SPIEGEL ONLINE

SPIEGEL ONLINE

24. Januar 2019, 22:55 Uhr

DSGVO-Geldstrafen

"Fehler werden jetzt teuer"

Ein Interview von

Bei Verstößen gegen die neuen EU-Datenschutzregeln müssen Firmen künftig mit hohen Geldstrafen rechnen. Baden-Württembergs Datenschutzbeauftragter Stefan Brink erklärt, was Unternehmen erwartet.

In Frankreich soll Google 50 Millionen Euro Strafe zahlen, weil der Konzern gegen die EU-Datenschutz-Grundverordnung (DSGVO) verstoßen haben soll. Es ist das erste Mal, dass eine europäische Behörde einen globalen Internetkonzern in Bezug auf die DSGVO bestraft - auch wenn Google dagegen in Berufung gehen will.

In Deutschland wurden bisher nur vereinzelt Geldstrafen verhängt, doch jetzt scheint auch hierzulande die Schonfrist abgelaufen. Seit die EU-Datenschutzregelung im Mai 2018 zur Anwendung gekommen ist, wurden dem "Handelsblatt" zufolge 41 Bußgelder verhängt, wenn auch nicht in Millionenhöhe wie im Fall von Google.

Stefan Brink, Landesbeauftragter für den Datenschutz in Baden-Württemberg, hatte im November 2018 das bundesweit erste Bußgeld verhängt - es traf damals die Chat-Plattform Knuddels.de. Gegen ein weiteres Unternehmen hat er die bisher höchste Geldstrafe von 80.000 Euro durchgesetzt.

SPIEGEL: Herr Brink, kommt jetzt doch noch die Bußgeldwelle wegen Datenschutz-Verletzungen, die viele Unternehmen im Frühjahr 2018 befürchtet hatten?

Brink: Die Aufsichtsbehörden brauchten ein bisschen Vorlauf, weil solche Verfahren unter drei bis vier Monaten nicht abzuwickeln sind. Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.

SPIEGEL: Wie schwer tun sich die Unternehmen mit der Umstellung?

Brink: Die Datenschutz-Grundverordnung ist ein durchschlagender Erfolg. Es gibt keinen Unternehmer mehr in Deutschland, der nicht von dem neuen Datenschutzrecht gehört hat. Grund dafür sind vor allem die enormen Bußgelddrohungen. Fehler werden jetzt teuer. Umsatzstarke Unternehmen können im Extremfall mit bis zu vier Prozent ihres weltweiten Umsatzes oder mit bis zu 20 Millionen Euro bestraft werden. Schon bevor die DSGVO im Mai 2018 zur Anwendung gekommen ist, hat sich rund ein Drittel der Unternehmen darauf eingestellt, seit dem Stichtag ist ein weiteres Drittel hinzugekommen.

SPIEGEL: Und der Rest?

Viele Unternehmen setzen noch auf Lücke, sie hoffen, dass sie so durchkommen. Es ist unsere Aufgabe als Aufsichtsbehörde, dieses letzte Drittel davon zu überzeugen, dass das nicht nur eine falsche, sondern auch riskante Einschätzung ist.

SPIEGEL: Sie haben deutschlandweit die erste und höchste Strafzahlung verhängt - wollen Sie Unternehmen mit einem besonders harten Vorgehen auf Linie bringen?

Brink: Wir sind nicht darauf aus, den Datenschutz mit dem Mittel des Bußgeldes umzusetzen, sondern in erster Linie mit Beratung, etwa über Gespräche, Vorträge oder Infomaterial. Dass 2018 zwei nennenswerte Bußgeldbescheide verhängt wurden, war nicht unser Ziel. Aber es gibt Verstöße, die sichtbar sanktioniert werden müssen.

SPIEGEL: Wie im Fall der Plattform Knuddels.de?

Brink: Knuddels wurde gehackt, was jedem Unternehmen passieren kann - das alleine hätte noch nicht zu einem Bußgeld geführt. Das Problem war, dass bei Knuddels Passwörter von Nutzern im Klartext entwendet wurden. Eine Speicherung von Passwörtern im Klartext ist ein Datenschutzverstoß, sie müssen normalerweise verhasht werden, also so verfremdet, dass ein Dritter mit den Daten nichts anfangen kann, wenn ihm der Zugriff gelingt.

