DSGVO in Zahlen: Hoher Aufwand, aber auch Ertrag

Seit dem Start der Datenschutz-Grundverordnung (DSGVO) vor einem Jahr sind in Deutschland in 70 Fällen Bußgelder verhängt worden. Das zeigt eine Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Bundesländer. Die meisten Strafen für Verstöße erfolgten erwartungsgemäß im bevölkerungsreichsten Land Nordrhein-Westfalen.

Hier wurden 35 Bußgelder verhängt. In Berlin waren es neun, in Rheinland-Pfalz acht, in Sachsen-Anhalt sechs, in Baden-Württemberg fünf, im Saarland drei, in Hamburg und Mecklenburg-Vorpommern jeweils zwei. Acht Bundesländer verhängten bislang noch keine DSGVO-Bußgelder.
Nach der neuen Verordnung können Verstöße deutlich höher sanktioniert werden. Waren zuvor maximal 300.000 Euro Bußgeld möglich, können nun bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes fällig werden. Demnach wäre etwa bei Amazon ein Bußgeld von gut sechs Milliarden Euro möglich, bei Apple von bis zu acht Milliarden Euro.

Solche Strafen gibt es in Deutschland bislang aber nicht. Die drei höchsten Bußgelder betrugen jeweils 80.000 Euro. Zwei davon verhängte Baden-Württemberg. In einem Fall wurden bei einer digitalen Publikation Gesundheitsdaten veröffentlicht, die versehentlich personenbezogene Daten enthielten.

In dem anderen Fall hatte ein Finanzunternehmen personenbezogene Daten unsachgemäß entsorgt. Im Falle der dritten Strafe bemängelte die Behörde in Rheinland-Pfalz die Verarbeitung von Daten ohne Rechtsgrundlage sowie unterbliebene Löschung. In Berlin betrug ein Bußgeld 50.000 Euro. Hier hatte eine Bank Kundendaten unbefugt verarbeitet.

Hoher Beratungsbedarf auch bei Unternehmen

Zum Vergleich: Die französische Datenschutzbehörde CNIL verurteilte Google zu einer Strafe von 50 Millionen Euro. In Portugal wurde gegen ein Krankenhaus ein Bußgeld von 400.000 Euro fällig, unter anderem weil zu viele Personen Zugriff auf Patientendaten hatten.

Die DSGVO hat in Deutschland zu einem rasanten Anstieg der Beschwerden geführt. Zudem müssen Unternehmen nun jede Datenpanne melden. Hier liegt die Zahl der Meldungen zum Beispiel in Berlin 14-mal so hoch wie zuvor. Bundesweit wurden insgesamt rund 10.000 Datenpannen innerhalb des ersten DSGVO-Jahres gemeldet.

Auch gibt es hohen Beratungsbedarf von Unternehmen und öffentlichen Stellen. Viele Datenschützer arbeiten darum am Limit. „Bei der Ausstattung der Datenschutzaufsicht ist noch deutlich Luft nach oben“, sagte die Datenschutzbeauftragte von Schleswig-Holstein, Marit Hansen, dem Handelsblatt.

Sie erwarte daher personelle und finanzielle Verstärkung für die Behörden. Derzeit könnten etwa „anlasslose Prüfungen“ nur „sehr eingeschränkt“ durchgeführt werden. Hansen warnte vor den juristischen Folgen, sollten die Engpässe nicht behoben werden.

„Wenn keine angemessene Ausstattung vorliegt, wird die EU-Kommission auf Dauer sicherlich nicht passiv bleiben, sondern geeignete Maßnahmen ergreifen und ein Vertragsverletzungsverfahren einleiten“, sagte sie. Beim Bayerischen Landesamt für Datenschutzaufsicht fällt die Bilanz zwar positiv aus: „Ich bin nach wie vor davon begeistert, welch gutes Werk Europa uns mit der DSGVO in die Hand gegeben hat“, sagte Präsident Thomas Kranig.

Er gibt jedoch zu: „Wir sind momentan über die Grenzen der zumutbaren Belastung hinaus damit befasst, den Verantwortlichen, den betroffenen Personen und uns selbst bewusst zu machen, wie wir praxisorientiert die Anforderungen der DSGVO umsetzen.“ Kranig äußerte aber die „ganz große Hoffnung“, dass spätestens in zwei Jahren keine überzogenen Anforderungen bei Vereinen und kleinen Firmen mehr diskutiert werden.

Mehr: Ein Jahr DSGVO – eine Bilanz.