Thought Leadership
Immer mehr und immer höher – so lässt sich die Entwicklung der Bußgelder im vierten Jahr seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) laut einer europaweiten Analyse auf den Punkt bringen.
Mit über 505 Bußgeldern verhängten die Datenschutzbehörden in einem Zwölfmonatszeitraum so viele Bußgelder wie in den drei Jahren zuvor zusammengenommen. Für besonders viele Schlagzeilen sorgten überdies zwei Bußgelder im dreistelligen Millionenbereich gegen zwei global tätige Technologiekonzerne. Die Gesamtsumme der Bußgelder beträgt mittlerweile deutlich über 1,5 Milliarden Euro. Was sind die Hintergründe dieser Entwicklung und was können Unternehmen daraus für ihre Datenschutzpraxis ableiten?
Das bei Verstößen gegen die DSGVO sehr hohe Bußgelder drohen – nämlich bis zu 20 Millionen Euro oder gar bis zu 4 Prozent des globalen Jahresumsatzes – dürfte mittlerweile allgemein bekannt sein. Im laufend aktualisierten GDPR Enforcement Tracker werden seit der ersten Stunde des Inkrafttretens der DSGVO alle öffentlich bekannten DSGVO-Bußgelder gesammelt und kategorisiert. So kann der dritte jährliche GDPR Enforcement Tracker Report mittlerweile auf Erkenntnisse aus über tausend analysierten Bußgeldern zurückgreifen.
Im Fokus der Datenschutzbehörden
Ein Blick in die Top Ten der höchsten verhängten Bußgelder zeigt ein klares Bild: Große Internetunternehmen mit ihren datengetriebenen Geschäftsmodellen stehen besonders im Behördenfokus. Aber auch jenseits der Rekordbußgelder bestätigt sich dieser Eindruck: Die Medien- und Telekommunikationsbranche sowie die Sparte Industrie und Handel treffen häufiger DSGVO-Sanktionen als andere Wirtschaftsbereiche. Das liegt zum einen am Massengeschäft, das auf Verbraucher ausgerichtet ist, wodurch es besonders viele betroffene Personen gibt, deren Daten verarbeitet werden. Zum anderen stellt die Verarbeitung solcher Daten kein Nebenprodukt, sondern den eigentlichen Kern der Geschäftstätigkeit dar.
Inhaltlich lag der Schwerpunkt der Behördentätigkeit auf DSGVO-Verstößen wegen unzureichender Rechtsgrundlagen für die Datenverarbeitung, ungenügender technischer und organisatorischer Maßnahmen zum Schutz der Daten sowie gegen die allgemeinen Grundsätze der Datenverarbeitung. Daneben führten Verstöße gegen die Rechte betroffener Personen (zum Beispiel Recht auf Auskunft, Recht auf Löschung) zu zahlreichen Sanktionen. Im Zusammenhang mit Betroffenenrechten wurde die unzureichende Information der Betroffenen vermehrt gerügt. Die Anforderungen an eine allen Vorgaben genügende Datenschutzerklärung sind strenger geworden. Dabei ist es für Unternehmen nicht leicht, den Spagat zwischen Vollständigkeit, Übersichtlichkeit und Transparenz zu schaffen. Wenig hilfreich ist zudem, dass die Vorstellungen der Datenschutzbehörden in verschiedenen Ländern in diesem Punkt auseinander gehen. Die Behörden achten mittlerweile sehr darauf, dass die Datenschutzinformationen nicht nur vollständig sind, sondern auch leicht auffindbar. Müssen Nutzer:innen sich erst durch zig Unterwebseiten klicken oder die Informationen aus mehreren Dokumenten mühsam zusammentragen, genügt dies den Anforderungen an Transparenz und Übersichtlichkeit nicht.
Einheitliche Umsetzung in der EU – weit gefehlt
Wer sich von der DSGVO eine schnelle Harmonisierung der europäischen Datenschutzpraxis erhofft hatte, wurde bisher enttäuscht. Die Datenschutzbehörden legen durchaus eine gewisse Kreativität in der Auslegung der DSGVO-Vorschriften an den Tag. Hinzu kommen nationale Normen, welche die Verwaltungspraxis, die Behördenorganisation sowie die (Nicht-)Veröffentlichungspraxis der Datenschutzbehörden stark prägen. Große Unterschiede zwischen den verschiedenen EU-Mitgliedstaaten bestehen zudem hinsichtlich der personellen, finanziellen und sonstigen Ressourcen, die den Behörden zur Verfügung stehen. Doch nicht nur die tatsächliche Durchsetzung der DSGVO unterscheidet sich, sondern auch die wahrgenommene. Wenn einzelne Datenschutzbehörden als zurückhaltender als andere erscheinen, lässt sich das in manchen Fällen unter anderem durch eine sehr restriktive Publikationspraxis erklären. Während in manchen Ländern wie Spanien so gut wie jedes Bußgeld veröffentlicht wird, halten sich etwa die deutschen Behörden sehr zurück. Dadurch entsteht auf den ersten Blick ein verzerrtes Bild davon, welche Behörden „aktiver“ sind.
Diese restriktive Bekanntmachung von Bußgeldern und Verfahren sowie die entsprechend einseitige Berichterstattung über einige wenige Rekordbußgelder in den Medien kann den Eindruck erwecken, dass kleinere Unternehmen durch die Datenschutzbehörden wenig zu befürchten hätten. Dieser Eindruck täuscht aber. Nur weil manche Behörden aus rechtlichen Gründen solche Fälle nicht publik machen, heißt es noch lange nicht, dass es sie tatsächlich nicht gibt. Die Dunkelziffer der nicht bekannten Bußgelder ist– gerade in Deutschland – sehr hoch.
Verstärkte Durchsetzungsaktivitäten
Nach vier Jahren DSGVO sind die Prozesse zur Prüfung möglicher Verstöße und Durchführung von Bußgeldverfahren bei den Datenschutzbehörden gut eingeschwungen. Der starke mediale Fokus auf die Millionenbußgelder darf nicht darüber hinwegtäuschen, dass die Bußgeldaktivitäten der Datenschutzbehörden allgemein spürbar zugenommen haben. Ein Nachlassen der Durchsetzungsaktivitäten ist auch in diesem Jahr nicht zu erwarten. Gerade Internetunternehmen mit starkem Verbraucherfokus sind daher gut beraten, Änderungen und Verschärfungen in der Behördenpraxis aktiv zu verfolgen. Zudem sollten Unternehmen die vorhandene Datenschutzdokumentation, insbesondere die Datenschutzerklärung, regelmäßig überprüfen und aktualisieren.
