Der erste DSGVO-Bußgeldbescheid
Wir wetten, die deutschen Unternehmen fürchten sich vor der Datenschutzgrundverordnung (DSGVO) mehr als der Prophet Mohammed persönlich vor einem Prager Schinken. Hakt man nach, hört man die unglaublichsten Anekdoten, was nun alles nicht mehr gehen soll, denn – so sagt der kaufmännische Volksmund – es drohen die unglaublichsten Strafen in Millionenhöhe, wenn nicht gar der sofortige Ruin.
Diesem Schreckensszenario wird das erste auf Grundlage der DSGVO nun verhängte Bußgeld nicht gerecht. 20.000 EUR muss das Netzwerk „Knuddels“ zahlen, das besonders von Kindern und Jugendlichen genutzt wird. Diesem Netzwerk waren durch einen Hackerangriff Daten von 330.000 Nutzern, u. a. E‑Mailadressen und Passwörter, abhanden gekommen. Das Unternehmen meldete das, der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg wurde aktiv, und dann stellte sich heraus, dass es zu dem Leck wohl gekommen war, weil das Netzwerk auf die Passwörter nicht richtig aufgepasst hatte, es hatte sie entgegen Art. 32 Abs. 1 lit a DS-GVO unverschlüsselt gespeichert.
Das Unternehmen warf sich vor dem LfDI quasi in den Staub. Innerhalb weniger Wochen brachte es seine Datenverarbeitung auf neuesten Stand, es kooperierte so vorbildlich, dass das sogar in der Pressemitteilung des LfDI lobend erwähnt wird, und es gab für die Aufarbeitung und die Erneuerung der Datenverarbeitungsstruktur einen sechsstelligen Betrag aus. All das fiel bei der Bemessung des Bußgeldes ins Gewicht. Zudem handelt es sich um ein kleineres, deutsches Netzwerk, dessen Jahresumsätze weit, weit entfernt sind von denen der kalifornischen Giganten.
Es geht aus Art. 83 Abs. 2 DSGVO hervor, dass alle diese Punkte sich auf die Höhe des Bußgeldes auswirken sollen. Im Übrigen muss ein Bußgeld stets wirksam, verhältnismäßig und abschreckend sein, so steht es in Art. 83 Abs. 1 DSGVO. Gerade die Verhältnismäßigkeit, also die Angemessenheit von Zweck und Mittel, begrenzt die Höhe der Bußgelder. Mit anderen Worten: Auch eine Datenschutzbehörde darf niemanden köpfen, nur weil er sich eine leichte Schusseligkeit zuschulden hat kommen lassen. Das bedeutet: Die in Art. 83 Abs. 4 DSGVO genannten Obergrenzen für Bußgelder von 10 Mio. EUR bzw. 2% der weltweiten Umsätze im vorangegangenen Geschäftsjahr sind für schwere Fehler und maximal unkooperative Verantwortliche gedacht.
All das ist in die Bemessung der 20.000 EUR Bußgeld eingeflossen. Zusammen mit den von der Behörde erwähnten sechsstelligen Kosten dürfte der Schaden für das Unternehmen zuzüglich des Rufschadens trotzdem erheblich sein, auch wenn zumindest ein Teil des Geldes schon vor dem 25.05.2018 für mehr Datenschutz hätte ausgegeben werden müssen. Es gibt also keinen Grund, sich beruhigt wieder hinzulegen und den Datenschutz gedanklich in den Keller zu schicken. Die verbreitete Panik, man dürfe jetzt gar nichts mehr tun, weil ansonsten der Ruin droht, wird aber, wie dieser Bußgeldbescheid zeigt, ebenfalls der Sache nicht gerecht.