Deutsche Datenschutz-Sünder zahlen 26 Millionen Euro an Bußgeldern

Die EU-Datenschutzgrundverordnung, eingeführt Ende Mai 2018, hat den Umgang mit persönlichen Daten in den Unternehmen grundlegend verändert. Einige mussten aber auch zahlen, weil sie nicht reagierten.

Diese Abkürzung hat sich eingebrannt: DSGVO, die Datenschutzgrundverordnung der Europäischen Union. Ende Mai vor zwei Jahren eingeführt, hat sie zur Änderung von wohl so ziemlich allen wirtschaftlich betriebenen Onlineangeboten geführt, auch Vereine mussten sich nach ihr ausrichten – und zwar so, dass der Schutz, die Archivierung und die Verwendung personenbezogener Daten grundlegend neu geordnet wurde. Die auch in Hamburg beheimatete internationale Wirtschaftskanzlei Taylor Wessing hat nun eine Zweijahresbilanz mit Blick auf die verhängten Strafen bei Verstößen gezogen, die Zahlen liegen WELT vor.

Insgesamt wurden demnach Bußgelder in Höhe von rund 26 Millionen Euro in Deutschland verhängt. Dabei stachen zwei durch die Datenschutzbehörden verhängte Bußgelder heraus, weil sie schon für sich genommen in den Millionenbereich gingen. Die Immobilienfirma Deutsche Wohnen musste 14,5 Millionen Euro bezahlen, der Telefonie- und Online-Anbieter 1&1 war mit 9,55 Millionen Euro dabei. Bekannte „Büßer“ waren auch Delivery Hero mit knapp 200.000 Euro Strafe sowie Facebook mit 51.000 Euro. Der Konzern hatte nicht darüber informiert, dass der Datenschutzbeauftragte ausgetauscht worden war.

Die Spannbreite war insgesamt sehr groß, einige Unternehmen mussten lediglich 200 Euro bezahlen. Und auch unter den Bundesländern gab es nach Auswertung der Kanzlei eine große Spreizung. So gab es in den vergangenen zwei Jahren in Hamburg nur zwei geahndete Verstöße, in Berlin hingegen 46. In ganz Bayern wurde nur ein Fall mit einem Bußgeld beschieden, in Baden-Württemberg 19.

„Die DSGVO hat in den vergangenen zwei Jahren sowohl innerhalb als auch außerhalb Europas große Wirkung entfaltet. Das allgemeine Bewusstsein für Fragen des Datenschutzes ist sowohl auf Managementebene als auch in der Öffentlichkeit gestiegen“, zieht Paul Voigt, Anwalt bei Taylor Wessing und dort auf Datenschutzfragen spezialisiert, eine Bilanz. Weltweit würden strengere Datenschutzgesetze entstehen, beobachtet er. Voigt: „Das Bedürfnis nach Schutz vor übermäßiger Überwachung ist durchaus global.“ Es gebe daher aus seiner Sicht keinen Weg zurück: „Das Datenschutzrecht bleibt ein Begleiter der digitalen Transformation.“ Bezogen auf die gesamte EU sei die Zahl der verhängten Geldbußen auf über 100 Millionen Euro gestiegen.

Die beiden hohen in Deutschland verhängten Bußgelder resultierten aus unterschiedlichen Verstößen gegen die DSGVO. Der Hauptgrund für die gegen Deutsche Wohnen verhängte Geldbuße war die Nichteinhaltung der DSGVO-Anforderungen in Bezug auf „Privacy by Design“ wegen zu langer Datenaufbewahrung. Das Unternehmen verwendete laut der Bußgeldbegründung ein Archivierungssystem, das nicht die Möglichkeit bot, nicht mehr benötigte Daten zu entfernen. In verschiedenen Fällen konnte so auf personenbezogene Daten zugegriffen werden, von denen einige etliche Jahre alt waren, ohne dass diese Daten noch für den Zweck ihrer ursprünglichen Sammlung benötigt wurden.

Der Grund für die gegen 1&1 verhängte Geldbuße war andererseits das Fehlen technischer und organisatorischer Maßnahmen zur Gewährleistung der Informationssicherheit. Nachdem von Anrufern lediglich der Name und das Geburtsdatum zur Kundenidentifikation abgefragt worden waren, stellte die Kundendienstabteilung des Unternehmens diesen Anrufern umfassende Informationen über die betroffenen Kunden zur Verfügung, lautete der Vorwurf. „Werden Spielregeln nicht beherrscht, ist Datenschutz ein Unternehmensrisiko. Solche Bußgelder, aber auch Schadenersatzansprüche von Betroffenen sowie die negative Publicity kann sich kein Unternehmen mehr leisten“, bilanziert Voigt. Während sich die Aufsichtsbehörden zunächst bei der Ausübung ihrer Befugnisse zurückgehalten hätten, sei diese Zurückhaltung mittlerweile passé.

Die „großen Datenkraken“ aus den USA kamen bislang aber mit Ausnahme des Facebook-Urteils nicht in die Fänge der DSGVO-Überwacher. Doch die irische Datenschutzbehörde will das Thema nun angehen, wie Anfang Mai bekannt wurde. Bei dem zu Facebook gehörenden WhatsApp untersucht die Behörde demnach, ob sich der Konzern an die Informationspflichten, die aus den Artikeln 12 bis 14 der DSGVO hervorgehen, gehalten hat. So soll geklärt werden, ob WhatsApp-Nutzer ausreichend transparent darüber aufgeklärt wurden, welche Daten an die Konzernmutter fließen. Die Iren sind deswegen für die großen US-Konzerne zuständig, weil diese ihren Hauptsitz auf der „grünen Insel“ haben. Deutsche Datenschützer hatten die Iren schon seit längerer Zeit zu einer stärkeren Überprüfung ermuntert.

Datenleck
Warum 15 Millionen Nutzer eines Pornoportals bald Post bekommen könnten