Höhere Strafen für DSGVO Verstöße in Deutschland zu erwarten

16 Monate ist die DSGVO (Datenschutzgrundverordnung) in Kraft. In den vergangenen Monaten war es eher still geworden zu diesem Thema. Das hat sich mit den ersten Sanktionen gegen Unternehmen wegen Datenschutz-Verstößen grundlegend geändert. Und glaubt man den zuständigen Behörden in Europa dann sind weitere Strafen bereits in Vorbereitung.

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, hat im September öffentlich angekündigt, dass mit steigenden Bußgeldern bei Verstößen gegen Vorschriften der DSGVO zu rechnen ist. Bislang agierten die Aufsichtsbehörden in Deutschland eher zurückhaltend bei der Höhe der Strafen. Nach den aktuellen DSGVO-Regelungen (Art. 83) sind Bußgelder bis zu einer Höhe von 20 Mio. Euro oder 4% des Jahresumsatzes möglich. Nach den neuen Leitlinien soll die Schwere des Verstoßes berücksichtigt werden – Wiederholungstäter müssen mit erheblichen Sanktionen rechnen.
Eine aktuelle Entscheidung des Europäischen Gerichtshofes (EuGH) setzt Unternehmen zusätzlich unter Druck. Unternehmen dürfen nur dann ein Cookie zu Werbezwecken setzen, wenn eine explizite Einwilligung des Seitenbesuchers vorliegt. Ein bereits vorab angehaktes Auswahlkästchen ist nicht zulässig.

Spitzenreiter bei Bußgeldern in Deutschland ist bislang der Lieferdienst Delivery Hero mit einer Strafe in Höhe von 200.000 Euro. Dem Unternehmen wurden durch die Berliner Datenschutzbeauftragte Maja Smoltczyk gleich eine Vielzahl von DSGVO-Verstößen nachgewiesen. Unter anderem erhielten Kunden trotz Abmeldung immer noch den Newsletter und das Unternehmen beantwortet Anfragen nach gespeicherten Daten gar nicht oder unvollständig. Angesichts eines Jahresumsatzes der Delivery Hero Germany GmbH von knapp 70 Mio. EUR im Jahr 2017 fällt das Bußgeld mit 0,3% relativ knapp aus.

Seit der Einführung der DSGVO haben die Datenschutzbeauftragten der Länder bis Ende Mai 2019 in knapp 100 Fällen Bußgelder verhängt. Insgesamt wurden dadurch Einnahmen in Höhe von annähernd 500.000 Euro erzielt. In Berlin wurden bislang in 29 Fällen Bußgelder erlassen, damit ist dieses Bundesland absoluter Spitzenreiter. Unter anderem war das Fintech-Unternehmen N26 betroffen und wurde mit 50.000 Euro zur Kasse gebeten.

Google wurde in Frankreich durch die französische Datenschutzbehörde CNIL im Januar dieses Jahres zu einer Strafe von 50 Mio. Euro verurteilt. Grund waren schwer verständliche Datenschutz-Informationen, die von zwei französischen Datenschutz-Organisationen moniert wurden. Aktuell sind aus dem gleichen Grund Verfahren gegen Netflix, Apple Music, Amazon Prime und Spotify in Frankreich anhängig. Der Anbieter von digitalen Unternehmensinformationen Bisnode AB musste im April 2019 in Polen 220.000 Euro zahlen, weil es seinen Informationspflichten nicht nachgekommen war. Ebenfalls in Polen zahlte der Online-Shop Morele.net 644.000 Euro, weil durch einen Hackerangriff 2,2 Millionen unzureichend gesicherte Kundendaten abgegriffen werden konnten. Ein Krankenhaus in Lissabon wurde im Oktober 2018 zu einer Strafe von 400.000 Euro verurteilt, denn Patientendaten waren nicht ausreichend gesichert.

In Großbritannien wurde die Fluglinie British Airways im Juli 2019 durch die britische Datenschutz-Behörde ICO zu einer Zahlung von 204 Mio. EUR verurteilt, was 1,5% des Jahresumsatzes entspricht. Durch ein Datenleck bei rund 500.000 Kundendaten wurden Buchungen auf betrügerische Websites umgelenkt. Die Hotelgruppe Mariott musste 110 Mio. Euro zahlen, weil es einen unberechtigten Zugriff auf rund 300 Millionen Kundendaten gab. Insgesamt wird deutlich, dass viele andere europäische Länder die Regelungen der DSGVO enger auslegen und auch vor hohen Bußgeldern nicht zurückschrecken.

Der Bundes-Datenschutzbeauftragte und die Datenschutzbeauftragten der Länder arbeiten an gemeinsamen Leitlinien für Sanktionen gegen DSGVO-Verstöße. Dabei soll erreicht werden, dass die Sanktionen nach einer nachvollziehbaren Regelung erfolgen. Geplant ist nach bisherigen Informationen eine Art „Tagessatz“, der sich auf den Jahresumsatz bezieht. Je nach Schwere des Verstoßes wird dieser Tagessatz dann mit einem Faktor zwischen 1 und 14,4 multipliziert. Die Punktezahl richtet sich nach der Dauer des Verstoßes, die Anzahl der Betroffenen und der Höhe des Schadens.

