Erstes DSGVO-Bußgeld in Deutschland verhängt

Geschrieben am: | Geschätzte Lesezeit: 3 Minuten

Wie der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg mitteilte, wurde am 21. November 2018 das erste Mal in Deutschland ein Bußgeld nach den Regelungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Der Fall ist gleich in mehrfacher Hinsicht interessant.

Der DSGVO-Verstoß und das Bußgeld

Auslöser für das Bußgeld war offenbar, dass das betroffene Unternehmen seiner Pflicht nachkam, eine Datenschutzpanne an die Aufsichtsbehörde zu melden. Das Unternehmen teilte Anfang September der baden-württembergischen Aufsichtsbehörde mit, dass es einen erfolgreichen Hackerangriff gegeben hatte und Nutzerdaten abgezogen wurden, unter denen sich auch die Passwörter der Nutzer im Klartext befanden.

Der Fall verdeutlicht, dass es sich bei der Meldepflicht nach Art. 33 DSGVO nicht nur um eine lästige Formalität handelt sondern um einen Vorgang, der durchaus wirtschaftlich relevante Konsequenzen haben kann.

Allerdings fiel das Bußgeld überraschend günstig aus. Im Vergleich zu den in diesem Fall möglichen Beträgen (der Bußgeldrahmen bis zu 20 Millionen Euro wäre eröffnet gewesen), wirken die verhängten 20.000 Euro doch etwas seltsam. Dementsprechend ausführlich fällt auch die Begründung durch den Landesbeauftragten aus. Entscheidend für die bemerkenswerte Milde waren folgende Punkte:

  1. Das Unternehmen hat sich in jeder Hinsicht bestmöglich und nach Kräften um transparente Aufklärung und Kooperation mit der Behörde bemüht.
  2. Es wurden nach dem Zwischenfall große Anstrengungen zur Verbesserung der IT-Sicherheit unternommen, die das Niveau auch deutlich erhöhten.
  3. Diese Anstrengungen haben für das Unternehmen zusätzlich Kosten in beträchtlicher Höhe verursacht und die Strafe damit „indirekt“ erhöht.

Konsequenzen aus dem Bußgeldverfahren

Die transparente Bußgeldbegründung der Datenschutzaufsichtsbehörde ermöglicht es anderen Unternehmen, viel über die zukünftige Ahndung von Verstößen gegen die DSGVO in Deutschland zu lernen:

  • Die Speicherung von Passwörtern im Klartext ist ein klarer Datenschutzverstoß. Das ist aber nicht wirklich neu.
  • Die Aufsichtsbehörden reagieren auf Datenschutzverstöße und verhängen wie vorgesehen Bußgelder (siehe unser Grundlagenartikel zu Bußgeldern unter der DSGVO).
  • Zumindest in diesem Fall war die Behörde bereit, die Bemühungen des Unternehmens sehr deutlich zu berücksichtigen.

Kann man sich nun darauf verlassen, dass Bußgelder gering ausfallen, wenn man nur artig meldet und dann mitwirkt? Wohl kaum.

  • Bußgelder sollen laut Art. 83 DSGVO abschreckend und verhältnismäßig sein. Über die Verhältnismäßigkeit mag man hier diskutieren können. Von einer Abschreckung kann aber bei dieser niedrigen Bußgeldhöhe kaum gesprochen werden.
  • Außerdem sollen eigentlich die wirtschaftlichen Vorteile, die ein Unternehmen aus dem Datenschutzverstoß zog, durch das Bußgeld mindestens abgezogen werden. Hier wurde dem Unternehmen nun „strafmildernd“ angerechnet, die – zweifellos – hohen Investitionen jetzt nachgeholt zu haben, die ohnehin nötig gewesen wären. Für das betroffene Unternehmen ist das ein sehr angenehmes Ergebnis: Die eigentlich von vornherein geforderte Investition wurde mit behördlichem Segen gestundet, bis sie nicht mehr zu vermeiden war und ihre Höhe verringerte dann auch noch das Bußgeld. Aus Unternehmenssicht könnte sich dieses Vorgehen damit sogar gelohnt haben. Das unterstützt die Zielrichtung der mit der DSGVO beabsichtigten Rechtsänderung sicher nicht und es dürfte zweifelhaft sein, ob andere Fälle ähnlich glimpflich ausgehen.
  • Auch dem allgemeinen Gebot, das EU-Recht im nationalen Bereich durch taugliche Maßnahmen angemessen durchzusetzen, dürfte nicht zweifelsfrei nachgekommen sein. Die klar gewünschte Erhöhung der Bußgelder erfolgt soweit nicht, sondern bewegt sich vielmehr in dem bisher üblichen Bereich. Ob ein solches Vorgehen von der EU langfristig toleriert werden wird, ist sehr fraglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. DHvG Profilbild
    DHvG

    Ich finde es sehr schade das immer nur DSGVO Art 83 Abs 1 zitiert wird … der Verweis auf Art 58 Abs 2 und die Erwägungsgründe geht regelmäßig unter. Dort stehen weitere Möglichkeiten der Abhilfe bereit und: Anstelle von oder zusätzlich zu ist stets wechselseitig zu verstehen. Keine Aufsichtsbehörde hat ein grundsätzliches Interesse daran einem Unternehmen durch überzogene Sanktionen als „Abschreckung“ die Grundlage wirtschaftlichen Handels nachhaltig zu entziehen. Im übrigen liegt hier ein Verstoß im kleinen Sanktionsrahmen nach DSGVO Art 83 Abs 4 lit a (Art 25) vor, in Bezug auf die scheinbare Mitwirkung und dem finanziellen Rahmen des Unternehmens also durchaus „verhältnismäßig“.

    Antworten
    1. Michael Plankemann Profilbild
      Michael Plankemann

      Vielen Dank für Ihren Beitrag.

      Das Bußgeld dürfte sicher im verhältnissmäßigen Rahmen liegen. Als Signal halten wir es aber für zumindest merkwürdig.

      Was lernt denn der nüchterne Geschäftsmann daraus? Die an sich gebotene Investition in eine angemessene Infrastruktur kann mit überschaubarem Risiko eingespart werden. Falls es zu einem Vorfall kommt, bei dem dann ohnehin mitgewirkt werden muss, genügt es, eben diese Mitwirkung artig zu erbringen und die Investition mit der Aufzahlung eines überschaubaren Bußgelds nachzuholen. Vermutlich ist diese Aufzahlung sogar noch geringer, als es die Kosten gewesen wären, den Stand der Technik über die Jahre mitzugehen. Unterm Strich ist das eventuell sogar ein Gewinngeschäft, wenn man die ersparten Aufwendungen mit einbezieht.

      Dass der Aufsichtsbehörde grundsätzlich auch andere Reaktionen möglich gewesen wären, ist völlig richtig. Hier aber hat sich die Aufsicht doch gerade für die Verhängung eines Bußgeldes entschieden. Für dieses gelten dann aber die Vorzeichen angemessen, verhältnismäßig und abschreckend.

      Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.