R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
Logo ruw-online
Logo ruw-online
Suchmodus: genau  
 
 
CNL 2022, 4
Savary 

Jahr der Rekorde im Datenschutz

Eine europaweite Analyse zeigt einen erneuten Anstieg der Bußgelder für Verletzungen der Datenschutz-Grundverordnung (DSGVO) – sowohl in der Anzahl als auch in der Höhe. Innerhalb von zwölf Monaten bis zum Frühjahr 2022 verhängten die Datenschutzbehörden mit 505 Bußgeldern fast ebenso viele Bußgelder wie in den drei Jahren zuvor insgesamt (526 Fälle). Ein neues Rekordbußgeld in Höhe von 746 Mio. EUR der luxemburgischen Datenschutzbehörde und ein Bußgeld der irischen Datenschutzbehörde von 225 Mio. EUR trieben die Gesamtsumme auf nunmehr 1,5 Mrd. EUR.

Abbildung 4

Personenbezogene Daten: Vor allem unzureichende Rechtsgrundlagen für deren Verarbeitung lösen häufig Bußgelder aus.

Schon vor dem Inkrafttreten der DSGVO im Mai 2018 hatte deren Sanktionsrahmen mit Bußgeldern von bis zu 20 Mio. EUR oder – noch gewichtiger – bis zu 4 Prozent des globalen Jahresumsatzes einer Organisation für viel Aufmerksamkeit und emsiges Treiben in den Compliance-Abteilungen gesorgt. Vier Jahre später ist deutlich, dass die Datenschutzbehörden von ihren Sanktionsmöglichkeiten durchaus Gebrauch machen. Der dritte jährliche GDPR Enforcement Tracker Report kann sich mittlerweile auf Erkenntnisse aus über 1.000 analysierten Bußgeldern aus dem GDPR Enforcement Tracker stützen, in dem fortlaufend alle öffentlich bekannten DSGVO-Bußgelder gelistet werden.

Auch jenseits der schlagzeilenheischenden zwei- oder gar dreistelligen Millionenbußgelder waren die Datenschutzbehörden im letzten Jahr sehr aktiv. Der deutliche Anstieg der Anzahl der Bußgelder lässt vermuten, dass die Behörden mittlerweile auf eingeschliffene Prozesse zur Prüfung möglicher Datenschutzverstöße und der Durchführung entsprechender Bußgeldverfahren zurückgreifen können. Der Trend hin zu mehr Durchsetzungsaktivitäten scheint ungebrochen und so sind auch für die kommenden Monate und Jahre viele Verfahren zu erwarten.

Auffällig ist, dass einige Branchen exponierter erscheinen als andere. Vor allem im Medien- und Telekommunikationsbereich, aber auch in Industrie und Handel werden deutlich mehr DSGVO-Sanktionen verhängt als in anderen Wirtschaftszweigen. Das hängt nicht zuletzt mit der Nähe zu neuen, oftmals datengetriebenen Technologien sowie dem B2C-Geschäft mit besonders vielen möglichen betroffenen Personen zusammen. Wenig überraschend richten sich sechs der höchsten zehn Bußgelder gegen bekannte globale Technologiekonzerne.

Wie in den Jahren zuvor lösten vor allem unzureichende Rechtsgrundlagen für die Datenverarbeitung, ungenügende technische und organisatorische Maßnahmen zum Datenschutz sowie Verstöße gegen die allgemeinen Grundsätze für Datenverarbeitung Bußgelder aus. Aber auch Verstöße gegen Betroffenenrechte stehen vermehrt im Fokus der Datenschutzbehörden. Werden betroffene Personen nicht ausreichend über die Verarbeitung ihrer Daten informiert oder kommt ein Unternehmen ihren Anträgen nicht oder nicht schnell genug nach, zieht dies in vielen Fällen ein Bußgeld nach sich. Gerade was die Information von Betroffenen anbelangt, ist der Maßstab der Behörden über die Jahre spürbar strenger geworden. Datenschutzhinweise sollten nicht nur vollständig sein, sondern klar strukturiert und leicht verständlich. Muss eine betroffene Person sich durch zig Unterseiten einer Webseite klicken, um ein vollständiges Bild der Datenverarbeitung und ihrer Rechte zu erhalten, verletzt dies in der Regel die Vorgaben zur Transparenz und leichten Zugänglichkeit.

Ist ein Unternehmen nicht nur in einem Land tätig, wird die Einhaltung von Datenschutzvorgaben zu einer noch größeren Herausforderung. Auch wenn eine europaweite Harmonisierung erklärtes Ziel der DSGVO war, so ist die Praxis doch alles andere als einheitlich. Nationales Recht, vor allem hinsichtlich Behördenorganisation und Verwaltungsverfahren, führt zu erheblichen Unterschieden in der Umsetzung der DSGVO-Vorschriften. Dass einige Länder (vermeintlich) deutlich aktiver sind als andere, liegt nicht nur an den unterschiedlichen Ressourcen, die den Behörden mit Blick auf Personal, Ausrüstung und finanzielle Mittel zur Verfügung stehen. Einige Unterschiede lassen sich auf Verschiedenheiten in der Publikationspraxis zurückführen, die das Bild verzerren. Während einige Datenschutzbehörden nahezu jedes Bußgeld öffentlich machen, sind andere – aufgrund von rechtlichen Vorgaben oder gewachsener Praxis – sehr zurückhaltend.

Die Millionenbußgelder bilden nur die Spitze des Eisbergs und versperren manchmal den Blick darauf, dass die Datenschutzbehörden ihre Bußgeldaktivitäten allgemein gesteigert haben. Auch der – immer kleiner werdende – Kreis von Unternehmen, bei denen Datenverarbeitung nicht im Mittelpunkt der Geschäftstätigkeit steht, fliegt nicht unter dem Radar der Behörden. Die unternehmensinternen Compliance-Konzepte und -Prozesse zum Datenschutz sollten regelmäßig auf den Prüfstand gestellt und angepasst werden. Sonst passiert es schnell, dass aus einer ursprünglich rechtmäßigen Datenverarbeitung, eine unrechtmäßige wird und ein Bußgeldverfahren droht.

Dr. Fiona Savary

Abbildung 5

Dr. Fiona Savary ist Rechtsanwältin (Schweiz) bei der internationalen Wirtschaftskanzlei CMS Deutschland. Sie ist spezialisiert auf Rechtsfragen im Zusammenhang mit Informationstechnologie und Digitalisierung.

 
stats