DSGVO-Geldstrafen "Fehler werden jetzt teuer"

Bei Verstößen gegen die neuen EU-Datenschutzregeln müssen Firmen künftig mit hohen Geldstrafen rechnen. Baden-Württembergs Datenschutzbeauftragter Stefan Brink erklärt, was Unternehmen erwartet.

Angestellter in seinem Büro
DPA

Angestellter in seinem Büro

Ein Interview von


In Frankreich soll Google 50 Millionen Euro Strafe zahlen, weil der Konzern gegen die EU-Datenschutz-Grundverordnung (DSGVO) verstoßen haben soll. Es ist das erste Mal, dass eine europäische Behörde einen globalen Internetkonzern in Bezug auf die DSGVO bestraft - auch wenn Google dagegen in Berufung gehen will.

In Deutschland wurden bisher nur vereinzelt Geldstrafen verhängt, doch jetzt scheint auch hierzulande die Schonfrist abgelaufen. Seit die EU-Datenschutzregelung im Mai 2018 zur Anwendung gekommen ist, wurden dem "Handelsblatt" zufolge 41 Bußgelder verhängt, wenn auch nicht in Millionenhöhe wie im Fall von Google.

Stefan Brink, Landesbeauftragter für den Datenschutz in Baden-Württemberg, hatte im November 2018 das bundesweit erste Bußgeld verhängt - es traf damals die Chat-Plattform Knuddels.de. Gegen ein weiteres Unternehmen hat er die bisher höchste Geldstrafe von 80.000 Euro durchgesetzt.

SPIEGEL: Herr Brink, kommt jetzt doch noch die Bußgeldwelle wegen Datenschutz-Verletzungen, die viele Unternehmen im Frühjahr 2018 befürchtet hatten?

Brink: Die Aufsichtsbehörden brauchten ein bisschen Vorlauf, weil solche Verfahren unter drei bis vier Monaten nicht abzuwickeln sind. Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.

SPIEGEL: Wie schwer tun sich die Unternehmen mit der Umstellung?

Brink: Die Datenschutz-Grundverordnung ist ein durchschlagender Erfolg. Es gibt keinen Unternehmer mehr in Deutschland, der nicht von dem neuen Datenschutzrecht gehört hat. Grund dafür sind vor allem die enormen Bußgelddrohungen. Fehler werden jetzt teuer. Umsatzstarke Unternehmen können im Extremfall mit bis zu vier Prozent ihres weltweiten Umsatzes oder mit bis zu 20 Millionen Euro bestraft werden. Schon bevor die DSGVO im Mai 2018 zur Anwendung gekommen ist, hat sich rund ein Drittel der Unternehmen darauf eingestellt, seit dem Stichtag ist ein weiteres Drittel hinzugekommen.

SPIEGEL: Und der Rest?

Viele Unternehmen setzen noch auf Lücke, sie hoffen, dass sie so durchkommen. Es ist unsere Aufgabe als Aufsichtsbehörde, dieses letzte Drittel davon zu überzeugen, dass das nicht nur eine falsche, sondern auch riskante Einschätzung ist.

SPIEGEL: Sie haben deutschlandweit die erste und höchste Strafzahlung verhängt - wollen Sie Unternehmen mit einem besonders harten Vorgehen auf Linie bringen?

Brink: Wir sind nicht darauf aus, den Datenschutz mit dem Mittel des Bußgeldes umzusetzen, sondern in erster Linie mit Beratung, etwa über Gespräche, Vorträge oder Infomaterial. Dass 2018 zwei nennenswerte Bußgeldbescheide verhängt wurden, war nicht unser Ziel. Aber es gibt Verstöße, die sichtbar sanktioniert werden müssen.

SPIEGEL: Wie im Fall der Plattform Knuddels.de?

Brink: Knuddels wurde gehackt, was jedem Unternehmen passieren kann - das alleine hätte noch nicht zu einem Bußgeld geführt. Das Problem war, dass bei Knuddels Passwörter von Nutzern im Klartext entwendet wurden. Eine Speicherung von Passwörtern im Klartext ist ein Datenschutzverstoß, sie müssen normalerweise verhasht werden, also so verfremdet, dass ein Dritter mit den Daten nichts anfangen kann, wenn ihm der Zugriff gelingt.

