Datenschutz: Öffentliche Hand muss Vorbild sein

Verhängte Bußgelder – auch gegen die öffentliche Hand

Die Datenschutzgrundverordnung (DSGVO) wurde im Mai 2021 drei Jahre alt und pünktlich zum Geburtstag wurde auch der CMS Enforcement Tracker Report 2021 mit einer Auswertung der bislang verhängten DSGVO-Bußgelder veröffentlicht. Die Daten des CMS Enforcement Tracker Reports stammen dabei aus dem CMS Enforcement Tracker, einer kostenlosen und beinahe täglich aktualisierten Datenbank mit einer Auflistung von DSGVO-Bußgeldern aus allen europäischen Staaten.

Das Ergebnis der Auswertungen: Verstöße gegen Datenschutzbestimmungen können für Unternehmen sehr teuer werden. Laut Statistik des CMS Enforcement Trackers wurden bis dato rund 680 öffentlich bekannte Bußgelder mit einer Gesamtsumme von rund 285 Millionen Euro verhängt (davon 526 Bußgelder, die bis zum Redaktionsschluss des CMS Enforcement Tracker Reports auswertbar waren). Nicht selten traf es dabei einzelne Unternehmen mit ein- oder zweistelligen Millionenbeträgen. Die „Top 10“ der DSGVO-Bußgelder führt dabei derzeit das Unternehmen Google an, gegen das bereits 2019 in Frankreich ein Bußgeld in Höhe von 50 Millionen Euro verhängt wurde. Auf Platz 2 liegt seit Oktober 2020 die Modekette H&M mit einem Bußgeld in Höhe von rund 35 Millionen Euro – verhängt in Deutschland.

Trotz dieser „Monster-Bußgelder“ ist aber keine Panik geboten, denn diese fallen trotz allem in der Regel differenzierter aus, als von den Medien durch Schlagzeilen zu Rekordstrafen oftmals der Eindruck erweckt wird.

Im Bereich „Public Sector and Education“ listet der CMS Enforcement Tracker Report 2021 78 Bußgelder (49 mehr als noch im Enforcement Tracker Report 2020) aus 17 verschiedenen Ländern gegen Vertreter der öffentlichen Hand sowie gegen Schulen und Universitäten auf. Diese 79 Bußgelder belaufen sich auf einen Gesamtwert in Höhe von etwa fünf Millionen Euro (1,8 Millionen Euro mehr im Vergleich zum Enforcement Tracker Report 2020). Diese (im Vergleich zu anderen Sektoren) eher geringe Gesamtsumme dürfte zum Teil auch darin liegen, dass in Ländern wie Deutschland gemäß § 43 Abs. 2 BDSG gegen Behörden und sonstige öffentliche Stellen des Bundes generell keine Bußgelder verhängt werden können. Wie dies in anderen europäischen Ländern geregelt ist, zeigt der 2021 erstmalig im CMS Enforcement Tracker Report enthaltene Ländervergleich in Form von Interviews mit den einzelnen Jurisdiktionen.

Die Bußgelder im Bereich „Public Sector and Education“  wurden dabei unter anderem gegen Schulen und andere Bildungseinrichtungen wie Universitäten verhängt. Dies liegt mitunter an pandemiebedingten Umstellungen, die Bildungseinrichtungen im Rahmen der COVID19-Pandemie vornehmen mussten und die zur Einführung neuer IT-Systeme und Prozesse geführt haben. Beispielsweise haben einige Universitäten im Rahmen der COVID19-Pandemie auf Online-Kurse und Online-Prüfungen umgestellt, ohne dabei immer den Datenschutz und die Informationssicherheit ausreichend beachtet zu haben. Dies führte mitunter dazu, dass personenbezogene Daten von Studierenden nicht hinreichend gesichert gegen Einsichtnahme durch unberechtigte Dritte waren (siehe etwa das Bußgeld im Enforcement Tracker unter der ETid-527). In anderen Fällen wurden dagegen von Schülern umfangreich Daten gesammelt, ohne dass hierfür eine ausreichende Rechtsgrundlage existierte oder die Prinzipien der Datenminimierung und Datensparsamkeit ausreichend berücksichtigt wurden. Der diesen Prinzipien zugrundeliegende Erforderlichkeitsgrundsatz muss insbesondere dann beachtet werden, wenn von natürlichen Personen besonders sensible Daten, wie biometrische Daten oder Gesundheitsdaten, verarbeitet werden. Ein Verstoß gegen diese Grundsätze hatte bereits 2019 im Falle einer schwedischen Schule zu einem Bußgeld geführt, die ein (technisch gesehen innovatives) Gesichtserkennungssystem zur Überwachung der Anwesenheit von Schülern verwendet hatte (siehe Bußgeld im Enforcement Tracker unter der ETid-67).

