DSGVO: wie teuer Lücken beim Datenschutz werden können

Magazinartikel DSGVO Bußgeldkatalog

In der Vergangenheit wurde der Datenschutz oft stiefmütterlich behandelt. Doch noch heute, zwei Jahre nach finalem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), gibt es einiges nachzuholen. Davon zeugen nicht zuletzt verhängte Bußgelder in Millionenhöhe.

In der Unternehmenswelt mag das finale Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 vieles ausgelöst haben. Begeisterung gehörte aber eher nicht dazu. Zwar gab es zumindest noch eine zweijährige Übergangsfrist. Doch wie sich zeigen sollte, reichte selbst die nicht aus, um Daten gesetzeskonform zu schützen. Im Gegenteil: Hatte es in den verbleibenden Monaten des Jahrs 2018 zunächst 40 Bußgeldverfahren wegen Datenschutzverstößen gegeben, so verfünffachte sich die Zahl der Bußgeldverfahren im Folgejahr 2019 auf 187. 

Millionenschwere Bußgelder wegen Verstößen gegen den Datenschutz 

Solche Werte legen auch nahe, dass die Landesdatenschutzbehörden die Verordnung mittlerweile stärker verinnerlicht haben und sie deshalb effektiver umsetzen können. Und die deutsche Rekordstrafe von 14,5 Millionen Euro für einen Berliner Immobilienkonzern zeigt: Der Bußgeldkatalog der DSGVO findet konsequent Anwendung. Bei besonders gravierenden Versäumnissen – aufgelistet in Artikel 83 Absatz 5 – sieht er Strafzahlungen von bis zu 20 Millionen Euro oder sogar von vier Prozent des weltweiten Vorjahresumsatzes vor. Dabei gilt stets: Der höhere Wert entscheidet. Entsprechen diese vier Prozent des Umsatzes also beispielsweise einem Wert von 19 Millionen Euro, zahlt der Datenschutzsünder dennoch 20 Millionen Euro. 

Auch Daten löschen ist Datenschutz

Im Fall des Immobilienkonzerns reichte das Vergehen offenbar nicht ganz für das Maximal-Bußgeld. Hier lagen im Archivsystem die berühmt-berüchtigten Karteileichen – personenbezogene Daten, die das Unternehmen für seine Arbeit nicht mehr brauchte. Sie zu löschen, war im System allerdings schlichtweg nicht möglich. Das ist insbesondere ein Verstoß gegen Artikel 5 der DSGVO, der unter anderem eine Speicherbegrenzung vorschreibt. 
Konkret heißt es darin: 

„Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (…).“
Artikel 5 DSGVO, Absatz 1

Gegen diesen Grundsatz verstieß auch ein Unternehmen aus Niedersachsen. Dieses hatte Personalakten unnötig lange aufbewahrt, obendrein aber noch beim Personalauswahlverfahren Gesundheitsdaten erhoben. Das wiederum ist laut Artikel 9 der DSGVO verboten, der sich der „Verarbeitung besonderer Kategorien personenbezogener Daten“ annimmt. Die Höhe des Bußgelds betrug insgesamt 294.000 Euro. 

Bei einer Berliner Online-Plattform erwies sich die Sache mit dem Datensammeln und -löschen als noch ein wenig komplexer: Denn dort ließ man Anfragen von Betroffenen ungehört verhallen. Wer Daten verarbeitet, muss sich dafür nicht nur die Einwilligung der Nutzer holen (Artikel 6). Er muss diese Einwilligung nach Artikel 7 der DSGVO auch nachweisen können und den Nutzern die Möglichkeit einräumen, sie zu widerrufen. Das Berliner Unternehmen ignorierte die Anfragen seiner User bezüglich Löschung und Widerruf. Das in Artikel 15 beschriebene „Auskunftsrecht der betroffenen Personen“ wollte es ebenfalls nicht einräumen. Diese Hartnäckigkeit kostete das Unternehmen am Ende knapp 200.000 Euro.     

Sichere Daten sind ein absolutes Muss 

Wer personenbezogene Daten rechtmäßig sammelt und im System behält, ist in Sachen DSGVO zweifellos auf einem guten Weg. Aber der führt schnell in eine Sackgasse, wenn man diese sensible Ressource nicht angemessen schützt. Ein großer deutscher Internetdienstanbieter etwa versäumte es, die in Artikel 32 der DSGVO vorgesehenen „geeigneten technischen und organisatorischen Maßnahmen“ für ein „dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Durch eine Sicherheitslücke gelangten Kundendaten aus dem Call Center an Dritte. Dafür gab es eine Geldstrafe von 9,55 Millionen Euro. Damit kommt die Firma aber noch nicht annähernd an die Summe heran, die eine britische Airline 2019 zahlen musste. Weil ihr Buchungssystem nicht sicher war, gingen die Daten von Kunden an Kriminelle – und damit über 200 Millionen Euro an die Aufsichtsbehörde. Bislang war das europaweit die höchste Geldstrafe.

