Datenschutz-Bußgelder

Seit Geltung der Datenschutz-Grundverordnung haben die europäischen Datenschutzbehörden Bußgelder in Höhe von über 300 Millionen Euro verhängt. Doch wie begründen die Behörden die Bußgelder? Welche Branchen sind am anfälligsten für hohe Bußgelder? Eine Analyse der Kanzlei CMS Deutschland schafft einen Überblick und verrät, wie Unternehmen Bußgelder vermeiden können.

Von vorsichtiger Gewöhnungsphase zu Millionenbußgeldern

Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25.5.2018. In einer ersten, vorsichtigen Anfangsphase haben die Datenschutzbehörden im Jahr 2018 vor allem beobachtet, wie Unternehmen die neuen Vorgaben umsetzen. Zweieinhalb Jahre später verhängt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit mit rund 35 Millionen Euro das in Deutschland bislang höchste Bußgeld für Datenschutzverstöße gegen H&M. Die Modekette hat über Jahre hinweg ihre Beschäftigten überwacht. Diese Entwicklung von der Gewöhnungsphase zu Millionenbußgeldern soll hier aufgeschlüsselt werden. Wie können Unternehmen hinter die Kulissen der Bußgeldpraxis der Datenschutzbehörden schauen? Wichtiger: Wie lassen sich aus den bisherigen Bußgeldern Schlüsse ableiten, um Bußgelder zu vermeiden?

Der Enforcement Tracker der Kanzlei CMS Deutschland ist hierfür die wichtigste Datenbasis, denn das Tool sammelt und kategorisiert sämtliche veröffentlichten Entscheidungen, die Datenschutzbehörden unter Geltung der DSGVO in der EU und in Großbritannien verteilt haben. Über 400 Entscheidungen haben schon Eingang in die Datenbank gefunden. Eine detaillierte Analyse der bisherigen Einträge findet sich hier: GDPR Enforcement Tracker Report.

Rechtswidrige Datenverarbeitungen und unzureichende Datensicherheit

Die wichtigste Erkenntnis der bisherigen Bußgeldpraxis der Behörden ist, auf welche Art von Rechtsverletzungen die Behörden die meisten Bußgelder stützen. Dies sind erstens die Verletzung des Grundsatzes der Rechtmäßigkeit der Datenverarbeitung und zweitens eine Verletzung der Datensicherheit. Zwei Beispiele dazu:

• Zum einen: der bereits genannte Fall des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen H&M.
  Die Modekette hatte Beschäftigte über Jahre hin unzulässigerweise überwacht. Führungskräfte zeichneten Krankheitssymptome oder religiöse Bekenntnisse der Beschäftigten auf. Diese Notizen waren weitgehend im Unternehmen abrufbar. Die erstellten Persönlichkeitsprofile nutzte das Unternehmen sogar für Entscheidungen über das Arbeitsverhältnis. Diese Datenverarbeitung ist offensichtlich nicht für die im Arbeitsverhältnis regelmäßig auftretenden und legitimen Verarbeitungszwecke der Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich, also z.B. für die Auszahlung des Gehalts.
• Zum anderen und zu den unzureichenden Sicherheitsmaßnahmen, hier der Fall eines Cyber-Angriffs auf British Airways.
  Unbekannte Hacker verschafften sich durch Lücken in der Sicherheits-Infrastruktur der Website Zugriff zu Kreditkartendaten der Kunden. Sensible und wertvolle Daten von über 400.000 Kunden waren kompromittiert. Die britische Datenschutzbehörde ICO verhängte gegen British Airways deshalb ein Bußgeld in Höhe von rund 20 Millionen Euro, weil die Airline nicht die nach der DSGVO erforderlichen Sicherheitsmaßnahmen auf der Website umgesetzt hatte.

Branchenüberblick – von Internet-Suchmaschinen bis hin zu Banken

Der GDPR Enforcement Tracker Report lässt auch Schlussfolgerungen zu, welche Branchen am meisten von Bußgeldern betroffen waren. Es fällt auf, dass die Datenschutz-Behörden die meisten und auch durchschnittlich höchsten Bußgelder im Sektor Media, Telecoms and Broadcasting verhängt haben. Von den im Enforcement Tracker erfassten Entscheidungen entfielen rund 20 Prozent auf diese Branche, mit einer durchschnittlichen Bußgeldhöhe von rund 2 Millionen Euro. Ein Bußgeld der französischen Datenschutzbehörde CNIL gegen Google in Höhe von 50 Millionen Euro prägt dieses Ergebnis maßgeblich. Die CNIL bemängelte intransparente Verfahren bei dem Aufsetzen von Google-Accounts sowie unwirksame Einwilligungserklärungen für Werbemaßnahmen.

