethode bei Telefonauskünften – man benötigte bislang nur Namen und Geburtsdatum – um an personenbezogene Informationen zu gelangen. Die Aufsichtsbehörde sieht darin einen Verstoß gegen Art. 32 DSGVO, also einem unzureichenden Schutz vor Datenschutzvorfällen durch die Etablierung von geeigneten technischen und organisatorischen Maßnahmen (TOM). Bemerkenswert ist die Tatsache, dass das Unternehmen trotz zeitnaher Umstellung der Authentifizierungsmethode und Kooperation mit der Aufsichtsbehörde mit einer Strafe in dieser Höhe sanktioniert wurde.

Kurz zuvor wurde die Deutsche Wohnen SE mit Sitz in Berlin mit einem Rekord-Bußgeld in Höhe von 14,5 Millionen Euro belegt. Grund in diesem Fall war die Speicherung von Mieterdaten ohne ausreichendes Löschkonzept. Das genannte Unternehmen speicherte dabei personenbezogene Daten auch Jahre nach Beendigung des Mietverhältnisses. Dies wird als Verstoß gegen den Grundsatz der Datenminimierung und Speicherbegrenzung (Art. 5 DSGVO) gewertet. Demnach dürfen Firmen personenbezogene Daten nur so lange speichern und verarbeiten, wie dies für den Zweck, zu dem sie erhoben wurden, erforderlich ist. Bislang galt die gegen die Online-Bestellplattform Delivery Hero SE verhängte Strafe in Höhe von rund 200.000 Euro als die höchste in Deutschland.

Bußgelder werden deutlich höher
Der europäische Gesetzgeber möchte mit der DSGVO explizit die Anwendung „abschreckender Strafen“ veranlassen. In der DSGVO ist das Bußgeld nach oben auf 20 Millionen Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Millionen Euro bzw. 2 % als Ausnahme für einige bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO). Zuletzt waren im Vergleich mit anderen europäischen Staaten die deutschen Bußgelder viel niedriger angesetzt. Bereits im September 2019 kündigte der Bundesdatenschutzbeauftragte Ulrich Kelber in einem Interview an, es werde bald auch in Deutschland Bußgelder „in Millionenhöhe“ geben, denn die Unternehmen hätten inzwischen Zeit gehabt, ihre Standards beim Datenschutz zu stärken und müssten nun in Deutschland mit härterem Vorgehen der Behörden rechnen.

350 Millionen Euro Bußgelder gegen Google, British Airways, Marriott & Co.
Im Jahr 2019 wurde British Airways mit einer hohen Buße von umgerechnet über 200 Millionen Euro belegt. Grund war ein massiver Datendiebstahl. Ebenfalls im Vereinigten Königreich wurde gegen die Hotelkette Marriott International eine Strafe von rund 100 Millionen Euro verhängt. Grund war diesmal die massenhafte Offenlegung von Kundendaten.

Die französische Aufsichtsbehörde CNIL hatte Anfang des Jahres ein Millionen-Bußgeld gegen den amerikanischen Google-Konzern durchgesetzt. Die Aufsichtsbehörde begründete die Höhe des Bußgelds damit, dass Google massiv gegen die Vorgaben der DSGVO in Bezug auf transparente Datenverarbeitung und die Anforderungen an Einwilligungen als Grundlage zulässiger Datenverarbeitung verstoßen habe.

Der Druck wächst
Aus Sicht des DDI lassen die aktuell verhängten Bußgelder der deutschen Aufsichtsbehörden den direkten Schluss zu, dass man sich in Zukunft an dem hohen Bußgeldniveau der anderen europäischen Staaten orientieren wird. Neben den Aufsichtsbehörden machen spürbar mehr betroffene Personen ihre Rechte geltend. Weiterhin spezialisieren sich eine Vielzahl von Nichtregierungsorganisationen (NGOs) – wie zuletzt im Google Bußgeldverfahren – auf die Abmahnung von Datenschutzverstößen.

 

Bad Homburg, Dezember 2019