Bußgeldpraxis bei DSGVO-Verstößen: Schluss mit lustig Bußgeldpraxis bei DSGVO-Verstößen: Schluss mit lustig

Vierstellig, fünfstellig: So hoch fielen in Deutschland erste Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) der EU aus, nachdem diese am 25. Mai 2018 unmittelbar wirksam geworden war. Damit agierten die hiesigen Aufsichtsbehörden zunächst vergleichsweise zurückhaltend. Denn die DSGVO sieht Geldbußen von bis zu vier Prozent des gesamten weltweiten Vorjahresumsatzes vor.

Auch das erste überhaupt bekannt gewordenen Bußgeld kam noch recht zahm daher: 400.000 Euro, verhängt in Portugal. Diese Zeiten sind nun vorbei: Die Meldungen über hohe Geldbußen mehren sich.

Mittlerweile wirken die Sanktionen gegen einen Lieferdienst in Höhe von 195.000 Euro und eine Klinik in Höhe von 105.000 Euro schon wie Bagatellen, angesichts der ersten beiden Millionenbußgelder in Deutschland: 14,5 Millionen Euro gegen ein Immobilienunternehmen und 9,5 Millionen Euro gegen einen Telekommunikationsanbieter setzen eine neue Duftmarke.

Doch die Bußgeldbemessung ist alles andere als irrational. Sie basiert auf einem Berechnungsmodell, das die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kürzlich veröffentlicht hat.

Das Modell zielt darauf ab, die Bußgeldbemessung zu harmonisieren. Vereinfacht dargestellt, wird aus dem gesamten weltweit erzielten Umsatz des vorangegangenen Geschäftsjahres ein Tagessatz ermittelt. Dieser wird dann mit einem Faktor multipliziert.

Der Faktor hängt vom Schweregrad des Datenschutzverstoßes ab und beruht auf einem Punktesystem. Darin fließen als Kriterien unter anderem die Dauer des Datenschutzverstoßes und die Anzahl der betroffenen Personen ein. Außerdem findet der Verschuldensgrad des Unternehmens Eingang in die Berechnungen.

Daneben wird berücksichtigt, ob es sich um einen wiederholten Verstoß handelt, wie sich die Kooperationsbereitschaft des Unternehmens mit der Aufsichtsbehörde darstellt und ob das Unternehmen bereits Abhilfemaßnahmen ergriffen hat.

Dies zeigt: Die DSGVO ist in Deutschland kein Papiertiger mehr.

Die Botschaft der erhöhten Bußgelder ist eindeutig: Die Aufsichtsbehörden verleihen den vorhandenen verwaltungsrechtlichen Sanktionen mehr Wirkung. Damit setzen sie die Intention der DSGVO um, durch abschreckende Geldbußen eine konsequente Einhaltung der Datenschutz-Pflichten sicherzustellen.

Spürbare Bußgelder dienen somit als generalpräventive Maßnahme, d.h., sie zielen darauf, Verstöße gegen Gesetze oder andere Vorschriften wirksam zu verhindern. Dies führt zu der klaren Aussage: Vorsorge ist besser – und günstiger – als Nachsorge.

Doch wie geht man mit der neuen Praxis konkret um?

Ich bin der Ansicht, dass Datenschutzrisiken aufgrund dieser aktuellen Entwicklung ein echtes Unternehmensrisiko darstellen. Die Einhaltung der DSGVO wird zu einem essenziellen Compliance-Thema. Die Antwort liegt in einem funktionierenden, effektiven Datenschutz-Managementsystem. Zwar sind DSGVO-Verstöße z. B. aufgrund individuellen menschlichen Versagens nie auszuschließen. Zumindest aber systemimmanente Defizite sind bei einem Datenschutz-Managementsystem, das kontinuierlich auf Wirksamkeit und eventuelle Lücken geprüft wird, weitestgehend vermeidbar.

Unternehmen sind folgerichtig gehalten, ihr Datenschutz-Managementsystem angemessen zu konzeptionieren, wirksam zu implementieren, regelmäßig zu überprüfen und bei Bedarf anzupassen. Dabei helfen unabhängige Stellen, die die Funktion und Wirksamkeit des Systems anhand anerkannter Standards prüfen.

Anderenfalls dürfte das nächste Millionenbußgeld nicht lange auf sich warten lassen.