Deutsche Märkte geschlossen

Datenschutz-Verstöße: Zahl der Bußgelder ist drastisch gestiegen

Seit Geltung der neuen EU-Regeln werden Datenschutzverstöße immer häufiger geahndet. Auch Zigtausende Datenpannen halten die Aufsichtsbehörden in Atem.

ARCHIV - 28.06.2019, Berlin: Der Fernsehturm überragt alle Gebäude rund um den Alexanderplatz. (zu

Deutschland wähnte sich schon fast im Weihnachtsfrieden, da packte der oberste Datenschützer der Republik die Keule aus: Ein Bußgeld von 9,6 Millionen Euro verhängte Ulrich Kelber gegen den Mobilfunk- und Festnetzkonzern 1 & 1 Drillisch – eine saftige Strafe. Der Anlass: Die Firma schützte sich nicht ausreichend, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren. Der Bundesdatenschutzbeauftragte wertete das als systematischen Verstoß.

Seit dem Start der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ist immer wieder von einzelnen Bußgeldern zu hören. Die deutsche Wirtschaft und der öffentliche Dienst kämpfen noch mit der Umsetzung der strengen Regelungen. Das birgt das Risiko, dass Verstöße von den Aufsichtsbehörden geahndet werden.

Eine Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder zeigt jetzt: Im Jahr 2019 wurden auf Basis der DSGVO 185 Bußgelder verhängt (Stand: Mitte Dezember 2019). Das ist ein drastischer Anstieg. Denn zuvor hatten die Aufsichtsbehörden erst 40 Bußen ausgesprochen. 15 von 16 Bundesländern machten Angaben, Mecklenburg-Vorpommern nicht. Seit Geltung der neuen Regeln im Mai 2018 wurden damit insgesamt 225 Bußgelder verhängt.

Die meisten Strafen für Datenschutz-Verstöße erfolgten erwartungsgemäß im bevölkerungsreichsten Land Nordrhein-Westfalen. 2019 wurden hier 64 Bußgelder (2018: 33) verhängt. Gefolgt von Berlin mit 44 (2018: 2), Niedersachsen mit 19 (2018: 0) und Baden-Württemberg mit 17 (2018: 2). Das Saarland sprach in sechs Fällen Bußgelder aus (2018: 1).

Sachsen verhängte zehn Bußgelder, Sachsen-Anhalt neun, Rheinland-Pfalz sieben, Hessen vier, Thüringen drei und Brandenburg und Bayern je eins. Diese Länder hatten zuvor keine solchen Strafen ausgesprochen. Hamburg verhängte 2019 kein Bußgeld (2018: 2). In Schleswig-Holstein und Bremen griffen die Datenschützer bislang noch in gar keinem Fall zu dieser Maßnahme.

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat bislang zwei DSGVO-Bußgelder verhängt. Neben 1 & 1 maßregelte er auch den Telekommunikationsanbieter Rapidata. Kelber kann in seiner Funktion Geldbußen gegen Post- und Telekommunikationsunternehmen verhängen oder gegenüber den Wettbewerbsunternehmen des Bundes wie der KfW-Bank.

Höchstes Bußgeld in Berlin

Die DSGVO war am 25. Mai 2018 in Kraft getreten. Sie soll vor allem Verbraucher besser schützen. So wird etwa die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden deutlich strenger geregelt als zuvor. Verbraucher müssen darüber informiert werden, wer Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund sammelt – und dem dann zustimmen.

Verstöße können nach den neuen Vorschriften deutlich höher sanktioniert werden. Waren nach dem alten Bundesdatenschutzgesetz maximal 300.000 Euro Bußgeld möglich, können nun bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes fällig werden. Demnach wäre etwa bei Amazon ein Bußgeld von gut sechs Milliarden Euro möglich, bei Apple von bis zu acht Milliarden Euro.

Solche Strafen gibt es in Deutschland bislang aber nicht. Das höchste Bußgeld hierzulande in Höhe von 14,5 Millionen Euro wurde von der Berliner Datenschutzbeauftragten gegen die Immobilienfirma Deutsche Wohnen erlassen. Der Grund: Das Unternehmen hat laut der Behörde personenbezogene Daten von Mietern in einem Archivsystem gespeichert, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. Das zweithöchste Bußgeld waren die knapp zehn Millionen Euro von Kelber gegen 1 & 1 Drillisch.

Mit dem dritthöchsten Bußgeld in Höhe von 294.000 Euro sanktionierte der Datenschutzbeauftragte in Niedersachsen einen Verstoß gegen den Beschäftigtendatenschutz. Konkret wurde eine „unnötig lange“ Speicherung und Aufbewahrung von Personalakten geahndet sowie eine „überbordende“ Datenerhebung im Personalauswahlverfahren, bei der Gesundheitsdaten abgefragt wurden.

Zum Vergleich: Die französische Datenschutzbehörde CNIL verurteilte Google zu einer Strafe von 50 Millionen Euro. In Portugal wurde gegen ein Krankenhaus ein Bußgeld von 400.000 Euro fällig, unter anderem weil zu viele Personen Zugriff auf Patientendaten hatten.

