Anfang 2018 ging ein Gespenst um in Europa: Der neue Rechtsrahmen für den Datenschutz – die EU Datenschutz-Grundverordnung (DSGVO) stand vor der Tür, und mit der Anwendbarkeit Ende Mai 2018 kam ein erheblich erweiterter Rahmen für Bußgelder bei Datenschutzverstößen.
Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes drohte Unternehmen bei Nichtbeachtung der neuen Vorschriften. Das führte teilweise zu „Datenschutzpanik“ bei Unternehmen, Führungskräften und Datenschutz-Verantwortlichen. Drei Jahre später kann der Furcht mit Fakten begegnet werden – es gibt erste Erkenntnisse zur Praxis der Aufsichtsbehörden.
Die Bußgelder für Datenschutzverstöße sind nicht lediglich ein theoretisches Risiko: Die Datenschutzbehörden in der EU und in Großbritannien haben seit Ende Mai 2021 in 570 öffentlich bekannten Fällen Bußgelder in einer Gesamthöhe von rund 260 Millionen Euro verhängt. Die tatsächliche Zahl der Bußgeldfälle und die Gesamtsumme liegt höher, denn nicht alle zuständigen Behörden veröffentlichen ihre entsprechenden Entscheidungen. Ein aktueller Bußgeldfall aus Frankreich könnte diese Statistik erheblich verändern – die luxemburgische Aufsichtsbehörde CNDP plant nach Medienberichten, eine Geldbuße in Höhe von 350 Millionen Euro gegen Amazon zu verhängen. Dies wäre nicht nur das höchste Bußgeld unter der DSGVO, sondern würde die Summe aller bisher bekannten Datenschutz-Strafen übersteigen.
Die bisher vorliegenden Daten zeigen aber auch, dass die Folgen unzureichender Datenschutz-Compliance beileibe nicht nur die digitalen Giganten treffen oder Millionenbeträge erreichen. Die beiden niedrigsten Bußgelder belaufen sich auf 28 Euro, eines davon wurde im vergangenen Jahr in Ungarn gegen die irische Niederlassung von Google wegen unerlaubter E-Mail-Werbung verhängt. Ein Bußgeld von 48 Euro traf einen Polizeibeamten in Estland, der für private Zwecke auf personenbezogene Daten in einer polizeilichen Datenbank zugegriffen hatte. Die europäischen Datenschutzbehörden scheinen damit tatsächlich den Willen des Verordnungsgebers umzusetzen, der Verstöße gegen die DSGVO tatsächlich im Regelfall auch mit einer Geldbuße geahndet sehen wolle.
Die Fälle am oberen Ende der Skala sind aus der Presse bekannt: Das bisher höchste Bußgeld in Höhe von 50 Millionen Euro verhängte die französische CNIL gegen Google, auf Platz 2 folgt ein Bußgeld aus Deutschland – 35 Millionen Euro gegen H&M – wegen unzulässiger Überwachung von Beschäftigten. Platz 3 belegt ein Fall der italienischen Behörde Garante, die den Telekommunikationsbieter TIM mit 27 Millionen Euro zur Kasse bat.
Jenseits der Extreme dürften auch Durchschnittswerte für das „High-Level-Risikomanagement“ von Unternehmen interessant sein: Die europaweite Durchschnitts-Datenschutz-Geldbuße liegt bei knapp 500.000 Euro – allerdings mit erheblichen Unterschieden zwischen verschiedenen Branchen. So wurden die höchsten durchschnittlichen Bußgelder in den Bereichen „Hotellerie & Gastronomie“ (rd. 1,4 Millionen Euro) und „Transport & Energie“ (rd. 1,3 Millionen Euro) verhängt. Eine Rolle dabei mag die in diesen Bereichen höhere Zahl von Beschwerden betroffener Personen spielen, die durch Aufsichtsbehörden aufgegriffen und sodann geahndet werden.
Nicht nur bei den Durchschnittswerten, sondern auch bei der Anzahl von Bußgeldfällen und den Bußgeldsummen gibt es zudem erhebliche Unterschiede zwischen den einzelnen europäischen Ländern. So führt die spanische Aufsichtsbehörde AEPD seit Anwendbarkeit der DSGVO im Mai 2018 die Liste der aktivsten Behörden mit weitem Abstand an: Aus Spanien sind 172 Fälle bekannt, auf den nächsten Plätzen folgen Italien (51 Fälle), Rumänien (48 Fälle) und Ungarn (38 Fälle). Aus Deutschland wurden lediglich 17 Fälle erfasst – es ist allerdings bekannt, dass die tatsächliche Zahl höher liegt, weil die insgesamt 17 deutschen Datenschutzbehörden teilweise eine zurückhaltende Veröffentlichungspraxis verfolgen.
