Bußgeldpraxis der deutschen Datenschutzbehörden

Von Tim Wybitul

Vor Inkrafttreten der DSGVO haben viele Unternehmen befürchtet, bei Datenschutzverstößen zukünftig mit Bußgeldern in Millionen- oder gar Milliardenhöhe rechnen zu müssen. Zumindest in Deutschland scheint sich diese Befürchtung auf den ersten Blick jedenfalls bislang noch nicht bewahrheitet zu haben. Grund zur Entwarnung besteht allerdings dennoch nicht.

Wie hoch waren die bisher von Deutschen Behörden verhängten Bußgelder?

Bislang vertreten die deutschen Datenschutzbehörden bei der Verhängung von Bußgeldern wegen Datenschutzverstößen noch keinen einheitlichen Ansatz. So sind von manchen Datenschutzbehörden – wie etwa dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) – bisher noch keine verhängten Bußgelder bekannt geworden. Insgesamt überwiegen bislang eher niedrige Bußgelder. Beispielsweise hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) kürzlich gegen eine Online-Bank ein Bußgeld von EUR 50.000 verhängt. Die Bank hatte unberechtigt eine „schwarze Liste“ mit Daten ehemaliger Kunden geführt.

Das bislang offenbar höchste DSGVO-Bußgeld wurde vom Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg verhängt. Es betrug EUR 80.000. In diesem Fall hatte ein Verantwortlicher versehentlich personenbezogene Gesundheitsdaten in einer Publikation im Internet veröffentlicht.

Werden die Datenschutzbehörden in Zukunft höhere Bußgelder verhängen?

Es überrascht nicht, dass die deutschen Datenschutzbehörden bisher eher niedrige Bußgelder verhängt haben. Zum einen haben die deutschen Datenschutzbehörden auch in der Vergangenheit – vor Inkrafttreten der DSGVO – nur recht zurückhaltend Bußgelder verhängt. Zum anderen dürften sich die Behörden bislang überwiegend auf einfacher gelagerte Verstöße konzentriert haben, in denen sie mit den Verantwortlichen eine einvernehmliche Lösung finden konnten. Komplexe und streitige Bußgeldverfahren dürften dagegen in der Regel sehr viel zeitaufwändiger sein. Dazu kommt, dass bei Datenschutzbehörden auch die hierfür benötigten personellen Kapazitäten begrenzt sind. Es bleibt daher abzuwarten, wie deutsche Datenschutzbehörden mit schweren Verstößen umgehen werden.

Äußerungen von verschiedenen Datenschutzbehörden legen nahe, dass Bußgelder zukünftig höher ausfallen könnten. Beispielsweise hat Stefan Brink, LfDI Baden-Württemberg, kürzlich in einem Interview erläutert:

„Die Aufsichtsbehörden brauchten ein bisschen Vorlauf, weil solche Verfahren unter drei bis vier Monaten nicht abzuwickeln sind. Jetzt werden Bußgelder regelmäßiger verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.“

Ähnlich hat sich auch der für öffentliche Stellen zuständige bayerische Landesbeauftragte für den Datenschutz, Stefan Petri, geäußert. Derzeit gelte für öffentlich geführte Unternehmen (z.B. Kliniken oder Stadtwerke) noch eine Schonfrist. In Zukunft werde seine Behörde – vor allem bei strukturellen Datenschutzverstößen – aber „hinlangen“ und hohe Bußgelder verhängen.

Diese Aussagen der Datenschutzbehörden könnten auch mit der teilweise deutlich strikteren Bußgeldpraxis anderer Behörden zusammenhängen. So hatte die französische Datenschutzbehörde CNIL bereits ein Bußgeld in Höhe von 50 Millionen Euro und die italienische Datenschutzbehörde ein Bußgeld von 2 Millionen Euro verhängt.

Schlussfolgerung für die Unternehmenspraxis

Dass die deutschen Datenschutzbehörden bisher eher moderate Bußgelder verhängt haben, ist noch kein Grund zur Entwarnung. Unternehmen sollten sich in Zukunft nicht auf die Nachsicht von Behörden verlassen. Insbesondere bei systematischen bzw. organisatorischen Datenschutzmängeln dürften in Zukunft häufiger hohe Bußgelder drohen.

Auf der anderen Seite sollten Unternehmen auch nicht überreagieren. Denn die deutschen Datenschutzbehörden verfolgen in erster Linie das Ziel, auf ein höheres Datenschutzniveau hinzuwirken. Zu diesem Zweck können Behörden auch Verwarnungen aussprechen und Ratschläge erteilen. Nimmt ein Unternehmen diese ernst und verbessert seine Datenschutzstrukturen, kann dies von der zuständigen Datenschutzbehörde durchaus positiv berücksichtigt werden. Dies hat ein Bußgeldverfahren gegen eine von Latham & Watkins vertretene Social Media-Plattform bestätigt. Hier hat die Behörde aufgrund der umfassenden und transparenten Kooperation des Unternehmens ein mildes Bußgeld verhängt. Dazu der LfDI Baden-Württemberg:

Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer. Kooperation mit der Aufsicht kann also die Folgen von Fehlern glimpflich gestalten. Die Devise bei den Aufsichtsbehörden lautet daher eher »Zuckerbrot und Peitsche« – und nicht »Datenschützer gnadenlos«.

Empfehlungen für die Praxis

Unternehmen sind gut beraten, sich auf den möglichen Ernstfall vorzubereiten. Einen Überblick über mögliche Maßnahmen zur effektiven Vorbereitung auf Beschwerden oder Ermittlungen von Datenschutzbehörden finden Sie hier.