Wirtschaft fürchtet Standortnachteile

In der deutschen Wirtschaft herrscht auch gut eineinhalb Jahre nach Inkrafttreten der Datenschutz-Grundverordnung großer Unmut über die neuen Vorschriften. „Die DSGVO stiftet weiterhin Verwirrung und Unsicherheit“, sagte der Hauptgeschäftsführer der Bundesvereinigung Deutscher Arbeitgeberverbände (BDA), Steffen Kampeter, dem Handelsblatt. „Unklare Regelungen und Überregulierung beeinträchtigen die Handlungsfreiheit der Unternehmen und sind kontraproduktiv.“

Der Deutsche Industrie- und Handelskammertag (DIHK) äußert ebenfalls Vorbehalte. „Die Unternehmen bemängeln insbesondere das hohe Maß an Rechtsunsicherheit, das unter einem Regime hoher Sanktionen einseitig zu ihren Lasten geht“, sagte DIHK-Chefjustiziar Stephan Wernicke dem Handelsblatt. „Vor allem kleine und mittelständische Unternehmen sehen es auch als notwendig an, die hohe bürokratische Belastung bei der Umsetzung der DSGVO zu minimieren.“ Das sei das Ergebnis einer Unternehmensbefragung des DIHK vom Frühjahr 2019, an der etwa 4.500 Unternehmen teilgenommen hätten. Daher fordert der DIHK als Konsequenz eine „spürbare Entlastung der kleinen und mittelständischen Unternehmen“.

Reinhold von Eben-Worlée, Präsident der Familienunternehmer, sieht das ähnlich. Er hält das grundsätzliche Anliegen, Daten zu schützen, für begrüßenswert. Für den Mittelstand sei die Umsetzung der DSGVO jedoch ein „nerviger Kraftakt“ gewesen, verbunden „mit hohen Kosten und enormem bürokratischem Aufwand“, sagte Eben-Worlée dem Handelsblatt.

Der Präsident des IT-Verbands Bitkom, Achim Berg, beklagte, dass die Aufsichtsbehörden der Mitgliedstaaten die DSGVO „unterschiedlich und teils großzügiger als hierzulande“ auslegten. „Für Deutschland entstehen so Standortnachteile“, sagte Berg dem Handelsblatt. „Von dem eigentlichen Ziel der DSGVO, einen harmonischen Rechtsrahmen zu schaffen, sind wir noch weit entfernt.“ Berg fordert deshalb Nachbesserungen. „Unter anderem sollten die Anforderungen für kleine und mittlere Unternehmen, Vereine und Privatpersonen stark vereinfacht werden“, sagte er. Die Informations- und Dokumentationspflichten müssten insgesamt „praxisnäher“ ausgestaltet werden.

Die DSGVO hat in Deutschland zu einem rasanten Anstieg der Beschwerden geführt. Zudem müssen Unternehmen jede Datenpanne melden. Hier liegt Bayern 2019 mit rund 5000 gemeldeten Pannen an der Spitze aller Bundesländer, in Nordrhein-Westfalen wurden gut 2100 Datenpannen registriert. Insgesamt wurden seit dem Start des neuen Regelwerks schon rund 21.000 Datenpannen gemeldet.

Datenschützer will gegen Facebook & Co. durchgreifen

Laut dem bayerischen Landesbeauftragten für den Datenschutz, der für die öffentlichen Wettbewerbsunternehmen wie Kliniken oder Verkehrsunternehmen zuständig ist, betrafen die häufigsten Datenpannen „Fehladressierungen jeglicher Art“. Etwa, dass vertrauliche Dokumente ins falsche Kuvert gerieten oder Mailadressen falsch eingegeben wurden. Relevant seien aber auch zum Teil „schwerwiegende IT-Sicherheitsprobleme“, sagte Behördenchef Thomas Petri dem Handelsblatt. „Insoweit prüfen wir im Klinikbereich in mehreren Fällen die Einleitung von Bußgeldverfahren.“

Im Mai 2020 steht eine Überprüfung der DSGVO durch die EU-Kommission an. Die Aufsichtsbehörden in Deutschland hoffen, dass dann manche Schwachstellen in den neuen Vorschriften ausgebessert werden.

Behörden und Betriebe agierten „teilweise unsicher, Umsetzungsdefizite sind zu beobachten“, heißt es in einem gemeinsamen „Erfahrungsbericht“ der Datenschutzbeauftragten des Bundes und der Länder zur Anwendung der DSGVO. Ein Problem seien offenkundig die „vielfältigen“ Vorgaben, die ein „umfassendes Datenschutzmanagement des Verantwortlichen“ erforderten. Dazu zählt etwa auch die richtige Auslegung der Vorschriften. Dass es hier mitunter hakt, zeigt der immer noch sehr hohe Beratungsbedarf, den die Aufsichtsbehörden registrieren.