Im Mittelfeld mit rund 10 Prozent der Bußgelder und einer durchschnittlichen Bußgeldhöhe von rund 100.000 Euro liegt die Finanzbranche. Dabei ist zu berücksichtigen, dass es sich um eine Branche handelt, die eine Fülle von sektorspezifischen Vorgaben erfüllen muss, um die sensiblen Finanzdaten der Kunden zu schützen. Auffällig ist, dass Banken noch keine herausstechend hohen Bußgelder auferlegt bekommen haben, obwohl sie einen hohen Umsatz verzeichnen, der die Bemessungsgrundlage für das Bußgeld bildet.

Schließlich ist nicht zuletzt wegen der Corona-Pandemie auf die Branchen Transportation und Hospitality einzugehen. Beide Branchen rangieren mit je rund 5 Prozent der verhängten Bußgelder im unteren Drittel der Tabelle. Angesichts der Umsatzeinbußen aufgrund der Corona-Pandemie ist zu erwarten, dass die Datenschutzbehörden in diesen Branchen in naher Zukunft keine Rekordbußgelder verhängen werden, besonders nicht gegen kleine Unternehmen. Denn die Datenschutzbehörden haben sicher im Fokus, dass ihr Bußgeld nicht zur Insolvenz eines Unternehmens führen soll. Auffällig war in dieser Branche zudem, dass die ICO nach der anfänglichen Ankündigung eines Bußgeldes gegen British Airways in Höhe von über 200 Millionen Euro diese Summe nun auf ein Zehntel, also auf 22 Millionen senkte.

Fazit: Datenschutzkonzept ausarbeiten

Die bisherige Bußgeldpraxis der Datenschutzbehörden hat gezeigt, dass Unternehmen immer noch zu oft den Grundsatz der Rechtmäßigkeit der Datenverarbeitung missachten. Außerdem sind unzureichende Datensicherheitsmaßnahmen verbreitet. Dieses Ergebnis gilt für alle Branchen. Bessern Unternehmen nach, so lässt sich das Risiko und die Wahrscheinlichkeit von Bußgeldern deutlich senken.

Diese beiden Aspekte punktuell zu behandeln, wird jedoch nicht zur umfassenden Datenschutz-Compliance führen. Im Gegenteil ist zu erwarten, dass auch andere Aspekte wie schlecht umgesetzte Betroffenenrechte (z.B. das Recht auf Löschung von Daten) zu signifikanten Bußgeldern führen werden. Um den Vorgaben der DSGVO also insgesamt Rechnung zu tragen, sollten Unternehmen aller Branchen ein ganzheitliches Datenschutzkonzept umsetzen. Dieses Konzept sollte mindestens die folgenden fünf Punkte umfassen:

• Erstens dürfen Unternehmen nur notwendige Daten für einen legitimen Zweck verarbeiten. So darf ein Online-Shop z.B. ohne separate Einwilligung der Kunden nur deren Rechnungs- und Adressdaten für die Auslieferung der Bestellung verarbeiten. Als überspitztes Beispiel dürfen demgegenüber nicht Religions- oder Gesundheitsdaten verarbeitet werden.
• Zweitens müssen Unternehmen robuste Maßnahmen zur Datensicherheit umsetzen, also die verarbeiteten Kunden- und Arbeitnehmerdaten gegen Zugriffe von außen absichern. Hier sind Zutritts- und Zugriffsbeschränkungen oder die Multi-Faktor-Authentifizierung zu nennen, sowie Maßnahmen wie die Daten-Anonymisierung oder Pseudonymisierung. Die Intensität der Sicherheitsmaßnahmen richtet sich unter anderem danach, wie sensibel die Daten im Einzelfall sind. Verarbeitet ein Unternehmen z.B. Gesundheitsdaten, so sind intensivere Sicherheitsmaßnahmen ein Muss.
• Drittens sind im Unternehmen standardisierte Prozesse für die Geltendmachung von Betroffenenrechten zu etablieren. Das gilt z.B., wenn Kunden oder Arbeitnehmer ihre Rechte auf z.B. Auskunft oder Löschung geltend machen. Es muss dafür gesorgt sein, dass der Anspruchsteller zügig eine Antwort auf seine Anfrage erhält und bei einem Löschungsanspruch restlos alle Daten in allen Datenbanken gelöscht sind.
• Viertens dürfen die im Unternehmen vorgehaltenen Daten nicht länger als notwendig gespeichert werden, sondern sind bei Fortfall des Verarbeitungszwecks zu löschen. Nach einem Gewinnspiel oder einer Marketingaktion beispielsweise sind die Daten der nicht erfolgreichen Teilnehmer unmittelbar nach dem Ende der Aktion zu löschen, weil sie nicht mehr für den ursprünglichen Zweck notwendig sind.
• Fünftens ist an den Fall des Scheiterns der obigen Punkte zu denken. In jedem Unternehmen passieren Fehler und gegen versierte Hackerangriffe sind selbst die besten Sicherheitsmechanismen chancenlos. Deshalb ist ein Notfallplan auszuarbeiten. Das Unternehmen muss schnell die Datenschutzbehörde und die betroffenen Personen von einer Datenschutzverletzung informieren.