von Dipl.-Jur. Niklas Mühleis, LL.M.

Noch bevor die Bestimmungen der Datenschutzgrundverordnung am 25. Mai 2018 wirksam wurden, wurde viel Panik in Bezug auf horrende Bußgelder aufgrund von Datenschutzverstößen verbreitet. Nach rund einem Jahr DSGVO, möchten wir Bilanz über die bisher verhängten Bußgelder ziehen.

Die Rechtsgrundlage für Bußgelder

In das Zentrum der Aufmerksamkeit rückte die DSGVO insbesondere aufgrund der Regelung bezüglich der Verhängung von Bußgeldern gemäß Artikel 83 DSGVO. Dieser sieht einen deutlich höheren Rahmen für Bußgelder vor. So können bei besonders schwerwiegenden Verstößen Geldbußen von bis zu 20 Mio. Euro oder 4% des gesamten weltweiten Jahresumsatzes verhängt werden. Dies stellt eine deutliche Verschärfung gegenüber der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) dar, nach der das Maximalbußgeld sich bislang auf 30.000 € belief.

Deutsche Datenschutzbehörden agieren sehr unterschiedlich

Einer der größten Vorteile, den die DSGVO bringen sollte, war die Etablierung eines einheitlichen Datenschutzstandards innerhalb der Europäischen Union. Wie sich bislang zeigt, hat die Freiheit der Landesdatenschutzbehörden, welche für die Überwachung des Datenschutzes zuständig sind, zur Folge, dass es bereits innerhalb von Deutschland große Unterschiede gibt. Dies zeigt sich zum einen in der Auslegung von Vorschriften der DSGVO, insbesondere jedoch bei der Verhängung von Bußgeldern.

So wurden bislang nur in acht Bundesländern überhaupt Bußgelder verhängt, während die anderen acht Bundesländer, wie beispielsweise Niedersachsen, bislang nur Verwarnungen ausgesprochen haben. Spitzenreiter ist derzeit Nordrhein-Westfalen mit 36 verhängten Bußgeldern. Auf Platz zwei und drei folgen Thüringen und Berlin mit 23 und 18 Geldbußen. Dies kann sich jedoch ggf. in Kürze wieder ändern. Das Bayerische Landesamt für Datenschutz hat zwar bislang noch kein einziges Bußgeld verhängt, jedoch 85 laufende Bußgeldverfahren.

Konkrete Fälle

Dies mag sich zunächst danach anhören, als wenn sich die anfänglichen Befürchtungen realisiert hätten. Blickt man jedoch auf die konkreten Fälle und die verhängten Geldbußen, lässt sich das schnell wieder relativieren. So beträgt die Gesamtsumme der bekannt gewordenen Bußgelder lediglich 483.500 €. Damit sind die deutschen Aufsichtsbehörden selbst mit ihren höchsten Bußgeldern weit von den Summen aus Frankreich (50 Mio. Euro gegen Google) und Portugal (400.000 € gegen ein Krankenhaus) entfernt.

In Deutschland betrifft das höchste bislang verhängte Bußgeld die Veröffentlichung von Gesundheitsdaten im Internet. Die Landesdatenschutzbehörde von Baden-Württemberg ahndete dies mit einer Geldbuße in Höhe von 80.000 €. Eine solche Veröffentlichung verletzt die Grundsätze des Datenschutzes, nach der personenbezogene Daten nicht allgemein zugänglich gemacht werden dürfen. Besonders schwerwiegend bei der Bemessung des Bußgeldes dürfte hierbei ins Gewicht gefallen sein, dass es sich bei Gesundheitsdaten gemäß Artikel 9 Abs. 1 DSGVOum besonders sensible Daten handelt, die entsprechend einen besonderen Schutz genießen.

Die Landesdatenschutzbehörde in Berlin verhängte ein Bußgeld von 50.000 € gegen eine Bank, nachdem diese ohne Befugnis die personenbezogenen Daten ehemaliger Kunden weiterverarbeitet hatte. Mit dem Ende einer Vertragsbeziehung erlischt regelmäßig auch der Zweck der Verarbeitung der Kundendaten, sodass diese grundsätzlich zu löschen sind. Die Offensichtlichkeit des Verstoßes dürfte hier der ausschlaggebende Faktor für die Höhe des Bußgeldes gewesen sein.

Ebenfalls aus Baden-Württemberg kam ein drittes beachtenswertes Bußgeld. Ein soziales Netzwerk, welches sich überwiegend an Kinder und Jugendliche richtet musste 20.000 € zahlen, nachdem es Opfer eines Hackerangriffes geworden war und die personenbezogenen Daten seiner Nutzer im Netz landeten. Dies wäre zwar grundsätzlich nicht zu ahnden gewesen, jedoch hatte das Unternehmen die Daten unverschlüsselt gespeichert. Die Sicherung von Daten muss jedoch gemäß Art. 32 DSGVOimmer dem Stand der Technik entsprechen. Die Verschlüsselung von personenbezogenen Daten ist mittlerweile Standard in der Datenverarbeitung und wird seit Jahren zum Stand der Technik gezählt.

Fazit

Diese und die weitere bekannt gewordenen Fälle zu DSGVO-Bußgeldern (wir berichteten) zeichnen ein eher beruhigendes Bild. Auch wenn die Zahl der Bußgeldverfahren zugenommen hat, ist Deutschland weit von der viel befürchteten „Bußgeldwelle“ entfernt. Die verhängten Bußgelder sind überaus moderat ausgefallen und haben sich zudem an der Größe der betroffenen Unternehmen orientiert. Weiterhin ist festzustellen, dass Bußgeldverfahren immer eine gewisse Vorgeschichte mit sich bringen und zuvor stets eine Kommunikation zwischen den Aufsichtsbehörden und den datenverarbeitenden Stellen stattgefunden hat. Ein Bußgeld, das vollkommen überraschend aus dem Nichts kommt und die gesamte Existenz des Unternehmens gefährdet hat es bislang nicht gegeben und wird es auch auf absehbare Zeit nicht geben. 

Eine Auflistung der europaweit ergangenen Bußgelder finden Sie im Rahmen des Enforcement Trackers der Kollegen von CMS: http://www.enforcementtracker.com