Deutsche Datenschutzbehörden ziehen die Zügel an
Die Datenschutzkonferenz DSK – der Zusammenschluss der deutschen Datenschutzbehörden – hat sich am 14.10.19 auf ein einheitliches Modell zur Berechnung von Bußgeldern bei Datenschutzverstößen verständigt. Nach Ansicht der DSK gewährleiste das Modell eine systematische, transparente und nachvollziehbare Bußgeldbemessung. Vor allem aber dürften die verhängten Geldstrafen empfindlich steigen, meinen Hauke Hansen und Victoria Johnson von der Kanzlei FPS Rechtsanwälte.
Andere EU-Mitgliedstaaten haben bereits von dem Bußgeldrahmen, den die Datenschutzgrundverordnung (DSGVO) mit ihrer Höchstgrenze von 20 Mio. Euro oder 4% des Jahreskonzernumsatzes ermöglicht, Gebrauch gemacht. In Frankreich wurde gegen Google ein Bußgeld in Höhe von 50 Mio. Euro verhängt. In Großbritannien belegten die Aufsichtsbehörden die Hotelkette Marriott mit einem Bußgeld in Höhe von 110 Mio. Euro und die Fluglinie British Airways sogar mit einem in Höhe von 204 Mio. Euro. Die beiden zuletzt genannten Fälle sind zudem insofern bemerkenswert, als dass die bestraften Unternehmen von Hackern angegriffen wurden. Grund der auferlegten Bußgelder waren die unzureichenden Maßnahmen im Bereich der IT-Sicherheit. Es wurden also die Opfer bestraft.
Das neue DSK-Modell könnte den in Deutschland seit Inkrafttreten der DSGVO immer wieder befürchteten Anstieg von Bußgeldern Wirklichkeit werden lassen. So hat die Berliner Datenschutzbehörde bereits angekündigt, ein Bußgeld im zweistelligen Millionenbereich zu verhängen. Dies würde eine deutliche Verschärfung der Bußgeldpraxis bedeuten, denn bisher bewegten sich die in Deutschland ausgesprochenen Bußgelder lediglich im drei- bis vierstelligen Bereich. Zu den geahndeten Verstößen gehörten neben einer unzureichenden IT-Sicherheit z. B. das Fehlen eines Löschkonzeptes, „zu invasive“ Video-überwachungen oder nicht innerhalb von 72 Stunden gemeldete Datenpannen. Hinzukommen wird noch das nach Ansicht der DSK derzeit datenschutzwidrige Betreiben von Facebook-Fanpages oder der Einsatz von Social-Media-Plugins.
Berechnungsgrundlage
Die neue Berechnung der Bußgelder erfolgt in fünf Schritten:
1. Das Unternehmen, das den Datenschutzverstoß begangen hat, wird zunächst einer von vier Größenklasse zugeordnet. Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen.
2. Im zweiten Schritt bestimmt die Behörde den mittleren Jahresumsatz und anschließend den wirtschaftlichen Grundwert. Letzterer orientiert sich am Tagessatz – also dem mittleren Umsatz dividiert durch 360.
3. Dieser Wert wird multipliziert mit einem Faktor, der die Schwere der Tat widerspiegelt. Die Kategorien reichen von leicht und mittel über schwer bis sehr schwer.
4. Dann wird zwischen formellen und materiellen Verstößen unterschieden. Formelle Verstöße können beispielsweise vorliegen, wenn zwar einerseits die Vorschriften der DSGVO eingehalten werden, andererseits der Dokumentationspflicht der DSGVO jedoch nicht genüge getan wird.
5. Und schließlich wird der ermittelte Wert anhand „täterbezogener und sonstiger noch nicht berücksichtigter Umstände“ angepasst. In diesem Zusammenhang dürften vor allem die Kooperationsbereitschaft und Einsichtsfähigkeit der Unternehmen eine Rolle spielen.