SPIEGEL: Das Bußgeld fiel mit 20.000 Euro dennoch sehr milde aus. Warum?

Brink: 20.000 Euro sind tatsächlich am unteren Rande dessen, was man der DSGVO zufolge zu erwarten hat. Im Fall von Knuddels war es so, dass sie den Hack bemerkt haben und nicht nur schnell die Betroffenen gewarnt haben, sondern sich auch sehr kooperativ an uns gewandt und Fehler offen gelegt haben. Die Plattform hat auch einen sechsstelligen Betrag in die Verbesserung der Sicherheit investiert, das haben wir bei dem Bußgeld berücksichtigt.

SPIEGEL: Ein anderes Unternehmen musste hingegen 80.000 Euro zahlen. Warum?

Brink: Der Fall war gravierender, da Gesundheitsdaten öffentlich abrufbar waren. Das darf nicht sein. Informationen zu Gesundheit, Krankheiten und Krankheitsverläufen gehören zu den sensibelsten Daten, die wir besitzen.

SPIEGEL: Besteht die Gefahr, dass Unternehmen aus Angst vor hohen Bußgeldern keine Daten-Leaks mehr melden?

Brink: Die Meldungen sind nicht freiwillig, die DSGVO verpflichtet sie dazu - in dem Moment, in dem sie gehackt werden. Wenn wir auf Datenpannen aufmerksam werden, erwartet das Unternehmen nicht nur ein Bußgeld wegen Fehler im Bereich der Datensicherheit. Ihm droht auch ein erhebliches Bußgeld, wenn es nicht dabei geholfen hat, den Schaden zu begrenzen.

SPIEGEL: Wie spüren Sie Datenschutzverstöße auf, wenn Unternehmen sie nicht selbst melden?

Brink: Wir recherchieren im Internet oder kontrollieren vor Ort. Aber es melden sich auch viele Menschen und machen uns auf Probleme aufmerksam. Angestellte beschweren sich etwa über ihren Arbeitgeber. Es können aber auch Kunden, Geschäftspartner oder sogar Konkurrenten sein, die ein Unternehmen anzeigen.

SPIEGEL: Haben die Beschwerden jetzt stark zugenommen?

Brink: Es ist wesentlich mehr an Arbeit geworden. Die Beschwerden sind von 2500 auf 5000 Beschwerden hochgegangen im vergangenen Jahr. Das hat natürlich Konsequenzen für die Bearbeitungszeit der Fälle.

SPIEGEL: Sind die Landesdatenschutzbeauftragten damit überfordert, DSGVO-Verstöße zu ahnden?

Brink: Wir müssen das schaffen. In Deutschland sind wir als Aufsichtsbehörde relativ gut ausgestattet. Andere Stellen in Europa, aber auch in Deutschland haben größere Schwierigkeiten. In Baden-Württemberg gehören wir mit 60 Mitarbeitern zu den größten Aufsichtsbehörden, wir haben sogar eine eigene Bußgeldstelle mit zwei Mitarbeitern eingerichtet. Es gibt allerdings auch kleinere Behörden mit 10 bis 20 Mitarbeitern. Da fällt es schwer, die ganze Bandbreite abzudecken.

SPIEGEL: Google hat in Frankreich Widerspruch gegen die 50-Millionen-Geldstrafe angekündigt. Wehren sich auch deutsche Unternehmen gegen Geldstrafen?

