Wie der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg mitteilte, wurde am 21. November 2018 das erste Mal in Deutschland ein Bußgeld nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Der Fall ist gleich in mehrfacher Hinsicht interessant.
Der DSGVO-Verstoß und das Bußgeld
Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen seiner Pflicht nachkam, eine Datenschutzpanne an die Aufsichtsbehörde zu melden. Das Unternehmen teilte Anfang September der baden-württembergischen Aufsichtsbehörde mit, dass es einen erfolgreichen Hackerangriff gegeben hatte und Nutzerdaten abgezogen wurden, unter denen sich auch die Passwörter der Nutzer im Klartext befanden.
Der Fall verdeutlicht, dass es sich bei der Meldepflicht nach Art. 33 DSGVO nicht nur um eine lästige Formalität handelt sondern um einen Vorgang, der durchaus wirtschaftlich relevante Konsequenzen haben kann.
Allerdings fiel das Bußgeld überraschend günstig aus. Im Vergleich zu den in diesem Fall möglichen Beträgen (der Bußgeldrahmen bis zu 20 Millionen Euro wäre eröffnet gewesen), wirken die verhängten 20.000 Euro doch etwas seltsam. Dementsprechend ausführlich fällt auch die Begründung durch den Landesbeauftragten aus. Entscheidend für die bemerkenswerte Milde waren folgende Punkte:
- Das Unternehmen hat sich in jeder Hinsicht bestmöglich und nach Kräften um transparente Aufklärung und Kooperation mit der Behörde bemüht.
- Es wurden nach dem Zwischenfall große Anstrengungen zur Verbesserung der IT-Sicherheit unternommen, die das Niveau auch deutlich erhöhten.
- Diese Anstrengungen haben für das Unternehmen zusätzlich Kosten in beträchtlicher Höhe verursacht und die Strafe damit „indirekt“ erhöht.
Konsequenzen aus dem Bußgeldverfahren
Die transparente Bußgeldbegründung der Datenschutzaufsichtsbehörde ermöglicht es anderen Unternehmen, viel über die zukünftige Ahndung von Verstößen gegen die DSGVO in Deutschland zu lernen:
- Die Speicherung von Passwörtern im Klartext ist ein klarer Datenschutzverstoß. Das ist aber nicht wirklich neu.
- Die Aufsichtsbehörden reagieren auf Datenschutzverstöße und verhängen wie vorgesehen Bußgelder (siehe unser Grundlagenartikel zu Bußgeldern unter der DSGVO).
- Zumindest in diesem Fall war die Behörde bereit, die Bemühungen des Unternehmens sehr deutlich zu berücksichtigen.
Kann man sich nun darauf verlassen, dass Bußgelder gering ausfallen, wenn man nur artig meldet und dann mitwirkt? Wohl kaum.
- Bußgelder sollen laut Art. 83 DSGVO abschreckend und verhältnismäßig sein. Über die Verhältnismäßigkeit mag man hier diskutieren können. Von einer Abschreckung kann aber bei dieser niedrigen Bußgeldhöhe kaum gesprochen werden.
- Außerdem sollen eigentlich die wirtschaftlichen Vorteile, die ein Unternehmen aus dem Datenschutzverstoß zog, durch das Bußgeld mindestens abgezogen werden. Hier wurde dem Unternehmen nun „strafmildernd“ angerechnet, die – zweifellos – hohen Investitionen jetzt nachgeholt zu haben, die ohnehin nötig gewesen wären. Für das betroffene Unternehmen ist das ein sehr angenehmes Ergebnis: Die eigentlich von vornherein geforderte Investition wurde mit behördlichem Segen gestundet, bis sie nicht mehr zu vermeiden war und ihre Höhe verringerte dann auch noch das Bußgeld. Aus Unternehmenssicht könnte sich dieses Vorgehen damit sogar gelohnt haben. Das unterstützt die Zielrichtung der mit der DSGVO beabsichtigten Rechtsänderung sicher nicht und es dürfte zweifelhaft sein, ob andere Fälle ähnlich glimpflich ausgehen.
- Auch dem allgemeinen Gebot, das EU-Recht im nationalen Bereich durch taugliche Maßnahmen angemessen durchzusetzen, dürfte nicht zweifelsfrei nachgekommen sein. Die klar gewünschte Erhöhung der Bußgelder erfolgt soweit nicht, sondern bewegt sich vielmehr in dem bisher üblichen Bereich. Ob ein solches Vorgehen von der EU langfristig toleriert werden wird, ist sehr fraglich.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!