Aktueller Channel Fokus:

Server & Hyperkonvergenz

Sanktionen nach DSGVO

Was eine Datenschutzverletzung wirklich kostet

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die meisten Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) vor allem wegen möglicher Bußgeldzahlungen.
Die meisten Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) vor allem wegen möglicher Bußgeldzahlungen. (© alfexe - stock.adobe.com)

British Airways, Google und Marriott wurden hohe Geldbußen nach DSGVO angekündigt. Doch eine Datenpanne hat nicht nur ein Bußgeld als mögliche Folge. Die verantwortliche Stelle kann auch in die Haftung kommen, auch für Vergehen der Mitarbeiterinnen und Mitarbeiter. Datenschutzbeauftragte sollten alle möglichen Folgen von Datenpannen als Argumente für mehr Datenschutz nutzen.

Die meisten Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) wegen der Kosten, einerseits für erhöhte Aufwände im Datenschutz, andererseits für mögliche Bußgeldzahlungen. Während die Aufwände durch die Implementierung tatsächlich entstanden sind und weiterhin entstehen, schienen die Sorgen wegen der deutlich höheren Bußgelder bei Datenschutzverletzung überzogen zu sein.

Die Meldung des LfDI Baden-Württemberg über sein erstes Bußgeld in Deutschland nach der DSGVO im November 2018 wurde von so manchem als Beweis betrachtet, dass es doch nicht so schlimm mit den Bußgeldern werden wird. So wurde wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit durch die Bußgeldstelle des LfDI Baden-Württemberg gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt.

Selbst das alte Bundesdatenschutzgesetz (BDSG-alt) nannte einen deutlich höheren Rahmen für Bußgelder, von der DSGVO ganz zu schweigen. Doch für den eher geringen Betrag des Bußgeldes gab es einen Grund: Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DSGVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens, so die Aufsichtsbehörde. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit umzusetzen.

Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, erklärte der LfDI Baden-Württemberg. „Strafen werden auch künftig nur bei gravierenden Verstößen und dann ausgesprochen, wenn klare Rechtsverletzungen nicht beseitigt werden.“

Tatsächlich wurden und werden deutlich höhere Bußgelder in anderen Fällen angekündigt: 50 Millionen Euro im Fall Google (CNIL in Frankreich), mehr als 99 Millionen Pfund im Fall Marriott International (ICO in UK) und mehr als 183 Millionen Pfund im Fall British Airways (ebenfalls ICO in UK).

Bußgelder und andere Sanktionen

Bei der unterschiedlichen Höhe der genannten Bußgelder mag man sich fragen, wie denn die einzelnen Aufsichtsbehörden gerechnet haben. Für eine oder einen DSB (Datenschutzbeauftragten) im Unternehmen ist es wichtig zu wissen, ob das eigene Unternehmen auch vergleichbar sanktioniert werden könnte, um die verantwortliche Stelle (also die Unternehmensleitung) richtig zu beraten und natürlich auch, um die richtigen Argumente für mehr Datenschutz im Unternehmen zu haben.

Die DSGVO sagt zur Höhe einer Geldbuße, dass sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein soll. Bei der Bemessung der Höhe soll die Aufsichtsbehörde zahlreiche Faktoren berücksichtigen, darunter

  • die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung der früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren nach DSGVO
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Offensichtlich gibt es keine einfache Formel für die Höhe des Bußgeldes, doch der Europäische Datenschutzausschuss (EDPB) hat unter anderem die Aufgabe der Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen. Der Vorläufer des EDPB, die ehemalige Artikel 29 Datenschutzgruppe, hatte hierzu bereits einmal ein Papier (WP253) erstellt.

Auch an mögliche Freiheitsstrafen denken

Wie unter anderem die Ponemon-StudieCost of a Data Breach“ regelmäßig zeigt, sind mit Datenpannen aber noch andere finanziellen Folgen verbunden als mögliche Bußgelder. Aber auch ein Blick in die DSGVO zeigt, dass es andere Sanktionen geben kann. Für Deutschland wurde dies im neuen BDSG ausgestaltet. In § 42 BDSG findet man:

  • Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.
  • Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

Neben Freiheitsstrafe können also auch derartige Strafzahlungen drohen. Sicherlich Punkte, die der verantwortlichen Stelle bewusst sein sollte.

Haftung nicht vergessen

Ein weiterer Punkt wird gerne bei der häufigen Diskussion über niedrige oder hohe Bußgelder vergessen:

  • Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
  • Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.

Die Aufsichtsbehörden für den Datenschutz haben zudem explizit klargestellt: Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DSGVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess (Handlungen von Beschäftigten, die mit der jeweiligen unternehmerischen Tätigkeit nichts zu tun haben) handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit ebenfalls nicht erforderlich.

Datenschutzverletzungen können somit zu einer Haftung des Unternehmens führen, auch wenn die Leitung selbst nicht für die Handlung verantwortlich war, die zur Datenpanne führte, und auch dann, wenn die Leitung nichts von der Datenpanne wusste. Alleine dieser Umstand sollte Unternehmen dazu bewegen, ein möglichst lückenloses Datenschutz- und Datensicherheitskonzept umzusetzen.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46163942 / Recht)