Hat sich die DSGVO als „scharfes Schwert“ erwiesen? Gab es die erwarteten hohen Bußgelder? EY Law hat untersucht, wie intensiv in europäischen Ländern von den Vollzugsmöglichkeiten Gebrauch gemacht wurde.
Am 25. Mai 2019 wird die Datenschutzgrundverordnung der Europäischen Union (DSGVO) ein Jahr alt – Zeit, eine erste Bilanz zu ziehen. Hat sich die DSGVO tatsächlich als „scharfes Schwert“ erwiesen? Gab es die erwarteten hohen Bußgelder? EY Law hat untersucht, wie intensiv in verschiedenen europäischen Ländern von den Vollzugsmöglichkeiten Gebrauch gemacht wurde und dazu europaweit Daten von Aufsichtsbehörden angefragt sowie Tätigkeitsberichte der Aufsichtsbehörden und andere öffentlich zugängliche Quellen ausgewertet. Belastbare Daten liegen aus 16 Mitgliedsstaaten vor (u.a. aus Frankreich, Deutschland, Italien und Großbritannien).
Das wichtigste Ergebnis der Analyse: Die europäischen Datenschutzbehörden waren bei der Anwendung der neuen Bußgeldvorschriften im Jahr 2018 insgesamt noch überaus zurückhaltend. In Deutschland wurden nur 54 Verwarnungen aufgrund von Verstößen gegen die DSGVO ausgesprochen, gerade einmal in 42 Fällen wurden Bußgelder verhängt, die sich im Durchschnitt auf gut 16.100 Euro beliefen. Damit waren die deutschen Behörden im europäischen Vergleich am aktivsten: In Lettland wurden in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt. Die Anzahl der Verwarnungen war hingegen in den Niederlanden besonders hoch: Dort wurden 1.018 Verwarnungen gezählt, allerdings nur ein einziger Bußgeldbescheid in Höhe von 600.000 Euro gegen einen Mobilitätsdienstleister wegen eines Verstoßes gegen Sicherheit der Datenverarbeitung. Dieses Bußgeld war zugleich die höchste in der EU im Jahr 2018 verhängte Strafgebühr.
Immerhin in neun der 16 Länder, aus denen Daten vorliegen, wurde in keinem einzigen Fall ein Bußgeld verhängt, und in sechs Ländern gab es nicht einmal eine Verwarnung wegen DSGVO-Verstößen. Inzwischen scheinen die Aufsichtsbehörden aber schärfer gegen Verstöße vorzugehen: Im Januar 2019 verhängte die französischen Aufsichtsbehörde CNIL gegen einen amerikanischen Suchmaschinenbetreiber ein Bußgeld in Höhe von 50 Millionen Euro wegen Verstößen gegen die Rechtmäßigkeit der Verarbeitung sowie der Transparenz- und Informationspflichten.
Peter Katko, Partner bei EY Law, dem Rechtsanwaltsarm von EY: „Die Schonfrist ist inzwischen vorbei. Wir erwarten, dass die europäischen Aufsichtsbehörden ihre Ankündigungen für das Jahr 2019 umsetzen und verstärkt zu höheren Bußgeldern greifen werden. So kündigte beispielweise das Bayrische Landesamt für Datenschutzaufsicht bereits an, die Umsetzung datenschutzkonformer Internettechnologien bezogen auf Tracking überprüfen zu wollen.“ Laut einer EY-Umfrage unter den zuständigen Aufsichtsbehörden erwarten 82 Prozent der Behörden einen Anstieg bei der Verhängung von Bußgeldern und sonstigen Sanktionen. Katko: „Die CNIL hat vorgelegt, andere Behörden dürften folgen.“
Im Jahr 2019 wurden in einigen Fällen bereits empfindliche Strafen gegen Unternehmen verhängt: Neben dem 50-Millionen-Euro-Bußgeld gegen den amerikanischen Suchmaschinenanbieter wurde etwa in Polen ein Informationsdienstleister mit einem Bußgeld von 220.000 Euro belegt. Dieser Dienstleister hatte personenbezogene Daten aus öffentlich zugänglichen Quellen für kommerzielle Zwecke und zur Anreicherung ihrer unternehmenseigenen Datenbank verwendet und die Personen, deren Daten dafür genutzt worden, nicht entsprechend über die Verwendung informiert.
Die Analyse zeigt, dass Sanktionen aufgrund von DSGVO-Verstößen Unternehmen aus jeder Branche und in jeder Organisationsform treffen können, und dass insbesondere Verstöße gegen (IT-)Sicherheit der Daten und Vertraulichkeit geahndet werden: So wurde in Baden-Württemberg ein Bußgeld von 20.000 Euro gegen eine Chat-Plattform wegen eines Verstoßes wegen ungewollter Offenlegung (Hacking) von Nutzerdaten mit ca. 1,8 Millionen Betroffenen verhängt. In Portugal sanktionierte die dortige Aufsichtsbehörde ein Krankenhaus mit einem Bußgeld von 400.000 Euro, da sämtliche Patientendaten in den digitalen Krankenhausakten für alle Ärzte ohne ein technisches Berechtigungs- und Zugangskonzept abrufbar und zugänglich waren. Auch Vereine und Parteien waren betroffen: In Baden-Württemberg wurde direkt zu Beginn des Jahres 2019 ein Bußgeld von 2.500 Euro gegen den früheren Landesvorsitzenden der Jusos BW wegen zweckwidriger und damit unzulässiger Verwendung personenbezogener Daten verhängt.
DSGVO führt zu mehr Arbeit bei Behörden
Zwar war die Zahl der Bußgelder und sonstiger Sanktionen im Jahr 2018 noch überschaubar – dennoch brachte das Jahr 2018 bereits einen enormen Anstieg von Datenschutzanfragen und -meldungen an die zuständigen Behörden. Denn neben der Durchsetzung des neuen Datenschutzrechts haben die Datenschutzbehörden auch die Aufgabe, zu beraten und zu sensibilisieren.
So lagen die Meldungen von Datenschutzpannen gemäß Artikel 33 DSGVO mit durchschnittlich 2.960 pro Behörde auf sehr hohem. Laut Peter Katko von EY Law müssen sich die Behörden weiter auf ein deutlich steigendes Arbeitsaufkommen einstellen: „Obwohl die Pflicht zur Meldung von Datenschutzverletzungen keine Neuerung ist, hat die DSGVO zu einer höheren Sensibilität geführt. In vielen Unternehmen wird nun jeder Datenschutzvorfall gemeldet, der in der Vergangenheit aufgrund der fehlenden Prozesse und Strukturen nicht weiter aufgefallen ist.“
Die Behörden waren außerdem einer Flut von Beratungsersuchen und Anfragen von Verantwortlichen sowie betroffenen Personen ausgesetzt: Im Durchschnitt hat jede europäische Behörde 32.485 solcher Anfragen erhalten. Ein enormer Zuwachs ist außerdem bei den Beschwerden durch betroffene Personen zu verzeichnen. Dieser betrug im Vergleich zu 2017 im Durchschnitt 134 Prozent. Katko sagt dazu: „Die exzessive Auslegung der Vorschriften führten in der Praxis zu Fehlvorstellungen über den Anwendungsbereich der DSGVO. So verstoßen weder personalisierte Klingelschilder noch die Verwendung von Blitzerfotos gegen das neue Datenschutzrecht.“
(Pressemitteilung EY vom 24.05.2019)