Als nach wie vor höchstes Bußgeld im öffentlichen Sektor gilt aber nach wie vor das bereits 2019 verhängte Bußgeld gegen die Nationale Steuerbehörde Bulgariens (siehe Bußgeld im Enforcement Tracker unter der ETid-71) in Höhe von rund 2,6 Millionen Euro. Grund hierfür war eine IT-Sicherheitsschwachstelle, die dazu führte, dass personenbezogene Daten von etwa sechs Millionen Steuerzahlern für unautorisierte Dritte zugänglich waren.

Der auch im öffentlichen Bereich häufigste Grund für Bußgelder (35 Fälle) war das Fehlen von ausreichenden Rechtsgrundlagen für Datenverarbeitungen (Verstoß gegen Art. 5, 6 DSGVO). Im Grundsatz gilt, dass jegliche Datenverarbeitung stets verboten ist, es sei denn, es gibt eine Rechtsgrundlage hierfür. Die möglichen Rechtsgrundlagen sind insbesondere in Art. 6 DSGVO aufgeführt. Zudem können spezifischere Rechtsgrundlagen auch in nationalen Gesetzen, wie in Deutschland dem BDSG oder in Datenschutzgesetzen der Bundesländer, enthalten sein. Für eine rechtssichere Gestaltung der Datenverarbeitung müssen daher auch öffentliche Stellen eine sorgfältige datenschutzrechtliche Prüfung aller in Betracht kommenden Rechtsgrundlagen voranstellen und dadurch sicherstellen, dass sie ihre Verarbeitungsaktivitäten entweder auf eine (dokumentierte) Einwilligung der betroffenen Personen oder auf einen gesetzlichen Erlaubnistatbestand stützen können.

Aufgrund ihrer besonderen Vertrauensstellung sollten öffentliche Stellen als Vorbilder in Sachen Datenschutz vorangehen

Neue Herausforderungen der weltweiten Pandemie, Schrems II und sonstige Rechtsunsicherheiten bei internationalen Datentransfers sowie allgemein eine gesteigerte Bereitschaft unter Datenschutz-Aufsichtsbehörden, unrechtmäßige Datenverarbeitungen mit Geldbußen zu belegen, führen bei Unternehmen zu immer größerer Verunsicherung. Unternehmen fragen daher verstärkt nach offiziellen Richtlinien und Handlungsanweisungen, um Bußgeldrisiken zu reduzieren (beispielsweise danach, welche zusätzlichen Sicherheitsmaßnahmen gemäß dem Schrems II Urteil des EuGH für internationale Datentransfers erforderlich sind). Eine weitere Säule sollte hier sein, dass Unternehmen sich datenschutzkonformes Handeln auch von Behörden abschauen können, was wiederum erfordert, dass öffentliche Stellen selbst ein hohes Datenschutzniveau leben und ihre eigenen Prozesse dahingehend ausrichten. Öffentliche Stellen sollten also ein Vorbild für Unternehmen der Privatwirtschaft sein und zeigen, wie mit alltäglichen Fragen, wie beispielsweise dem datenschutzkonformen Einsatz von Office365, umzugehen ist.

Die Praxis zeigt jedoch, dass Behörden mit zahlreichen datenschutzrechtlichen Themen zu kämpfen haben und die Datenschutznachlässigkeit vieler Unternehmen vielleicht gar nicht auf ein – teilweise unterstelltes – profitgetriebenes Verhalten zurückzuführen ist, sondern vielmehr auf die allgemeine Unsicherheit hinsichtlich bestimmter Datenschutzthemen, die bei Behörden und Unternehmen gleichermaßen zu existieren scheinen. Dies wird sich auch in den Jahren 2021 und 2022 weiter fortsetzen, wenn die pandemierelevanten Themen wie digitaler Impfausweis und Grüner Pass sowie die Rückverfolgung von Infektionsketten ein Dauerbrenner im öffentlichen Bereich bleiben. Auch für Unternehmen werden in den nächsten Jahren Datenschutzthemen wie Regelungen fürs Homeoffice, die Verarbeitung von Impfnachweisen von Mitarbeitern sowie internationale Datentransfers ein (unbeliebter) Wegbegleiter bleiben. In dieser Hinsicht ist zu hoffen, dass sich Unternehmen zumindest in manchen Aspekten ein datenschutzkonformes Verhalten bei der öffentlichen Hand abschauen können.