Experten schaffen Klarheit Wenn der Datenschutz zum Existenzrisiko wird

Die DSGVO hat bei ihrer Einführung auch in vielen Unternehmen für Nervosität gesorgt. Denn der Bußgeldkatalog hat es ganz schön in sich. Unsere Experten klären auf, wie es sich mit den Strafen verhält.
19.11.2019, 16:54
Lesedauer: 3 Min
Zur Merkliste
Von Sven Venzke-Caprarese und Dennis-Kenji Kipker

Mitte des Jahres 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten und mit ihr ein erhöhter Bußgeldrahmen. Bußgelder von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes sind nun möglich. Viele Unternehmerinnen und Unternehmer gerieten damals aufgrund der neuen Vorschriften und Sanktionsmöglichkeiten regelrecht in Panik. Erweiterte Dokumentationspflichten und vermeintlich überbordende Informationspflichten sowie weite Auskunftsrechte sorgten selbst bei gut aufgestellten Unternehmen für Nervosität. Datenschutzbeauftragte von Unternehmen waren gefordert wie nie, teilweise sogar überfordert und legten vereinzelt ihre Ämter nieder.

Mit nüchternem Blick betrachtet konnte allerdings die These vertreten werden, dass sich so viel gar nicht ändern würde. Schließlich galt schon vorher ein Bundesdatenschutzgesetz, das bei richtiger Anwendung einen hohen Datenschutzstandard gewährleistete und über einen offenen Bußgeldrahmen verfügte. Und wenn doch einmal versehentlich etwas schief ging, waren die Datenschutzbehörden häufig kooperationsbereit und konnten gelegentlich sogar als Helfer und Partner verstanden werden. Kurzum, es ging in erster Linie nicht um die Verhängung von Bußgeldern, sondern um die Gewährleistung des Datenschutzes. Ein gutes Beispiel hierfür war die Berliner Aufsichtsbehörde, in deren Zuständigkeitsbereich alle Unternehmen mit Sitz in Berlin fielen, und die im Jahr 2017 nach der alten Gesetzeslage Buß- und Verwarnungsgelder in Höhe von 10 350 Euro verhängte. Die damalige Panik vor der Einführung der DSGVO schien also unbegründet, solange man nicht ein gänzlich datenschutzkonträres Geschäftsmodell verfolgte, wie einige der großen Social-Media-Anbieter.

Gut eineinhalb Jahre nach Einführung der DSGVO zeichnet sich aktuell aber ein etwas anderes Bild. So haben sich die Aufsichtsbehörden vor Kurzem auf einen einheitlichen Handlungsrahmen für Bußgelder geeinigt. Und dieser Handlungsrahmen lässt aufhorchen, da er eine Abkehr von der bisherigen Strategie der Aufsichtsbehörden andeutet. Tatsächlich ist vorgesehen, dass Bußgelder für Datenschutzverstöße direkt am weltweiten Unternehmensumsatz bemessen werden. Selbst bei leichten formellen Verstößen und vollständiger Kooperation kommt man hier schnell zu einem Bußgeld in Höhe eines weltweiten Unternehmenstagesumsatzes. Für Kleinstunternehmen mit einem Jahresumsatz von unter 700 000 Euro gilt dabei grundsätzlich ein Tagessatz von knapp 1000 Euro, für Unternehmen mit einem Jahresumsatz von 500 Millionen Euro beispielsweise ein Tagessatz von 1,25 Millionen Euro. Dieser Tagessatz wird bei formellen Verstößen mit dem Faktor 1 bis 6, bei materiellen Verstößen mit dem Faktor 1 bis 12 multipliziert. Ist der jeweilige Verstoß sehr schwer, sind auch höhere Bußgelder denkbar. Dabei kommt es grundsätzlich nicht darauf an, wie der Unternehmensumsatz im Verhältnis zum Gewinn steht. Und für Unternehmensgruppen wird auf den weltweiten Umsatz der Gruppe abgestellt. Selbst für besagte kleine formelle Verstöße können demnach für Großunternehmen leicht Bußgelder in Millionenhöhe anfallen. Und schwere formelle Verstöße von Kleinstunternehmen können schnell ein Bußgeld in Höhe von 5000 Euro bedeuten. Besonders dramatisch wird die Lage, da einige Aufsichtsbehörden zusätzlich die Ansicht vertreten, dass jeder Verstoß – und sei er noch so klein – sanktioniert werden müsse.

Und teilweise wundert man sich auch, wie sich einige Datenschutzbehörden über aktuelle Verfahren äußern. So ist es zum Beispiel ungewöhnlich, wenn sich die Berliner Aufsichtsbehörde in einem laufenden Verfahren an die Presse wendet und mitteilt, man werde ein Bußgeld in Millionenhöhe verhängen, könne aber zum betroffenen Unternehmen und zu den Einzelheiten noch nichts sagen, da das Verfahren ganz am Anfang stünde. Mittlerweile ist klar, um welches Unternehmen es ging und in welcher Höhe das Bußgeld wofür verhängt wurde: Die Deutsche Wohnen SE mit Sitz in Berlin erhielt ein Bußgeld in Höhe von 14,5 Millionen Euro für ein fehlerhaftes Löschkonzept für persönliche Daten.

Insgesamt ist die aktuelle Entwicklung beachtlich. Sollte sich dieses Vorgehen der Aufsichtsbehörden verfestigen, droht Datenschutz zum echten Unternehmensrisiko zu werden. Betroffen wären hiervon dann nicht nur die schwarzen Schafe, sondern alle Unternehmen jedweder Größe. Das letzte Wort ist aber so oder so noch nicht gesprochen, denn es bleibt abzuwarten, ob das aktuelle Modell von den Gerichten im Hinblick auf die Einhaltung des Verhältnismäßigkeitsgrundsatzes noch einmal korrigiert wird. Zuständig sind hierfür übrigens im konkreten Fall die Strafgerichte und ab einem Bußgeld von 100 000 Euro sogar die Landgerichte. Die Datenschutzpanik, die sich unter Unternehmen Mitte 2018 breit machte und die man damals noch als ungerechtfertigt abtun durfte, könnte sich nunmehr als realistische Vorstellung abzeichnen.

Info

Zur Person

Die Experten

Vor dem Hintergrund von Datenklau und Datenschutz beleuchten sie im WESER-KURIER
alle zwei Wochen Themen der digitalen Welt. Der Weyher Dennis-Kenji Kipker ist unter
anderem als Vorstandsmitglied bei der Europäischen Akademie für Informationsfreiheit und
Datenschutz tätig, der Stuhrer Volljurist Sven Venzke-Caprarese arbeitet als Prokurist
und Justiziar bei dem Bremer Unternehmen Datenschutz Nord.

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+