DGSVO-Sündern drohen Rekordstrafen, nachdem sich die Datenschutzaufsichtsbehörden auf ein neues Bußgeldmodell geeinigt haben, das Strafen in bis zu zweistelliger Millionenhöhe vorsieht. Bislang hatte sich Deutschland hier im europäischen Vergleich merklich zurückgehalten. Diese Praxis dürfte jedoch zeitnah ein Ende haben.
Bereits im Sommer dieses Jahres kam nationale Datenschutzexperten zur „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ zusammen und tauschten sich über ein neues Modell zur Berechnung der Bußgelder bei DSGVO-Verstößen auf. Dies soll vor allem übersichtlich und schematisch sein. Laut ersten Medienberichten arbeitet die niedersächsische Datenschutzbehörde bereits mit diesem erörterten Modell, weitere Bußgelder wurden danach berechnet. Strafen in Millionenhöhe sind demnach nur noch eine Frage der Zeit, die Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues, hat ein solches gegenüber der Deutschen Presse Agentur bereits angekündigt.
Bisheriger Rekord in Deutschland: 195.000 Euro
Das bisher höchste DSGVO-Bußgeld verhängte jüngst ebenfalls die Berliner Datenschutzbehörde gegen den Lieferdienst Delivery Hero. Satte 195.000 Euro muss das Unternehmen zahlen. Unter anderem hatte die Firma Auskunfts-, Löschungs- und Widerspruchsrechte von Kunden missachtet. Ausgangspunkt des Verfahrens gegen Delivery Hero waren entsprechende Beschwerden. Die Datenschutzbehörde berichtet, dass das Unternehmen rechtswidrig Daten von Kunden weitergespeichert hat, obwohl diese den Dienst seit Jahren nicht mehr genutzt haben. Kunden hatten sich zudem darüber beschwert, dass Delivery Hero ihren Auskunftsersuchen nicht nachgekommen sei. Ein anderer Kunde soll mehrere Werbemails erhalten haben, obwohl er der Nutzung seiner Daten für Werbezwecke widersprochen hatte.
Aus dem Protokoll der Zwischenkonferenz ergibt sich, dass das vorgestellte Konzept auf reges Interesse stieß. Hintergrund war vor allem, dass dieses eine systematische, transparente und nachvollziehbare Bußgeldbemessung sicherstelle. Es ist als Gegenentwurf auf das französische Modell zu verstehen, dass aufgrund seines Schwerpunktes auf Einzelfälle auf wenig Gegenliebe stieß. Deshalb verwundert es nicht, dass 16 von 17 Konferenzteilnehmern für das neue Modell stimmten.
50 Millionen Euro Strafe für Google
Die französische Datenschutzbehörde geht übrigens bislang deutlich rigoroser zu Werke als die deutschen Kollegen. So wurde gerade erst ein Bußgeld in Höhe von 50 Millionen gegen den Internet-Riesen Google verhängt und dabei ein rechtswidriger Einrichtungsprozess auf dem Betriebssystem Android sanktioniert. Die Datenschutzbehörde bemängelte, dass Nutzer essenzielle Datenschutzinformationen nicht oder nur schwer einsehen können. So sei nicht ersichtlich, wie lange Google die Daten der Nutzer speichert und wie es diese weiterverarbeitet. Außerdem sei es nicht rechtskonform, wie der Nutzer der Erstellung eines Accounts bei Google zustimmen müsse. Auch das Einstellungsmenü für personalisierte Werbung sei rechtswidrig. Hier seien individuelle Einstellungsmöglichkeiten umständlich versteckt.
Das neue Bußgeldmodell erklärt
Das neue Modell ist dabei übersichtlich, bedarf jedoch einer genauen Beschreibung. Grundsätzlich bemisst sich das Bußgeld nach dem weltweiten Vorjahresumsatz eines Unternehmens, aus dem ein Tagessatz ermittelt wird. Dieser wird mit einem Faktor multipliziert, der sich an der Schwere des jeweiligen Verstoßes orientiert. Die Bandbreite reicht hier von 1 bis 14,4. Wie schwer der Verstoß zu werten ist, bestimmt sich wiederum nach einem Punktesystem, das sich senkend, gleichbleibend oder erhöhend auswirkt. Dabei wird etwa die Verstoßdauer, die Anzahl der betroffenen Personen und das Schadensausmaß berücksichtigt. Weiter wird der Grad des Verschuldens miteinbezogen – also geringe oder unbewusste Fahrlässigkeit (25 Prozent Abzug), „normale“ Fahrlässigkeit oder Vorsatz sowie Absicht (Erhöhung um bis zu 50 Prozent). Zudem haben Wiederholungstäter schlechte Karten. Bei der ersten Wiederholung wird ein Aufschlag von 50 Prozent fällig, bei der nächsten Wiederholung 150 Prozent und danach sogar 300 Prozent. Auch die Zusammenarbeit mit der Behörde oder präventive Maßnahmen des Unternehmens können eine Rolle spielen.
Im (noch) europäischen Vergleich hat Frankreich übrigens die Nase keineswegs vorn. Spitzenreiter in Sachen Bußgeld ist Großbritannien. Die dortigen Datenschutzbehörden haben die Hotelkette Marriott mit 110 Millionen Euro zur Kasse gebeten, die Fluglinie Britisch Airways musste sogar 204 Millionen Euro zahlen. In diesem Zusammenhang bleibt es abzuwarten, wen die deutschen Behörden zuerst in Millionenhöhe bestrafen. Lange wird es aller Voraussicht nach nicht mehr dauern.
Bild: Unsplash/Quino Al