Seit dem 25. Mai 2018 ist die DSGVO in Kraft. Pünktlich zu ihrem einjährigen Bestehen veröffentlichten unter anderem die Wirtschaftsprüfer von Ernst & Young einen zusammenfassenden Bericht. In aller Kürze: Es gab nur wenige der befürchteten hohen Strafen. Die Schonzeit für nachlässige Unternehmen könnte aber bald vorbei sein.

DSGVO-Strafen deutschlandweit

Die Datenlage in Deutschland ist nicht vollständig klar, denn anders als in anderen europäischen Ländern veröffentlichen die deutschen (Landes-)Datenschutzämter die Fälle nicht automatisch, sondern meist nur nach konkreten Anfragen der Presse. Dies erklärt die Diskrepanz einzelner Erhebungen.

Während die EY-Analysten etwa ermittelten, dass während des ersten Geltungsjahres der DSGVO gerade einmal 42 Verstöße mit einer Strafe geahndet wurden, kommt das „Handelsblatt“ auf die Summe von 70 Verstößen. 81 geahndete Verstößen hingegen vermeldet die „Welt am Sonntag“ unter Berufung auf eine Anfrage bei den Landesdatenschutzbeauftragten selbst.

Welche Zahl nun auch genau stimmt: Klar wird die Größenordnung der bestraften Verstöße, die sich weit unter dem Erwarteten bewegt. Durchschnittlich beliefen sich die Bußgelder auf eine Höhe von etwa 6.000 Euro, wobei die Spanne von wenigen hundert Euro bis zu hohen fünfstelligen Beträgen reicht.

Die EU-DSGVO trat vor einem Jahr in Kraft. Datenschützer werden in Zukunft noch genauer hinsehen.

DSGVO-Verstöße kosten keine Millionen

Bislang sind die befürchteten drakonischen Strafen in Millionenhöhe ebenso ausgeblieben, wie auch großteils die angekündigten Datenschutzkontrollen vor Ort. Dennoch können die Verstöße durchaus teuer werden. Die kostspieligsten Beispiele aus Deutschland sind mittlerweile bekannt.

(Edit: Im November 2109 gab es gegen die „Deutsche Wohnen SE“ das erste Bußgeld über der 10-Millionen-Euro-Grenze in Deutschland. Lies dazu auch unsere Liste der höchsten DSGVO-Strafen.)

Der erste Strafbescheid überhaupt traf die Chat-Plattform Knuddels, die Passwörter unverschlüsselt speicherte (20.000 Euro Strafe). Die höchste Strafe musste ein Krankenhaus berappen, das Gesundheitsdaten seiner Patient*innen versehentlich ins Netz gestellt hatte. Kosten: 80.000 Euro. Bei beiden handelt es sich um Unternehmen in Baden-Württemberg, wo der Datenschutzbeauftrage Stefan Brink für die Umsetzung der Grundverordnung verantwortlich zeichnet.

Ein Jahr #DSGVO – Beschwerden wegen Werbemails und Videoüberwachung https://t.co/jL1Qho3hnH

— LfDI Baden-Württemberg (@lfdi_bw) 25. Mai 2019

Zuletzt machte die Berliner Bank N26 in Sachen DSGVO von sich reden: Sie hatte unliebsame Kund*innen in einer Blacklist gespeichert und ihnen die Gründung neuer Konten verweigert. Unzulässig, wie die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, befand. Der DSGVO-Verstoß wurde mit einer Geldbuße von 50.000 Euro belegt.

Alles nur DSGVO-Einzelfälle?

Die genannten Fälle könnten allerdings nur die Spitze des Eisbergs sein. An mehreren Stellen verlautbarten die Landesdatenschützer, dass es im ersten Schritt eher darum gegangen sei, Unternehmen in Deutschland zu informieren als zu bestrafen. Diese Schonzeit könnte allerdings bald vorbei sein.

‚Die Aufsichtsbehörden brauchten ein bisschen Vorlauf, weil solche Verfahren unter drei bis vier Monaten nicht abzuwickeln sind. Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.. (…) Datenschutz-Vergehen sind keine Kavaliersdelikte, bei denen 120-Euro-Strafen anfallen. Es geht um fünf oder sechsstellige Beträge, in naher Zukunft auch um Bußgelder in Millionenhöhe.“

Landesdatenschutzbeauftragter Stefan Brink im Interview mit dem Spiegel, 24. Januar 2019

Auch über die Verwendung eines Firmenhandys können DSGVO-Verstöße erfolgen. Unternehmen sollten das Thema Enterprise-Mobility-Management deswegen strategisch angehen und Konzepte wie BYOD kritisch prüfen.

DSGVO, WhatsApp und mobile Endgeräte

Betrachten wir kurz die Art der geahndeten Verstöße, wird klar, dass nicht nur massive Datenschutzverstöße wie das unverschlüsselte Speichern von Passwörtern oder die Offenlegung von Daten an Unbefugte in Zukunft ein Problem darstellen werden.

Auch durch vermeintliche Petitessen wie das Versenden von E-Mails an offene Verteiler oder die Nutzung von WhatsApp auf dem Firmenhandy können Verstöße begründet werden. Dazu kann es schon genügen, dass Firmen ihren Mitarbeiter*innen die Nutzung privater mobiler Endgeräte im Job gestatten („Bring your own Device“).

DSGVO-Bilanz nach einem Jahr – Weblinks

• DSGVO und Whatsapp – wo ist das Problem?
• Smartphone-Bank: Berliner Datenschutzbeauftragte verhängt DSGVO-Bußgeld gegen N26 (spiegel.de)
• 485.000 Euro Strafe – Bundesländer ziehen Bußgeld-Bilanz (welt.de)
• DSGVO-Strafe für Knuddels: Ein Echo aus der Vergangenheit (datenschutz.org)
• DSGVO in Zahlen: Hoher Aufwand, aber auch Ertrag (handelsblatt.com)
• So viel mussten Unternehmen bei Datenschutz-Verstößen zahlen (impulse.de)