SPIEGEL: Das Bußgeld fiel mit 20.000 Euro dennoch sehr milde aus. Warum?

Brink: 20.000 Euro sind tatsächlich am unteren Rande dessen, was man der DSGVO zufolge zu erwarten hat. Im Fall von Knuddels war es so, dass sie den Hack bemerkt haben und nicht nur schnell die Betroffenen gewarnt haben, sondern sich auch sehr kooperativ an uns gewandt und Fehler offen gelegt haben. Die Plattform hat auch einen sechsstelligen Betrag in die Verbesserung der Sicherheit investiert, das haben wir bei dem Bußgeld berücksichtigt.

SPIEGEL: Ein anderes Unternehmen musste hingegen 80.000 Euro zahlen. Warum?

Brink: Der Fall war gravierender, da Gesundheitsdaten öffentlich abrufbar waren. Das darf nicht sein. Informationen zu Gesundheit, Krankheiten und Krankheitsverläufen gehören zu den sensibelsten Daten, die wir besitzen.

SPIEGEL: Besteht die Gefahr, dass Unternehmen aus Angst vor hohen Bußgeldern keine Daten-Leaks mehr melden?

Brink: Die Meldungen sind nicht freiwillig, die DSGVO verpflichtet sie dazu - in dem Moment, in dem sie gehackt werden. Wenn wir auf Datenpannen aufmerksam werden, erwartet das Unternehmen nicht nur ein Bußgeld wegen Fehler im Bereich der Datensicherheit. Ihm droht auch ein erhebliches Bußgeld, wenn es nicht dabei geholfen hat, den Schaden zu begrenzen.

SPIEGEL: Wie spüren Sie Datenschutzverstöße auf, wenn Unternehmen sie nicht selbst melden?

Brink: Wir recherchieren im Internet oder kontrollieren vor Ort. Aber es melden sich auch viele Menschen und machen uns auf Probleme aufmerksam. Angestellte beschweren sich etwa über ihren Arbeitgeber. Es können aber auch Kunden, Geschäftspartner oder sogar Konkurrenten sein, die ein Unternehmen anzeigen.

SPIEGEL: Haben die Beschwerden jetzt stark zugenommen?

Brink: Es ist wesentlich mehr an Arbeit geworden. Die Beschwerden sind von 2500 auf 5000 Beschwerden hochgegangen im vergangenen Jahr. Das hat natürlich Konsequenzen für die Bearbeitungszeit der Fälle.

SPIEGEL: Sind die Landesdatenschutzbeauftragten damit überfordert, DSGVO-Verstöße zu ahnden?

Brink: Wir müssen das schaffen. In Deutschland sind wir als Aufsichtsbehörde relativ gut ausgestattet. Andere Stellen in Europa, aber auch in Deutschland haben größere Schwierigkeiten. In Baden-Württemberg gehören wir mit 60 Mitarbeitern zu den größten Aufsichtsbehörden, wir haben sogar eine eigene Bußgeldstelle mit zwei Mitarbeitern eingerichtet. Es gibt allerdings auch kleinere Behörden mit 10 bis 20 Mitarbeitern. Da fällt es schwer, die ganze Bandbreite abzudecken.

SPIEGEL: Google hat in Frankreich Widerspruch gegen die 50-Millionen-Geldstrafe angekündigt. Wehren sich auch deutsche Unternehmen gegen Geldstrafen?

Brink: Knuddels war ein positiver Fall, weil das einvernehmlich ablief. Aber Unternehmen haben das Recht, Rechtsmittel einzulegen, so dass wir auch vor Gericht streiten müssen. Das ist ein enormer Arbeitsaufwand. Es wird zukünftig mit harten Bandagen gekämpft und auch Gerichte müssen lernen, mit ungewöhnlichen Bußgeldhöhen umzugehen. Datenschutz-Vergehen sind keine Kavaliersdelikte, bei denen 120-Euro-Strafen anfallen. Es geht um fünf oder sechsstellige Beträge, in naher Zukunft auch um Bußgelder in Millionenhöhe.

URL:


© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung