Rekordbußgeld wegen DSGVO-Verstoß
Prinzip Abschreckung
»Datenfriedhöfe begegnen uns leider häufig«, sagt Maja Smoltczyk. Die oberste Berliner Datenschützerin ist alles andere als ein zahnloser Tiger. Gerichte könnten sie allerdings zähmen.
Noch bis Mai dieses Jahres hielten sich deutsche Datenschutzbebörden zurück, wenn sie Verstöße gegen die Ende Mai 2018 in Kraft getretene DSGVO ahndeten. Bis dahin wurden laut Medienberichten in 75 Fällen insgesamt lediglich 449.000 Euro Bußgelder gegen Unternehmen ausgesprochen. Es waren also nicht mehr als Warnschüsse, die aber scheinbar wirkungslos verpufften. So hektisch und bisweilen kopflos, wie Firmen und leider auch Datenschützer vor Inkrafttreten der DSGVO agierten, um ihre Datenschutzmängel mehr schlecht als recht zu beseitigen, so schnell erlahmte und erlahmt bei vielen wieder ihr Engagement, ihre Prozesse und Systeme endlich DSGVO-konform hinzubekommen. Die anfangs geringen Strafen wirkten eben nicht abschreckend, sondern im Gegenteil: Beruhigend und letztlich einschläfernd.
Die Schonfrist ist jetzt aber vorbei. Stellen Unternehmen Verstöße gegen den Datenschutz nach einer gewissen Übergangsfrist nicht ab, strafen Datenschutzbehörden die Untätigkeit nun empfindlich ab. Sie schöpfen den mittlerweile erarbeiteten Bußgeldkatalog aus, wie der Fall der Deutsche Wohnen SE zeigt.
Die Berliner Datenschutzbehörde hatte bei dem Immobilienkonzern wegen eklatanter Verstöße gegen die DSGVO eine Strafe von rund 28 Millionen Euro ermittelt. Dass das Unternehmen mit der Aufsichtsbehörde kooperierte, anfangs zumindest erste Maßnahmen für einen rechtskonformen Datenschutz ergriff und man dem Unternehmen keinen missbräuchlichen Zugriff auf die unzulässig gespeicherten Daten nachweisen konnte, stufte die Behörde den Fall als mittelschwer ein und senkte die Strafe auf 14,5 Millionen Euro.
Mit einem Umsatz von 1,46 Milliarden Euro gehört die Deutsche Wohnen laut dem Bußgeldkatalog zur höchsten Umsatzkategorie D. VIII. – jene Firmen also, die ab 500 Millionen Euro Umsatz bei einem schweren Verstoß gegen die DSGVO mit zwei, beziehungsweise vier Prozent ihres Jahresumsatzes bestraft werden könnten. Legt man den aktuellen Jahresumsatz der Deutsche Wohnen zugrunde, könnte der Strafrahmen zwischen rund 30 und 60 Millionen Euro betragen – rund fünf bis zehn Prozent des operativen Gewinns.
Unter anderem kritisierte die Berliner Datenschutzbehörde das Archivsystem der Deutsche Wohnen. Schon vor dem Inkrafttreten der DSGVO, im Prüfzeitraum 2017, sah das System keine Möglichkeit vor, sensible Daten wie beispielsweise von Mietern eingereichte Gehaltsbescheinigungen, Selbstauskünfte, Kontoauszüge oder Arbeitsverträge zu löschen. Die Behörde monierte die Mängel. Passiert ist nichts.
Im März 2019, also mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Inkrafttreten der DSGVO verstieß der börsennotierte Konzern nach Auffassung der Behörde weiterhin gegen den Datenschutz. Das sieht die Deutsche Wohnen, deren Aktienkurs seit Monaten unter Druck steht, anders und wehrt sich. »Die Vorwürfe beziehen sich auf die bereits abgelöste Datenarchivierungslösung des Unternehmens«, widersprechen die Berliner und kündigen eine gerichtliche Überprüfung des Bußgeldbescheids an.
Dass der Berliner Beauftragte für Datenschutz und Datensicherheit den Strafrahmen letztlich von 28 Millionen auf 14,5 Millionen Euro senkte, hängt mit den Kriterien des Bußgeldkonzepts ab, auf den sich die DSK (Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder) geeinigt hatten.
Der ist zwar nicht verbindlich. Aber warten, bis der Europäische Datenschutzausschuss (EDSA) einen verbindlichen und EU-weiten Bußgeldkatalog vorlegt, wollen deutsche Behörden nicht. Ihre nun vorliegende Berechnungsmethode hat der EDSA aber abgesegnet. Hoffnungsschimmer für die Deutsche Wohnen und andere Unternehmen, die mit jetzt empfindlich hohen Strafen rechnen müssen: Für Gerichte ist Höhe der Bußgelder, wie ihn die DSK vorschlägt, nicht bindend.
Datenschutzbehörden hierzulande haben sich mittlerweile scharfe Zähnen wachsen lassen und schwenken jetzt auf Abschreckung um, was die DSGVO ja auch explizit vorsieht. Richter indes könnten im konkreten Einzelfall Datenschutzbehörden dann doch wie zahnlose Tiger aussehen lassen.
Das droht nun ausgerechnet der oberste Berliner Datenschützerin Maja Smoltczyk, die mit ihrem in der Höhe mutigen und dennoch nicht überzogenen Bußgeldbescheid an die Deutsche Wohnen ein Signal auch für andere in puncto Datenschutz untätige laxe Unternehmen setzen will. Und das ist wohl auch bitter nötig.
»Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig«, sagt Smoltczyk. Die Brisanz solcher Missstände werde erst deutlich, wenn es etwa durch Cyberangriffe »missbräuchliche Zugriffe auf die massenhaft gehorteten Daten« gekommen sei.
Besonders solche Unternehmen könnte die ganze Härte des Bußgeldkatalogs treffen, wenn persönliche und höchst sensible Daten, etwa zu finanziellen Verhältnissen von Personen, in falsche Hände gelangen, und solche Daten ihrem ursprünglichen Zweck der Erfassung längst nicht mehr dienen.
Smoltczyk will solche strukturelle Mängel beim Datenschutz drastisch bestrafen, bevor es zu einem Daten-GAU kommt. Ob ihr Prinzip der Abschreckung das richtige Rezept ist gegen nach wie vor sorglose Unternehmen mit ihren Datenfriedhöfen, entscheiden bis auf weiteres Gerichte und Richter.
Lesen Sie mehr zum Thema
