Schonfrist abgelaufen – erste DSGVO-Bußgelder

Vor Kurzem wurde bekannt, dass die französische Datenschutzbehörde gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt hat.

Auch hierzulande sind die ersten Sanktionen der Datenschutzbehörden gegen Firmen, denen Verstöße gegen die DSGVO nachgewiesen wurden, bekannt geworden. So wurde z. B. ein bekannter Betreiber einer Online-Dating-Plattform zur Zahlung eines Bußgeldes von 20.000 Euro verurteilt, ein Wert, der im ersten Moment recht hoch erscheint, de facto jedoch eher am unteren Ende möglicher Bußgelder angesiedelt ist. Hintergrund des Bußgelds war ein Hackerangriff auf die Datenbanken der Online-Dating-Plattform und insbesondere das Versäumnis, dass die Passwörter der Nutzer nicht verschlüsselt wurden. Vielmehr wurden die Passwörter unverändert im Klartext in den Datenbanken des Unternehmens gespeichert, was als eindeutiger Datenschutzverstoß zu qualifizieren ist. Dass angesichts dieses eindeutigen und gravierenden Verstoßes kein höheres Bußgeld verhängt wurde, lässt sich auf den hohen Grad der Kooperation und massiver nachträglicher Investitionen des Unternehmens in den Datenschutz zurückführen.

In diesem Zusammenhang stellt der Datenschutzbeauftragte Baden-Württembergs in einem Interview mit Spiegel Online klar, dass die Datenschutzbehörden grundsätzlich in erster Linie mit Beratung, etwa über Gespräche, Vorträge oder Infomaterial die Umsetzung des Datenschutzes betreiben würden. Beim Vorliegen gravierender Verstöße müsse im Einzelfall jedoch eine sichtbare Sanktion gegen die Verantwortlichen erfolgen. Diese Sanktionen sind jedoch vom jeweiligen Einzelfall abhängig.

In einem weiteren Fall kam es nach Auskunft des Datenschutzbeauftragten Baden-Württembergs gar zur Festsetzung eines Bußgeldes in Höhe von 80.000 Euro. Dieses erheblich erhöhte Bußgeld lässt sich mit der datenschutzrechtlichen Brisanz erklären, betraf der Verstoß doch Gesundheitsdaten, also in rechtlicher und tatsächlicher Hinsicht besonders sensible und schützenswerte Daten. Hier gibt es vergleichbare Fälle in anderen EU-Staaten. In Portugal wurde einem Krankenhaus, das sämtliche Mitarbeiter ohne Unterscheidung Zugriff auf Patientendaten gewährt hatte, mit einem Bußgeld von 400.000 Euro belegt.

Eine Vielzahl von Unternehmen scheint auch weiterhin die Relevanz des Datenschutzes nicht hinreichend verinnerlicht zu haben. Laut Handelsblatt vom 18.01. dieses Jahres sind bundesweit bisher bereits in 41 Fällen Bußgeldbescheide ergangen. Weitere Fälle sind in der Bearbeitung. Wie die Praxis zeigt, können deutsche Unternehmen keineswegs mehr sicher sein, im Falle eines Verstoßes gegen datenschutzrechtliche Vorgaben nicht mit entsprechenden Sanktionen der Behörden belegt zu werden.

Die Schonfrist ist tatsächlich abgelaufen.