Medienrecht, IT-Recht

Höchstes Datenschutz-Bußgeld in Deutschland verhängt

Online-Plattform muss knapp 200.000 Euro Strafe zahlen

Ein Beitrag von Rechtsanwalt Thomas Repka

Die Berliner Datenschutzbehörde greift durch. Knapp anderthalb Jahre nach endgültigem Wirksamwerden der Datenschutzgrundverordnung zeigen die Datenschutzbehörden nun Zähne. Während in anderen europäischen Staaten bereits Millionen-Bußgelder wegen Datenschutz-Verstößen verhängt wurden, hielten sich die deutschen Behörden bislang vornehm zurück. Dies hat mit der rechtskräftigen Entscheidung der Datenschutzbeauftragten in Berlin nun ein Ende.

Missachtung von Auskunfts-, Lösch- und Widerspruchsrechten

Das Unternehmen Delivery Hero betrieb viele Jahre bekannte Online-Lieferdienste wie Lieferheld, pizza.de und Foodora. Anfang des Jahres 2019 verkaufte Delivery Hero das Deutschlandgeschäft an das Unternehmen Takeaway.com. Der neue Eigentümer muss nun für Datenschutzverletzungen einstehen und hat das Bußgeld bereits akzeptiert.

Gegenstand des Verfahrens waren diverse Datenschutzverletzungen. So wurden beispielsweise Kundendaten unzulässig lange gespeichert. Zudem wurden Auskunftsersuchen nach Art. 15 DSGVO von Kunden ignoriert und nicht beantwortet. Ein weiterer Verstoß lag in der Versendung von Werbe-E-Mails, obwohl die betroffenen Kunden der Nutzung ihrer Daten zu Werbezwecken ausdrücklich widersprochen hatten.

Organisationsprobleme führen zu Bußgeld

Den Stein ins Rollen brachten diverse Beschwerden von Kunden bei den Datenschutzbehörden. Delivery Hero wehrte sich mit dem Hinweis auf technische Fehler und Versehen von Mitarbeitern. Für die Berliner Datenschützerin Maja Smoltczyk nur eine (nicht überzeugende) Ausrede: nach Ansicht der Berliner Datenschutzbehörde liegt aufgrund der hohen Anzahl an wiederholten Verstößen ein grundsätzliches und strukturelles Organisationsproblem vor. Auch mehrfache Hinweise der Aufsichtsbehörde führten nicht zu einer Verbesserung der Situation - über einen langen Zeitraum seien keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Bedeutung der Betroffenenrechte

In einer Pressemitteilung betonte Frau Smoltczyk noch einmal die Bedeutung der Betroffenenrechte in der DSGVO und verwies auf die gesetzgeberische Intention, die Datenschutzrechte von Bürgern besser zu schützen und Transparenz herzustellen.

Das neue Datenschutzrecht in der DSGVO sieht eine ganze Reihe von Betroffenenrechten vor:

  • Auskunftsrecht (Art. 15 DSGVO) über Art und Umfang von Datenverarbeitungen
  • Recht auf Berichtigung von Daten (Art. 16 DSGVO)
  • Recht auf Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO)
  • Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen Datenverarbeitung, die auf berechtigten Interessen beruht
  • Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Beschwerderecht (Art. 77 DSGVO)

Geldbuße von fast 200.000 Euro

Die Berliner Datenschutzbehörde verhängte aufgrund der festgestellten Verstöße gegen die Datenschutzgrundverordnung ein Gesamtbußgeld von 195.047 Euro. In die Festsetzung dieses Betrages flossen insbesondere die Umstände zu Art, Schwere und Dauer der jeweiligen Verstöße ein. Auch dass auf Hinweise der Behörde nicht ausreichend reagiert wurde, spielte für die Bemessung des Bußgeldes eine Rolle. Hier zeigt sich, wie durch Kooperation mit den Aufsichtsbehörden bei Datenschutzverstößen im eigenen Unternehmen ein Bußgeldverfahren ganz vermeiden lässt oder zumindest das Bußgeld deutlich geringer ausfallen kann.

Legen deutsche Datenschützer Zurückhaltung bei Bußgeldern nun ab?

Auch mit dem jetzigen Rekord-Bußgeld von knapp 200.000 Euro liegt Deutschland im Vergleich mit den europäischen Nachbarn weit hinten. In anderen Ländern wurden bereits Bußgelder in Millionen-Höhe verhängt. Etwa zeitgleich mit dem Berliner Verfahren wurde in Polen ein Online-Shop mit einem DSGVO-Bußgeld von über 600.000 Euro wegen eines Hackerangriffs belegt. Auch dieser Fall zeigt, dass deutsche Behörden weiterhin eher zurückhaltend bei der Bemessung von Bußgeldern sind.

Gleichzeitig werden viele Landesdatenschutzbehörden und auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Herr Ulrich Kelber nicht müde zu betonen, dass es in naher Zukunft eine ganze Reihe von Bußgeldverfahren geben wird und die Bußgelder zukünftig deutlich höher ausfallen werden. Vor kurzem einigten sich die Landesdatenschutzbehörden auf eine gemeinsame Berechnungsgrundlage für die Höhe von Bußgeldern, das sich stark am Umsatz des Unternehmens orientiert. Es spricht also viel dafür, dass das jetzige Rekordbußgeld der Berliner Behörde bald schon überholt wird.

Für Unternehmen, die noch keine oder keine ausreichenden Maßnahmen bei der Umsetzung der DSGVO gemacht haben, ist jetzt also allerhöchste Zeit. Neben empfindlichen Bußgeldern droht sonst auch eine persönliche Haftung bei Datenschutzverstößen von Geschäftsführern und Vorständen mit ihrem Privatvermögen.