Wir wetten, die deutschen Unter­nehmen fürchten sich vor der Daten­schutz­grund­ver­ordnung (DSGVO) mehr als der Prophet Mohammed persönlich vor einem Prager Schinken. Hakt man nach, hört man die unglaub­lichsten Anekdoten, was nun alles nicht mehr gehen soll, denn – so sagt der kaufmän­nische Volksmund – es drohen die unglaub­lichsten Strafen in Millio­nenhöhe, wenn nicht gar der sofortige Ruin.

Diesem Schre­ckens­sze­nario wird das erste auf Grundlage der DSGVO nun verhängte Bußgeld nicht gerecht. 20.000 EUR muss das Netzwerk „Knuddels“ zahlen, das besonders von Kindern und Jugend­lichen genutzt wird. Diesem Netzwerk waren durch einen Hacker­an­griff Daten von 330.000 Nutzern, u. a. E‑Mailadressen und Passwörter, abhanden gekommen. Das Unter­nehmen meldete das, der Landes­be­auf­tragte für Daten­schutz und Infor­ma­ti­ons­freiheit (LfDI) Baden-Württemberg wurde aktiv, und dann stellte sich heraus, dass es zu dem Leck wohl gekommen war, weil das Netzwerk auf die Passwörter nicht richtig aufge­passt hatte, es hatte sie entgegen Art. 32 Abs. 1 lit a DS-GVO unver­schlüsselt gespeichert.

Das Unter­nehmen warf sich vor dem LfDI quasi in den Staub. Innerhalb weniger Wochen brachte es seine Daten­ver­ar­beitung auf neuesten Stand, es koope­rierte so vorbildlich, dass das sogar in der Presse­mit­teilung des LfDI lobend erwähnt wird, und es gab für die Aufar­beitung und die Erneuerung der Daten­ver­ar­bei­tungs­struktur einen sechs­stel­ligen Betrag aus. All das fiel bei der Bemessung des Bußgeldes ins Gewicht. Zudem handelt es sich um ein kleineres, deutsches Netzwerk, dessen Jahres­um­sätze weit, weit entfernt sind von denen der kalifor­ni­schen Giganten.

Es geht aus Art. 83 Abs. 2 DSGVO hervor, dass alle diese Punkte sich auf die Höhe des Bußgeldes auswirken sollen. Im Übrigen muss ein Bußgeld stets wirksam, verhält­nis­mäßig und abschre­ckend sein, so steht es in Art. 83 Abs. 1 DSGVO. Gerade die Verhält­nis­mä­ßigkeit, also die Angemes­senheit von Zweck und Mittel, begrenzt die Höhe der Bußgelder. Mit anderen Worten: Auch eine Daten­schutz­be­hörde darf niemanden köpfen, nur weil er sich eine leichte Schus­se­ligkeit zuschulden hat kommen lassen. Das bedeutet: Die in Art. 83 Abs. 4 DSGVO genannten Obergrenzen für Bußgelder von 10 Mio. EUR bzw. 2% der weltweiten Umsätze im voran­ge­gan­genen Geschäftsjahr sind für schwere Fehler und maximal unkoope­rative Verant­wort­liche gedacht.

All das ist in die Bemessung der 20.000 EUR Bußgeld einge­flossen. Zusammen mit den von der Behörde erwähnten sechs­stel­ligen Kosten dürfte der Schaden für das Unter­nehmen zuzüglich des Rufschadens trotzdem erheblich sein, auch wenn zumindest ein Teil des Geldes schon vor dem 25.05.2018 für mehr Daten­schutz hätte ausge­geben werden müssen. Es gibt also keinen Grund, sich beruhigt wieder hinzu­legen und den Daten­schutz gedanklich in den Keller zu schicken. Die verbreitete Panik, man dürfe jetzt gar nichts mehr tun, weil ansonsten der Ruin droht, wird aber, wie dieser Bußgeld­be­scheid zeigt, ebenfalls der Sache nicht gerecht.