DSGVO-Strafen nehmen Fahrt auf

Die seit Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) schlägt sich mittlerweile verstärkt in Form von 
empfindlichen Geldstrafen nieder. Während die Zahl und die Höhe der Geldbußen stark steigen, müssen viele Unternehmen an
ihrer Umsetzung der Vorschriften noch arbeiten, mahnen die Anwälte Sabine Fehringer (Partner) und Stefan Panic (Counsel) 
von der Kanzlei DLA Piper zur Vorsicht. [...]

Im Jahr 2020 sind Meldungen über Verletzungen des Schutzes personenbezogener Daten (Data Breach-Meldungen) EU-weit im zweistelligen Prozentbereich gewachsen (siehe »GDPR fines and data breach survey«, DLA Piper, Jänner 2021). Es wurden über 121.000 Data Breaches gemeldet. Gleichzeitig wurden auch Datenschutzverletzungen im Durchschnitt strenger bestraft, denn die Summe der Geldbußen hat sich binnen eines Jahres um 158,5 Millionen Euro erhöht. Das entspricht einem knapp 40-prozentigen Anstieg im Vergleich zu den ersten 20 Monaten der DSGVO-Anwendung.

Von einer homogenen Entwicklung quer durch die EU-Staaten kann man jedoch nicht sprechen. So zeigen sich mitunter starke Differenzen in der gelebten Datenschutz-Kultur. Während Deutschland (77.747) und die Niederlande (66.527) die meisten Meldungen seit Mai 2018 verzeichneten, wurden in Italien und Frankreich Data Breaches nur in jeweils vierstelliger Höhe gemeldet. Dennoch hat gerade die italienische Behörde mit knapp 70 Millionen Euro die bisher höchste aggregierte Strafsumme verbucht. Österreich liegt mit 2.513 gemeldeten Data Breaches unionsweit auf Platz 14. Die bisherige Summe der Strafen in lediglich fünfstelliger Höhe ist – vor allem auch aufgrund der erfolgreichen Beschwerde der Post AG gegen eine zunächst verhängte und mittlerweile aufgehobene 18-Millionen-Euro-Strafe – noch überschaubar.

Längst keine Schonfrist mehr

Die Aufsichtsbehörden in den einzelnen EU-Ländern nehmen ihre Befugnisse in zunehmendem Maße wahr und verhängen zum Teil bereits sehr hohe Strafen. Durch die wirtschaftlichen Folgen der Covid-Pandemie haben die Aufsichtsbehörden jedoch mehrere hohe Geldbußen aufgrund finanzieller Härten erheblich reduziert. Die Behörden werden jedoch nicht lange Milde walten lassen. Und Unternehmen werden versuchen, gegen ausgesprochene Strafen vorzugehen. Denn angesichts der Höhe der möglichen Geldbußen und des Risikos von Folgeklagen auf Schadenersatz ist zu erwarten, dass sich der Trend zu mehr Einsprüchen und einer robusteren Verteidigung gegen Vollstreckungsmaßnahmen weiter fortsetzen wird.

Aus Unternehmenssicht ist es ratsam, es erst gar nicht zu Verstößen kommen zu lassen. Das lässt sich nur mit einer konsequenten Beachtung der Vorschriften gewährleisten. Das Bewusstsein vieler Unternehmen mag durch einige spektakuläre Geldstrafen wie die von der französischen Datenschutzbehörde verhängte Rekord-Geldbuße gegen Google im Ausmaß von 50 Millionen Euro bereits geschärft sein. Die Umsetzung ist oftmals dennoch mangelhaft.

Die Herausforderungen

Ein häufig heikler Bereich ist dabei die Datenaufbewahrung. Um hier vorschriftsgemäß zu handeln, ist die Erstellung von Löschkonzepten unabdingbar. Die einwandfreie Umsetzung gestaltet sich hier jedoch häufig schwierig. Auch was die verpflichtende Cookie-Einwilligung betrifft, gibt es vielerorts noch Nachholbedarf. Einige Websites sind auch über zweieinhalb Jahre nach Anwendung der DSGVO noch weit davon entfernt, rechtskonform zu sein. Die Implementierung der notwendigen Datenschutzerklärungen zur Erfüllung der Informationspflichten ist wohl auf dem Großteil der Unternehmenswebsites schon erfolgt.

Gut gemeint heißt aber nicht unbedingt gut gemacht: Bei genauerem Blick fallen hier massive Schwachpunkte auf: Die Datenschutzerklärungen sind in manchen Fällen zu allgemein gehalten oder bieten keine ausreichende Transparenz. Auf einem solchen Verstoß basiert schließlich auch die genannte Rekord-Geldbuße gegen Google.

Eine sehr große Baustelle für die Zukunft bleibt auch die Datenweitergabe an Drittländer außerhalb des EW-Raumes, vor allem an die USA. Durch das Mitte 2020 gefällte Urteil in der Rechtssache Schrems II wurde der bisherige Mechanismus Privacy Shield zur Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA für ungültig erklärt. Erschwerend hinzu kommt auch, dass die Verwendung der EU-Standardvertragsklauseln praktisch erheblich erschwert wurde. Das wird betroffene Unternehmen auch weiterhin beschäftigen, zumal für 2021 die ersten Durchsetzungsmaßnahmen in diesem Bereich zu erwarten sind.