Der hessische Behördenchef Michael Ronellenfitsch sieht etwa im Medizinbereich „Fehlentwicklungen“ durch unklare rechtliche Vorgaben. Beispielsweise sei es problematisch, dass Ärzte aus der DSGVO ableiteten, dass Patienten ihre Unterschrift unter ein Informationsblatt setzen müssten, sagte Ronellenfitsch dem Handelsblatt. Denn im „Verweigerungsfall“ würde die Behandlung teilweise abgelehnt. „Hier wäre eine Klarstellung erforderlich.“

Die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen schlug vor, auf die Meldepflicht der Firmen-Datenschutzbeauftragten bei den Aufsichtsbehörden zu verzichten. „Das sind viele Zehntausende Meldungen für Register, die nie aktuell gehalten werden können“, sagte Hansen zur Begründung. Kritisch sieht sie allerdings, dass nach ihrer Beobachtung nicht jeder von den Unternehmen benannte Datenschutzbeauftragte die „nötige Fachkunde“ aufweise. „Das bedeutet: Die Realität läuft dem Datenschutzrecht hinterher und muss dringend aufholen.“

Der Hamburger Datenschützer Johannes Caspar sieht vor allem bei der Durchsetzung der DSGVO mit Blick auf große internationale Digitalkonzerne wie Facebook „erhebliche Defizite“. Aus seiner Sicht hat sich die „Massierung der federführenden Kontrollkompetenz bei wenigen Behörden am europäischen Hauptstandort dieser Unternehmen“ nicht bewährt. „Das bislang zu konstatierende Ausbleiben von Vollzugsmaßnahmen, insbesondere Bußgeldern, Anordnungen und Verwarnungen, gegenüber globalen Dienstanbietern an diesen Standorten wird zusehends von Wettbewerbern mit Hauptstandorten in anderen Mitgliedstaaten als wettbewerbswidrig wahrgenommen“, sagte Caspar dem Handelsblatt.

Bundesdatenschützer will irischen Amtskollegen helfen

Im Klartext: Irland, wo etwa Facebook und Apple ihr EU-Niederlassung haben, gilt noch immer als Land der Datenschutzflucht. Die irische Datenschutzbehörde greift bislang nicht mit den nötigen Bußgeldern durch. Dies ist für andere Datenschützer schon deshalb ein misslicher Umstand, weil sie etwaige Verstöße gegen die DSGVO ihren irischen Kollegen melden müssen, die dann über weitere Maßnahmen entscheiden.

„Die Datenschutzgrundverordnung ist nun seit etwa 530 Tagen gänzlich in Kraft, und wir haben in den großen Fragen immer noch keine Entscheidungen“, beschwerte sich jüngst Bundesdatenschützer Kelber. Auf einer Veranstaltung der Stiftung Datenschutz kündigte Kelber an, der irischen Behörde Hilfe anbieten zu wollen. Er könne sich vorstellen, dass sein Haus Teile von Verfahren übernehme und autonom bearbeite.

Nicht nur der „defizitäre Schutz von Rechten und Freiheiten Betroffener“, sondern die „fehlende Vollzugsgerechtigkeit“ erweise sich als ein „massives Hindernis“ für einen fairen Wettbewerb auf dem digitalen Markt, erklärt Caspar. „Das Ausbleiben von aufsichtsbehördlichen Maßnahmen begünstigt marktbeherrschende Unternehmen, die nicht zuletzt mit einer aggressiven Datenschutzpolitik ihre Wettbewerbsposition festigen und ausbauen“, kritisierte der Behördenchef. Eine europäische digitale Industriepolitik könne so nicht gelingen. „Innovative Unternehmen, die datenschutzgerechte Produkte und Dienstleistungen einsetzen, haben in diesem System keine Chance.“

Caspar sieht daher Änderungsbedarf an der DSGVO. „Insbesondere gilt es, Regelungen zu schaffen, die die sogenannten federführenden Behörden stärker in ein europäisches Vollzugssystem einbinden“, sagte er. „Hier ist etwa an die Übernahme der aufsichtsbehördlichen Verantwortung durch andere Behörden zu denken, wenn innerhalb eines bestimmten Zeitraums kein Entscheidungsentwurf durch die federführenden Behörden vorgelegt wird.“ Es dürfe nicht möglich sein, dass die Untätigkeit einer Behörde europaweit den aufsichtsbehördlichen Vollzug verhindert.

Für die Umfrage des Handelsblatts konnte der Landesdatenschutzbeauftragte für Mecklenburg-Vorpommern keine Angaben über verhängte Bußgelder machen. Er sei „nicht mit den personellen Ressourcen ausgestattet, die erforderlich wären, um seine Aufgaben effektiv wahrnehmen zu können“, ließ Heinz Müller mitteilen. Aus Protest war Müller kurz vor Weihnachten nach 37 Jahren aus der SPD ausgetreten.

Im Jahr 2019 wurden auf Basis der EU-Datenschutz-Grundverordnung (DSGVO) 185 Bußgelder verhängt. Foto: dpa