Erste Bußgelder durch Aufsichtsbehörden wegen Verstößen gegen die DSGVO

Die Datenschutzgrundverordnung (DSGVO) sieht im Vergleich zum alten Datenschutzrecht eine signifikante Erhöhung der Bußgelder bei Gesetzesverstößen vor. Es können Bußgelder von bis zu 20 Millionen Euro oder in Höhe von 4 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem was höher ist (Art. 83 Abs. 5 DSGVO). In den ersten Monaten nach der Einführung der DSGVO im Mai 2018 blieb es diesbezüglich aber recht ruhig. Nun ändert sich das jedoch.

50 Millionen EUR Bußgeld für Google LLC

Mittlerweile verhängen die Aufsichtsbehörden vermehrt Bußgelder. Besonders herauszuheben ist hierbei das am 21. Januar 2019 von der der französischen Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) verhängte Bußgeld in Höhe von 50 Millionen Euro gegen Google LLC. Diese stellte mehrere datenschutzrechtliche Verstöße bei Google fest. In der Bekanntmachung auf ihrer Website führt CNIL als Begründung aus, Google komme seinen Informationspflichten gegenüber seinen Benutzern nicht ordnungsgemäß nach und stelle die Verarbeitungsprozesse nicht transparent genug dar. Zudem seien die Einwilligungserklärungen für die Benutzer zur Datennutzung für personalisierte Werbung nicht wirksam eingeholt worden. Die Benutzer würden zuvor nicht ausreichend informiert, außerdem würden die Einwilligungen nicht ausreichend zwischen den einzelnen Verarbeitungsvorgängen unterscheiden.

Als Gründe für die Höhe des Bußgeldes führt CNIL im Wesentlichen an, dass es sich um einen dauerhaften Verstoß handele, der (zumindest bis zur Entscheidung des CNIL) andauere. Erschwerend komme hinzu, dass es sich um eine riesige Datenmenge handelt, die eine Vielzahl von Dienstleistungen betrifft und für die nahezu endlose Kombinationsmöglichkeiten bestehen. Durch die große Verbreitung des Google-Betriebssystems Android seien von diesem Datenschutzverstoß eine Vielzahl von Menschen betroffen. Das gegen Google verhängte Bußgeld verdeutlicht, welch einschneidende Sanktionsmittel die Aufsichtsbehörden nach dem neuen Recht zur Verfügung haben, aber auch welche Kriterien bei der Bußgeldfestsetzung berücksichtigt werden. 

20.000 EUR Bußgeld für „Knuddels.de“

Auch in Deutschland werden mittlerweile vermehrt Bußgelder verhängt. Im November 2018 hatte der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg bereits ein Bußgeld in Höhe von 20.000 EUR gegen das Chatportal „Knuddels.de“ verhängt. Das Unternehmen war im Sommer 2018 Opfer eines Hackerangriffs geworden, bei dem die Hacker personenbezogene Daten erbeutet hatten. Dies war u.a. deswegen möglich, da die Passwörter der Kunden im Klartext auf dem Unternehmerserver gespeichert waren. Hinzu war gekommen, dass Knuddels es versäumt hatte, rechtzeitig die neue Version des Betriebssystems aufzuspielen.

Im Gegensatz zum jetzigen Verfahren in Frankreich gegen Google blieb die Summe jedoch recht gering. Grund hierfür war laut dem LfDI, dass das Unternehmen gut mit der Aufsichtsbehörde kooperiert und sich um schnelle und vollständige Aufklärung bemüht habe. Auch habe das Unternehmen selbst erhebliche wirtschaftliche Nachteile durch diese Datenpanne erlitten. Eine ähnliche Argumentation könnte auch im Bußgeldverfahren gegen Google Berücksichtigung gefunden haben, allerdings zu Lasten von Google. Je mehr Daten Google sammelt und speichert (im vorliegenden Fall unrechtmäßig), desto mehr profitiert das Unternehmen wirtschaftlich davon. CNIL erklärte, dass Googles Geschäftsmodell zumindest teilweise auf der Personalisierung von Werbung beruhe und deswegen die Einhaltung der Datenschutzgesetze höchste Priorität haben müsse. 

Bußgeldverfahren in Deutschland

Insgesamt haben die deutschen Aufsichtsbehörden laut einer Umfrage des Handelsblattes bis Mitte Januar 2019 41 Bußgelder verhängt. Eine Vielzahl von weiteren Verfahren laufe allerdings. Das bisher höchste Bußgeld in Deutschland beträgt 80.000 EUR. In diesem Fall waren Gesundheitsdaten, also sensible und besonders zu schützende personenbezogene Daten, öffentlich abrufbar gewesen.

Oft werden die Bußgeldverfahren von Beschwerden von Betroffenen – vor allem unzufriedene Mitarbeiter oder Kunden - bei den Behörden angestoßen. Zudem müssen Datenpannen von der verantwortlichen Stelle gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Daraus kann sich im Anschluss ebenfalls ein Bußgeldverfahren entwickeln. Wettbewerber beobachten ihre Konkurrenten ebenfalls und melden sie auch den Behörden. Nicht zu vernachlässigen sind zudem die Kontrollbefugnisse der Aufsichtsbehörden. Die Behörden haben verschiedene Instrumentarien in der Hand, um verantwortliche Stellen aktiv zu überprüfen. Dies umfasst u.a. den Zugang zu Räumlichkeiten, einschließlich Datenverarbeitungsanlagen und -geräten (Art. 58 Abs. 1 f) DSGVO). 

Manche Landesdatenaufsichtsbehörden äußern sich insgesamt noch recht zurückhaltend bezüglich der Verhängung von Bußgeldern. Allerdings sollten sich Unternehmen nicht darauf verlassen. Sie sollten die nun öffentlich gewordenen Bußgelder vielmehr zum Anlass nehmen, ihr bisheriges Datenschutzkonzept weiterhin in regelmäßigen Abständen zu überprüfen und, falls notwendig, anzupassen. Sollte es trotzdem zu einer Datenpanne kommen, ist zu berücksichtigen, dass die Aufsichtsbehörden kooperatives Verhalten und spürbaren Aufklärungswillen seitens der verantwortlichen Stelle honorieren.