Hinsichtlich des zuletzt genannten Aspektes ist auffällig, dass die Bußgelder bisher sehr unterschiedlich ausfallen. So kam das gehackte soziale Netzwerk Knuddels mit einem Bußgeld von 20 000 Euro sehr glimpflich davon, und es wurde von dem baden-württembergischen Datenschutzbeauftragten sogar für seine Kooperation mit der Datenschutzbehörde gelobt. Der Lieferdienst Delivery Hero hingegen muss für eher kleinere Verstöße – nicht gelöschte Kundendatensätze und unzulässige Werbemails – das bisherige deutsche Rekordbußgeld in Höhe von 195 000 Euro bezahlen; laut Berliner Datenschutzbehörde auch auf Grund von unkooperativen Verhaltens.
Gutes Datenschutzmanagement unabdingbar
Was bedeutet das für die Unternehmen? Sicher ist: Unternehmen müssen spätestens jetzt – 18 Monate nach Inkrafttreten der DSGVO – handeln, um einschneidende Haftungsrisiken zu minimieren. Die Berliner Datenschutzbeauftragte Maja Smoltczyk möchte ihren jüngsten Bußgeldbescheid auch als Warnung verstanden wissen: „Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung ent-falten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement.“ Auch könnten Unternehmen sich, so die Berliner Datenschutzbeauftragte weiter, bei einer hohen Anzahl von Verstößen nicht hinter technischen Fehlern und Mitarbeiterversehen verstecken, wenn von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen sei.
Nach der eingangs erwähnten Ankündigung der Berliner Datenschutzbehörde, höhere Strafen verhängen zu wollen, und dem neuen DSK-Modell ist nun auch in Deutschland mit einem empfindlichen Anstieg von Bußgeldern zu rechnen. Ist ein Unternehmen bereits in den Fokus der Datenschutzbehörden gerückt, muss es abwägen, ob ein kooperatives Verhalten sinnvoll ist oder ob das Unternehmen sich gegen die Anordnungen der Datenschutzbehörde zur Wehr setzen möchte.
ARTIKEL DIESER AUSGABE
Sinnvoller Kompetenzgewinn oder unnötige Detaillierung?
Die europäischen Wettbewerbsbehörden – gerade auch das Bundeskartellamt – wie auch renommierte Experten fordern seit geraumer Zeit eine Anpassung des deutschen Wettbewerbsrechts... mehr
Gesetzesvorhaben stellen die Sanktionspraxis auf den Prüfstand
Eine Vielzahl von Kartellbehörden weltweit gewährt Unternehmen Bußgeldrabatte für Compliance-Bemühungen. Hierzu zählen u. a. die USA, das Vereinigte Königreich und Frankreich.... mehr
Thomas Cook – Gleich mehrere Kanzleien stemmen Töchter-Verkauf
Die Insolvenz des Reisekonzerns Thomas Cook und damit auch dessen deutscher Tochter beschäftigt weiter die Kanzleien. Jetzt ist den vorläufigen Insolvenzverwaltern Julia Kappel-Gnirs,... mehr
Allianz Global Investors legt mit P+P Dachfonds für Afrika auf
Allianz Global Investors (AGI) hat den von der Kreditanstalt für Wiederaufbau (KfW) im Auftrag des Bundesministeriums für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ) initiierten... mehr
Linde trennt sich mit Gleiss Lutz von Teilen der Clean-Energy-Sparte
Der Industriegasehersteller Linde verkauft Unternehmensteile in Skandinavien und Deutschland und setzt dabei auf die Kanzlei Gleiss Lutz. mehr
Lutz Abel eröffnet zum Jahreswechsel ein weiteres Büro
Die Wirtschaftskanzlei Lutz Abel eröffnet Anfang 2020 ein weiteres Büro. mehr
GvW wählt neues Kanzleimanagement
Die Sozietät GvW Graf von Westphalen hat ihr Management neu aufgestellt mehr
Gibson Dunn baut Münchener Litigation-Praxis aus
Gibson Dunn stärkt die Münchener Litigation-Praxis mit einem Neuzugang auf Partnerebene. mehr