(September 2019)
Facebook wird wohl die fünf Milliarden Dollar Strafe, die die US-Handelsaufsicht verhängt hat, gut verkraften. Das Unternehmen hat sich auch dazu entschlossen, oh Wunder, ein Gremium zur Datenschutzaufsicht einzurichten. Das Gremium wird immerhin vierteljährlich zusammenkommen. Eigentlich hätte man annehmen können, dass es das schon längst gibt.
Aber kommen wir nach Europa. Ein Bußgeld in zweistelliger Millionenhöhe wurde auf Basis der DSGVO bisher nur in Frankreich erlassen. Die Strafe in der Höhe von 50 Millionen Euro trifft auch keinen Armen der Branche, nämlich Google. Flugs wurde daher der Europasitz von Frankreich nach Irland verlegt. Dort gilt zwar genauso die DSGVO aber offenbar verspricht man sich von den irischen Behörden mehr Verständnis für die Geschäftsgebarung.
OK, Facebook und Google leben von Daten, aber wie sieht es mit anderen Unternehmen aus?
Machen wir einen Blick nach Großbritannien. Da könnte es durchaus seriöse, aber riesengroße Unternehmen treffen. Die britische Aufsichtsbehörde droht British Airways mit einer Strafe von 183 Millionen Pfund (ca. 203 Millionen Euro). Bei einem Hackerangriff wurden nämlich Daten von 500.000 Kunden gestohlen. Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartennummern gelangten in die Hände von wer weiß wem. Die Datenschutzbehörde wirft British Airways vor, nicht für ausreichend Sicherheitsvorkehrungen gesorgt zu haben.
Der Hotelkette Mariott droht eine Geldbuße von 99 Millionen Pfund (ca. 110 Millionen Euro). Auch in diesem Fall wurden Daten gestohlen. 339 Millionen Gäste sollen davon betroffen sein. Der Vorwurf lautet, bei Firmenankäufen keine ausreichende Prüfung in Bezug auf die im Unternehmen verarbeiteten Daten und auf die verwendeten Datensicherheitsmaßnahmen durchgeführt zu haben.
Conclusio: Bei einem Unternehmenserwerb muss in Zukunft auch die Datensicherheit geprüft werden!
Wie sieht es in Deutschland aus? Die DPA berichtet, dass das Land Berlin in absehbarer Zeit eine Strafe in zweistelliger Millionenhöhe vorschreiben wird. Um welches Unternehmen es sich handelt war nicht zu erfahren.
Ebenfalls in Berlin wurde gegen die App-Bank N26 vorgegangen und eine Strafe von 50.000,- Euro verhängt, da sie unbefugt Daten ehemaliger Kunden verarbeitet hat.
Baden-Württemberg verhängte eine Strafe in derselben Höhe, da Gesundheitsdaten ins Internet gelangt sind.
In Österreich betrifft der größte Datenskandal die Post. Sie verkaufte personenbezogene Daten in großem Stil weiter. Dabei wurde unter anderem die Parteienaffinität von rund 2,2 Millionen Österreichern geschätzt und für Wahlwerbung an Parteien und Interessensvertretungen verkauft.
Die Post zeigte sich erstaunt und war sich keiner Schuld bewusst. Hoffentlich verkaufte sie nicht die Daten von Menschen, die einen Bezug zu Kalksburg haben, für Alkoholwerbung. Aber Spaß beiseite. Der Verein für Konsumentenschutz rief dazu auf, Auskunfts- ersuchen über weitergegebene Daten an die Post zu stellen. Die ist aber zur Beantwortung gar nicht in der Lage, was ein neuerlicher Verstoß gegen die DSGVO sein kann. Im Juli brachte schließlich ein Arzt Klage gegen die Post ein. Der Ausgang dieses Prozesses wird spannend.
Die Datenschutzbehörde hat ein Verwaltungsstrafverfahren gegen die Post eingeleitet, das derzeit noch am Laufen ist. Auf die Höhe der Strafe müssen wir also noch warten.
Aber wie verhält sich die Datenschutzbehörde in anderen, weniger spektakulären Fällen? Laut einem Artikel des Standards war die höchste verhängte Strafe 4.800,- Euro und betraf die Nutzung einer unerlaubten Videoüberwachung. Im Moment setzt man noch auf das Prinzip „verwarnen statt strafen“. Das bedeutet, dass Unternehmen, die die DSGVO nicht richtig umsetzen, Bescheide der Behörde erhalten, in denen sie aufgefordert werden, ihre Praktiken anzupassen, jedoch noch keine Strafen vorgeschrieben werden. Erst bei einem weiteren Verstoß werden Bußgelder auferlegt.
Von rund 1.600 Anzeigen handelte es sich bei rund 80% um „Vernaderung“. Die Behörde erkennt das und verfolgt solche Anzeigen nicht weiter.
Es kann also in gewissem Maß Entwarnung gegeben werden. Trotzdem sollte man die Umsetzung der DSGVO im eigenen Unternehmen nicht auf die leichte Schulter nehmen und immer wieder überprüfen. Sicher ist das in Zeiten überbordender Administrationsarbeit kein Vergnügen, aber es ist zu befürchten, dass dieses Thema immer mehr an Bedeutung gewinnt.