Brink: Knuddels war ein positiver Fall, weil das einvernehmlich ablief. Aber Unternehmen haben das Recht, Rechtsmittel einzulegen, so dass wir auch vor Gericht streiten müssen. Das ist ein enormer Arbeitsaufwand. Es wird zukünftig mit harten Bandagen gekämpft und auch Gerichte müssen lernen, mit ungewöhnlichen Bußgeldhöhen umzugehen. Datenschutz-Vergehen sind keine Kavaliersdelikte, bei denen 120-Euro-Strafen anfallen. Es geht um fünf oder sechsstellige Beträge, in naher Zukunft auch um Bußgelder in Millionenhöhe.



insgesamt 37 Beiträge
Alle Kommentare öffnen
Seite 1
Mertrager 24.01.2019
1. Schöne Worte
Und doch wird man den Verdacht nicht los, dasz diese zusätzliche Einnahmequelle willkommen ist und entsprechend ausgeschlachtet wird. Sehen wir uns doch die vielen Millionnen an, die durch Bußgelder bzgl. der Bilanz-Meldepflicht reinkommen. Dieses Instrument hat die EU „erzwungen“. Es erleichtert großen Firmen, die kleinen aufzukaufen. Wegen geringster Verstöße gegen die Meldepflicht werden tausende € als Strafen aufgerufen. Die Strafen sind oft völlig unverhältnismäßig und nehmen keinen Bezug zur Leistungsfähigkeit der Firma. Erlass- oder Ermäßigungsanträge werden immer abgelehnt, obwohl dieses Instrument vorgesehen ist.- Schöne Worte eben.
masderr 25.01.2019
2. Dieses Gesetz
ist wieder ein Zeichen dafür, dass unsere Politik den Realitätssinn verloren hat und mit dem normalen Bürger bzw. dem kleinen Selbstständigen nichts mehr zu tun hat. Für Konzerne, welche sich hauptsächlich auf das Sammeln von Daten verstehen, mag es ja sinnvoll sein. Der kleine Handwerksbetrieb nebenan oder die Zahnärztin um die Ecke müssen einen riesen Aufwand betreiben und können sich kaum auf ihr eigentliches Gewerbe konzentrieren. Dann kommen da noch solche Abmahnvereine, die nur damit beschäftigt sind diesen Leuten noch weitere Nerven und Geld zu kosten.
dipl-ing 25.01.2019
3.
Das Einzige, was die Datenschützer geschaffen haben, ist eine massive Verunsicherung bei den Firmen und Organisationen, die einfach nur ihre Arbeit machen und die Daten anderer Menschen zum Schreiben der Rechnung an diese benötigen. Die wahren Datenkraken sind davon nicht betroffen. Aber irgendwie müssen die Selbständigen und Kleinunternehmer ja beschäftigt werden und bei Verstößen dürfen diese dann für das Gehalt dieser “Datenschützer” aufkommen.
ey-du-alex 25.01.2019
4. Warum nur die Firmen?
Aus persönlicher Erfahrung: Ämter (in diesem Fall ein Jobcenter) gehen sehr lax mit der DSGVO um. Leider wird es grade trotz eindeutiger Verstöße auch vom BfDI geschützt und eine Anzeige wurde ebefalls nicht weiter verfolgt und wegen fehlender Strafwürdigkeit abgewiesen. Es ist zum Fremdschämen, wenn bei Staatsorganen nicht nur ein Auge zugedrückt wird, während Unternehmen sich besser bemühen sollten die DSGVO bis ins kleinste Detail korrekt umzusetzen. "Mit gutem Beispiel voran!" ist eben kein Spruch mehr der auf Deutschland zutrifft.
Leser161 25.01.2019
5. Formalitäten
Ich bin für Datenschutz und begrüsse die DSGVO. Aber die DSGVO an sich ist nur der Anfang, weil nicht gut gemacht: Zum Einhalten der DSGVO müssen gewisse Formalien erfüllt werden. Nach dem Erfüllen dieser Formalien kann man prinzipiell so arbeiten wie vorher. Da es zusätzlich kein DSGVO-"TÜV" gibt weiss ein Unternehmen erst ob es korrekt arbeitet wenn es eine Überprüfung gab. Das ist für die Unternehmen ärgerlich und für die Bürger. Denn es gibt keine Sicherheit und was nützt eine Verordnung die keine Sicherheit bringt, dann hätte man es so lassen können. Desweiteren verhindert die DSGVO nur den Datenmissbrauch von vor Jahrzehnten, nämlich Cold Calls. Aktuelle Themen wie Profiling kommen nur sehr kurz vor. Man muss halt kurz angeben das man profilt. Das Profiling selbst ist keinen Einschränkungen unterworfen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.