Die aktivste Aufsichtsbehörde in Spanien ist aber nicht zugleich der (bußgeldmäßig) strengste Akteur in Europa: Denn die höchsten Durchschnitts-Geldbußen (rund 11 Millionen Euro) wurden von der ICO in Großbritannien verhängt. Die Zahlen aus Großbritannien können für die Statistik weiterhin berücksichtigt werden, weil die Vorschriften der DSGVO auch nach dem Brexit noch als nationales Recht angewandt werden. Auf den nächsten Plätzen der Durchschnittsbußen folgen Frankreich (knapp 4 Millionen Euro), Deutschland (knapp 3 Millionen Euro) und Italien (rd. 1,3 Millionen Euro). Die genannten Länder teilen sich auch die ersten Plätze auf der Top-Liste der Gesamt-Bußgeldsummen, allerdings mit verteilten Rollen: Führend ist dort Italien (rd. 70 Millionen Euro), gefolgt von Frankreich (knapp 55 Millionen Euro), Deutschland (rd. 48 Millionen Euro) und Großbritannien (rd. 44 Millionen Euro).
Diese statistischen Erkenntnisse sind vor allem für europaweit tätige Unternehmen und Unternehmensgruppen relevant. Sie verbinden sich überdies mit einer rechtlichen Erkenntnis: Trotz der durch die DSGVO beabsichtigten Vollharmonisierung des Datenschutzrechts ist kaum ein Bereich nach wie vor so von nationalen Gesetzen und der Praxis der jeweiligen Aufsichtsbehörde(n) geprägt wie die DSGVO-Sanktionen. Dies beruht auf dem Umstand, dass zwar das materielle Datenschutzrecht weitgehend harmonisiert werden konnte – die für die Durchsetzung relevanten Rechtsvorschriften – in Deutschland etwa das Verwaltungs- und Ordnungswidrigkeitenrecht – indes nicht. Zudem variieren Größe, Personalausstattung und weitere für die Behördenpraxis relevante Umstände zwischen den einzelnen Ländern zum Teil erheblich – mit offenkundig sichtbaren Auswirkungen auf das Bußgeldrisiko.
Für die „Compliance-Prioritäten“ von Unternehmen lohnt weiterhin ein Blick auf die Hauptgründe für die Verhängung von DSGVO-Bußgeldern. Die meisten Bußgeldfälle basieren auf einer „unzureichenden Rechtsgrundlage“ für die Verarbeitung personenbezogener Daten. Hintergrund ist der Umstand, dass nach der DSGVO jede Verarbeitung personenbezogener Daten gerechtfertigt werden und entweder aufgrund einer Einwilligung der betroffenen Person oder auf Basis eines gesetzlichen Erlaubnistatbestandes erfolgen muss. Die Gründe für eine unzureichende Rechtsgrundlage können vielfältig sein – gemeinsam ist ihnen aber, dass die datenverarbeitenden Unternehmen jedenfalls nach Auffassung der Aufsichtsbehörden ihre Datenverarbeitung nicht hinreichend rechtssicher gestaltet hatten – eine sorgfältige datenschutzrechtliche Prüfung kann dieses Risiko reduzieren.
Der zweite Hauptauslöser für DSGVO-Bußgelder sind unzureichende technische und organisatorische Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten. Die DSGVO sieht vor, dass Unternehmen personenbezogene Daten v.a. gegen unbefugten Zugriff schützen müssen. Technische Lösungen (wie etwa Rollen- und Berechtigungskonzepte oder IT-Sicherheitsmaßnahmen) spielen hier ebenso eine Rolle wie etwa die laufende Schulung und Sensibilisierung von Beschäftigten. Angesichts der erheblich gestiegenen Cyber-Risiken – in letzter Zeit vermehrt durch „Ransomware-Angriffe“ mit Verschlüsselungssoftware – ist zudem relevant, dass alleine ein IT-Sicherheitsvorfall (oder in der Diktion der DSGVO eine „Verletzung des Schutzes personenbezogener Daten) alleine noch keinen Rechtsverstoß darstellt. Erst wenn gegen die Pflicht zu Anwendung angemessener technischer und organisatorischer Maßnahmen verstoßen wird, führt dies zu einem Bußgeldrisiko.
Last but not least: Unternehmen sind gegenüber Bußgeldbescheiden von Aufsichtsbehörden keinesfalls wehrlos. Verschiedene Fälle – wie etwa das Bußgeld der Berliner Behörde gegen das Immobilienunternehmen Deutsche Wohnen – zeigen, dass Gerichte behördliche Bußgeldbescheide im entsprechenden Verfahren auch aufheben oder (wie im Fall des TK-Anbieters 1&1) erheblich reduzieren können. Auch insoweit kann eine rechtliche Prüfung notwendiger Bestandteil des Risikomanagements in Unternehmen sein.