Weitaus glimpflicher kam ein IKT-Unternehmen davon. Dieses hatte zwar kein Datenleck, jedoch eine ganz zentrale, in Artikel 37 geregelte organisatorische Maßnahme nicht ergriffen: die Bereitstellung eines Datenschutzbeauftragten. Das verhängte Bußgeld lag bei 10.000 Euro. 

Schlechte Technik und Organisation als Hauptgründe für Verstöße gegen den Datenschutz 

Das Versäumnis, einen Datenschutzbeauftragten zu benennen, spielt in der EU-weiten Bußgeldstatistik auf enforcementtracker.com eine allenfalls untergeordnete Rolle. So schlagen dafür seit 2018 nur drei Strafen im Gesamtwert von 111.000 Euro zu Buche. Spitzenreiter im Ranking sind die Verstöße durch unzureichende technische und organisatorische Maßnahmen. Die Summe der verhängten Strafen umfasst knapp 333 Millionen Euro – bei „lediglich“ 63 Fällen. Mit einigem Abstand folgen die 103 Vergehen, bei denen die rechtlichen Grundlagen für die Datenverarbeitung nicht ausreichten. Sie verursachten – Stand Mai 2020 – Bußgelder von fast 111 Millionen Euro. Das Delikt der „Nichteinhaltung der allgemeinen Bestimmungen zur Datenverarbeitung“ zählt 40 verhängte Strafen in einem Umfang von knapp über 16 Millionen Euro. Etwa 90 Prozent dieser Summe gehen auf das Konto des Berliner Immobilienunternehmens, dessen Archivsystem keine Datenlöschung erlaubte. 

Im Ländervergleich belegt Deutschland mit verhängten Bußgeldern in Höhe von über 25 Millionen Euro Platz vier von zehn. Zugrunde liegen hier 25 Einzelstrafen – der zweithöchste Wert in der EU. Die meisten Fälle ahndeten spanische Behörden. Allerdings summieren sich die 80 Strafen zu lediglich 2,5 Millionen Euro. Unangefochtener Spitzenreiter, was die Gesamtsumme der Bußgelder angeht, ist mit dem Vereinigten Königreich ein Land, das die Europäische Union bereits verlassen hat. Hier kosteten DSGVO-Verstöße über 315 Millionen Euro. Das Bemerkenswerte: Der Betrag verteilt sich auf ganze drei Fälle – die Airline-Rekordbuße hat also ihre Spuren hinterlassen.

 

Die höchsten Datenschutzbußgelder in Deutschland

Quelle: enforcementtracker.com
Branchen Vergehen Summe
Immobilienwirtschaft Nichteinhaltung der allgemeinen Bestimmungen zur Datenverarbeitung 14,5 Mio. Euro
IKT Unzureichende technische und organisatorische Maßnahmen 9,55 Mio. Euro
Unbekannt Nichteinhaltung der allgemeinen Bestimmungen zur Datenverarbeitung 294.000 Euro
E-Commerce Unzureichende Einhaltung des Betroffenenrechts 195.407 Euro
Krankenhäuser Unzureichende technische und organisatorische Maßnahmen 105.000 Euro

Sichere Daten, wachsende Wirtschaft?

Es ist derzeit nicht ganz unwahrscheinlich, dass Deutschland in der DSGVO-Bußgeldstatistik weiter nach oben klettern wird. So hat Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), bereits angekündigt, schärfer gegen DSGVO-Verstöße vorzugehen und besonders größere Konzerne in die Pflicht zu nehmen. Große Unternehmen zahlen für gewöhnlich auch höhere Strafen. 

Zu diesem Gedanken passt das neue Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). Dieses sieht auch vor, Bußgelder konsequent am Umsatz auszurichten. Glaubt man einer Bitkom-Umfrage vom September 2019, dann hat die Wirtschaft die Signale jedoch längst verstanden. Demnach haben 67 Prozent der deutschen Unternehmen die DSGVO größtenteils umgesetzt. Und das könnte sie am Ende nicht nur vor Bußgeldern bewahren. Jedenfalls sieht BfDI Kelber im verantwortungsvollen Umgang mit Kunden- und Mitarbeiterdaten auch einen Mehrwert für die Konkurrenzfähigkeit.
 

„Die DSGVO ist Benchmark für einen der größten Wirtschaftsräume und setzt darüber hinaus auch zunehmend den internationalen Standard. Wer hier gut aufgestellt ist, der profitiert nicht nur innerhalb der EU, sondern weltweit.“
Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (Gastbeitrag im Handelsblatt, November 2019)
Expertentipp DSGVO
Expertentipp DSGVO
Digital Arbeiten

DSGVO – die Unsicherheit in den Unternehmen ist recht hoch

Digitale Transformation

Digitale Souveränität: Wo ist sie besonders wichtig?

Digital souverän agieren zu können, bedeutet, im digitalen Raum selbstbestimmt handeln und entscheiden zu können. Wir erläutern, in welchen Bereichen dies besonders gefragt ist.

Digitale Sicherheit

Der Datentreuhänder als neutrale Schutzinstanz

Forschungseinrichtungen sollen pseudonymisierte Daten aus Patientenakten nutzen dürfen. Aber wie ist sichergestellt, dass die Daten sicher an einen berechtigten Forscher vermittelt werden?