Berücksichtigt wird auch die Frage, ob Fahrlässigkeit oder Vorsatz vorliegt oder ob bereits früher Strafen verhängt wurden. Strafmildernd soll es sich auswirken, wenn das Unternehmen selbst ein Delikt meldet. Insgesamt dürfte die Folge sein, dass auch kleinere und mittlere Unternehmen bei Verstößen erheblich zur Kasse gebeten werden können. Eine abschließende Beratung der Regelungen soll im November 2019 erfolgen.

Nicht nur der Bundesdatenschutzbeauftragte Kelber geht davon aus, dass es in der Zukunft auch in Deutschland deutlich höhere Bußgelder geben wird. In einem Gespräch mit dem Berliner Tagesspiegel äußerte die Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit im August 2019 die Erwartung, dass Bußgelder mit einem zweistelligen Millionenvolumen denkbar seien. Die Untersuchungen bei einem Berliner Unternehmen hätten bereits begonnen. Namen wurden allerdings noch nicht genannt.

Nach einer aktuellen Studie der Unternehmensberatung absolit hat eine große Anzahl von Unternehmen erheblichen Nachholbedarf. Fast 40% der Unternehmen fragen zu viele Nutzerdaten ab und jedes fünfte Unternehmen verzichtet auf einen Double-Opt-In. Fast die Hälfte der befragten B2B-Unternehmen hat keine rechtskonformen Newsletter.

Es ist erkennbar, dass auch die deutschen Datenschutzbehörden eine härtere Gangart einschlagen werden, um Verstöße gegen die Regelungen der DSGVO zu sanktionieren. Aus diesem Grunde ist es neben anderen Faktoren wichtig, dass die Erhebung von personenbezogenen Daten in den Unternehmen rechtssicher erfolgt. Die ausdrückliche Einwilligung der Nutzer ist dabei eine essentielle Grundlage. Weiterhin muss diese Einwilligung dokumentiert werden und auf Nachfrage müssen die Nutzer erfahren, welche Daten über sie gespeichert wurden. Bei einer großen Menge an Nutzern kann die Flut an Daten unübersichtlich werden und schon drohen Sanktionen.

• Freiwillig: Die Einwilligung muss freiwillig erfolgen – dem Nutzer muss die Wahl bleiben, welche Informationen er preisgibt.
• Information: Der Nutzer muss informiert sein, was mit seinen Daten passiert, wo sie gespeichert werden und wie lange die Speicherung erfolgt.
• Ausdrückliche Zustimmung: Die Zustimmung muss aktiv erfolgen. Eine Einwilligung durch Nutzung der Website reicht in vielen Fällen nicht aus.
• Spezifische Zustimmung: Die Einwilligung der Nutzer muss spezifisch für bestimmte Services erfolgen können. Pauschale Zustimmungen sind nicht rechtssicher.
• Zustimmung vorab: Die Zustimmung muss vorab erfolgen. Wenn die Daten durch die Website bereits vor dem Opt-In erfasst wurden, ist es zu spät.
• Widerspruch einfach möglich: Es muss dem Nutzer einfach möglich sein, die Einwilligung jederzeit zurückziehen zu können. Dabei ist es wichtig, dass der Widerspruch einfach erfolgen kann.
• Dokumentation: Alle Einwilligungen der Nutzer müssen dokumentiert werden. Das Unternehmen hat dabei die Nachweispflicht.

Usercentrics nimmt Unternehmen viele Probleme und Aufgabenstellungen ab, die durch die DSGVO entstanden sind. Dank einer innovativen Softwarelösung ist eine DSGVO-konforme Einwilligung zur Datenverarbeitung problemlos möglich – auch im Design des jeweiligen Kunden. Die Consent Management Plattform (CMP) von Usercentrics unterstützt zudem das IAB Consent Framework, das von vielen Online-Werbeunternehmen unterstützt wird. Informieren Sie sich hier (https://usercentrics.com/de/data-privacy-audit/ oder auf unsere Seite unter Vorteile einer Consent Management Plattform) über die Vorteile dieser einfachen und sicheren Softwarelösung.

• Datenschutzbeauftragte in Deutschland kündigen schärfere Gangart bei DSGVO-Verstößen an.
• Bisher wurden eher geringe Bußgelder in Deutschland verhängt. Spitzenreiter ist Delivery Hero mit 200.000 Euro Strafe.
• Im europäischen Ausland erreichen die Bußgelder schon eine Höhe von bis zu 200 Mio. Euro.
• Die Berliner Datenschutzbeauftragte rechnet bald mit deutlich höheren Strafzahlungen in Deutschland.
• Nach einer aktuellen Studie sind viele Unternehmen immer noch nicht ausreichend auf die DSGVO-Vorschriften vorbereitet.
• Usercentrics bietet DSGVO-konforme Softwarelösung zur Datenverarbeitungs-Einwilligung.