Köln, 15.11.2019
Als die Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft trat, gab es (idealtypisch) zwei Ansätze: Während die eine Fraktion in Panik verfiel und den Weltuntergang, mindestens aber das Ende jeglicher Geschäftstätigkeit in Deutschland, prophezeite, ging man am anderen Ende des Meinungsspektrums davon aus, es werde schon alles nicht so schlimm kommen. Dies betraf nicht nur den (zugegebenermaßen) erheblichen Aufwand für eine bei Null startende Umsetzung datenschutzrechtlicher Pflichten aufgrund einer bis dahin eher distanzierten (um nicht zu sagen relaxten) Einstellung zum früheren Bundesdatenschutzgesetz. Vielmehr ging es auch (und manchmal vor allem) um die mit Art. 83 DS-GVO, § 41 BDSG geschaffene Möglichkeit, Bußgelder in Höhe von nominal bis zu EUR 20 Mio. oder bis zu 4 % des weltweit erzielten Konzern-Jahresumsatzes zu verhängen.
Solche Bußgeldtatbestände kannte man bisher allenfalls aus dem Bereich des Kartellrechts. Im Bereich des Datenschutzes waren (jedenfalls in Deutschland) Bußgelder im vier- oder fünfstelliger Höhe die Regel; zu Bußgeldern in Millionenhöhe kam es nur durch Kumulation vieler hundert Verstöße oder aufgrund von Verstößen über einen langen Zeitraum. Dies hatte sich auch im Großen und Ganzen seit Inkrafttreten der DS-GVO nicht
I. Andere Länder sind schon weiter
Ein erstes Mal ließ die französische Datenschutzbehörde CNIL im Januar diesen Jahres aufhorchen, als sie gegen die Google LLC ein Bußgeld von EUR 50 Mio. verhängte. Nicht nur die Summe erregte Aufmerksamkeit, sondern auch die zugrundeliegende Verletzung datenschutzrechtlicher Regelungen: Es ging keineswegs um die Kompromittierung großer Mengen personenbezogener Daten, sondern um Verstöße gegen die Pflichten zur Information von Betroffenen und generell um mangelnde Transparenz.
Im September diesen Jahres verhängte die Datenschutzbehörde des Vereinigten Königreichs, die ICO, ein Bußgeld von GBP 183 Mio. gegen die Fluglinie British Airways. Durch mangelnde Sicherheitsvorkehrungen was es zu einer Kompromittierung von rd. 500.000 Datensätzen gekommen. Bei der Bemessung des Bußgelds legte die ICO 1,5 % des weltweiten Jahresumsatzes von British Airways zugrunde. Dem Vernehmen nach ist das Bußgeld noch nicht rechtskräftig.
II. Berliner Datenschutzbeauftragte verhängt Bußgeld von EUR 14,5 Mio.
Deutschland hat jetzt „nachgezogen“. Am Beginn dieses Monats teilte die Berliner Datenschutzbeauftragte Smoltczyk mit, dass sie ein Bußgeld von EUR 14,5 Mio. gegen die Deutsche Wohnen, eine in Berlin ansässige Wohnungsgesellschaft, verhängt habe. Grundlage der Verhängung eines Bußgelds war insbesondere die Datenspeicherung bei der Deutschen Wohnen. Nach Angaben der Berliner Datenschutzbeauftragten verwendete die Deutsche Wohnen ein System, welches das Löschen von Daten nicht ermöglichte, so dass nicht nur Bewerberdaten dauerhaft gespeichert wurden, sondern auch lange nach Beendigung eines Mietverhältnisses noch sensibelste Daten über finanzielle Verhältnisse, Versicherung u.ä. von Mietern gespeichert waren. Die Höhe des Bußgelds erklärt sich aber auch daraus, dass die Berliner Datenschutzbeauftragte die Deutsche Wohnen bereits vorher einmal auf dieses Problem hingewiesen hatte, ohne dass seitens der Deutsche Wohnen etwas unternommen worden war.
Nahezu gleichzeitig haben die deutschen Datenschutzbehörden insgesamt eine Grundlage für die zukünftige Bemessung von Bußgeldern, das sog. „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“(Datum: 14. Oktober 2019) veröffentlicht. Dieses detaillierte Konzept unterscheidet vier Stufen zwischen Kleinstunternehmen und Großunternehmen. Des Weiteren enthält das Konzept Hinweise zur Bemessung der wirtschaftlichen Grundlagen und zur Anwendung abhängig vom Schweregrad des Verstoßes. Betrachtet man beispielsweise die Kategorie der Großunternehmen, so kann es dort durchaus zu Tagessätzen in Millionenhöhe kommen.
III. Was bedeutet das?
Die Botschaft, welche die Datenschutzbehörden nicht nur mit den Grundsätzen für die Bußgeldbemessung, sondern auch dem Bußgeld für die Deutsche Wohnen senden wollen, ist deutlich: Die „Schonfrist“ ist vorbei. Die deutschen Datenschutzbehörden werden jetzt ernsthaft nicht nur die Einhaltung von Vorschriften der DS-GVO überprüfen, sondern auch bei Nichteinhaltung empfindliche Bußgelder verhängen. Wie man am Fall der Deutsche Wohnen sieht, werden auch Ausreden, die technische Umsetzung sei schwierig oder gar nicht möglich, nicht mehr helfen. Die Berliner Datenschutzbeauftragte hat mit ihrem Handeln deutlich gemacht, dass man sich mittlerweile datenschutzkonforme EDV-Systeme angeschafft haben muss und auch ansonsten die datenschutzrechtlichen Pflichten der DS-GVO umgesetzt haben muss. Allenfalls kleinere und mittlere Unternehmen können noch auf Milde hoffen.
Wenn es noch eines letzten Weckrufs für Unternehmen bedurfte, die sich noch eher widerwillig mit der Umsetzung der DS-GVO befassen oder bisher gar nicht befassen wollten, so gibt es diesen Weckruf jetzt. Datenschutzrechtliche Dokumentations- und Informationspflichten, technische Vorkehrungen zur Datensparsamkeit und zur Ermöglichung der Änderung oder Löschung von Daten und insbesondere die rechtmäßige Verarbeitung von Daten sind jetzt keine Richtlinien mehr. Angesichts der eindeutigen Signale der Datenschutzbehörden müssen nicht nur Unternehmen mit Bußgeldern rechnen, sondern auch die jeweiligen Geschäftsleitungen davon ausgehen, dass sie bei weiterer Untätigkeit mit erheblichen Regressforderungen zu rechnen haben. Und ob eine D&O-Versicherung die Folgen einer weiteren bewussten Untätigkeit noch trägt, ist unsicher.
Sollte es vor diesem Hintergrund noch „Nachholbedarf“ im Unternehmen bezüglich des Datenschutzes geben, werden wir Sie gern dabei unterstützen. Gleiches gilt natürlich auch in dem Fall, in dem es schon ein behördliches Verfahren gibt.
