Von Michael Kamps und Fiona Savary*)

In der zweiten Jahreshälfte 2021 ging es Schlag auf Schlag: Im Juli wurde bekannt, dass die Datenschutzbehörde in Luxemburg ein Bußgeld in Höhe von 746 Mill. Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) der EU verhängt hatte. Weniger als zwei Monate später folgte die Aufsichtsbehörde in Irland mit einem Bußgeld in Höhe von 225 Mill. Euro. Beide Fälle richteten sich gegen international agierende Digitalunternehmen; inhaltlich ging es um die Nichteinhaltung von Datenschutzgrundsätzen beziehungsweise die Nichterfüllung gesetzlicher Informationspflichten.

Die beiden Rekordfälle haben erheblichen Einfluss auf die Statistik: Die Gesamtsumme aller bekannten Bußgeldfälle seit Mai 2018 stieg auf über 1 Mrd. Euro. Der bisherige Spitzenreiter – ein Fall aus Frankreich aus dem Januar 2019 über 50 Mill. Euro – stürzte von Platz 1 auf Platz 6 der Top-Bußgelder.

Das ist eines der Ergebnisse der gerade erschienenen dritten Auflage des jährlichen GDPR (General Data Protection Regulation) Enforcement Tracker Reports. Die Analyse der europäischen Sanktionspraxis basiert auf dem GDPR Enforcement Tracker, der Datenbank mit öffentlich bekannten Bußgeldfällen aus der EU/dem EWR und dem Vereinigten Königreich. Die aktuelle Analyse umfasst den Zeitraum Mai 2018 bis 1. März 2022, mit besonderem Fokus auf die Entwicklung zwischen März 2021 und März 2022. Grundlage des Reports sind insgesamt knapp über tausend Fälle.

Ein näherer Blick lohnt sich, weil die Rekordfälle nur die Spitze eines Eisbergs sind. Zwei- oder dreistellige Millionenbeträge mögen vor allem öffentliche Aufmerksamkeit erregen. Für Datenschutz-Fachleute kommt es aber weniger auf die boulevardmedientaugliche Sensation, sondern auf Details von Einzelfällen, übergreifende Trends und Entwicklungen an. Diese ergeben sich aus dem Ge­samtfundus der öffentlich be­kannten Fälle.

Bei Eisbergen lauert der gefährlichste Teil oft unter der Wasseroberfläche – das scheint bei Datenschutz-Bußgeldern nicht anders zu sein. Die reale Zahl der Bußgeldfälle in Europa ist wesentlich höher. Die teilweise zurückhaltende Veröffentlichungspraxis der Aufsichtsbehörden führt zu einer wohl erheblichen Dunkelziffer.

Die Berechnung von Datenschutz-Bußgeldern ist komplex. Nicht ohne Grund gibt es keinen Bußgeldkatalog, der den einfachen Rückschluss „Rechtsverstoß X = Bußgeld Y“ erlaubt. Die Komplexität ist Wille des Verordnungsgebers: Die relevante DSGVO-Vorschrift sieht insgesamt elf Kriterien vor, die eine Aufsichtsbehörde bei der Verhängung von Geldbußen berücksichtigen muss. Aus rechtsstaatlicher Sicht ist dies erforderlich und angemessen, denn nur so können die Umstände des Einzelfalles sachgerecht berücksichtigt werden. Für das Compliance- und Risikomanagement führt der Ansatz zu Herausforderungen: Wo sollen Schwerpunkte gesetzt werden? Welche Art der Datenverarbeitung und welche Rechtsverstöße sind besonders risiko- und bußgeldträchtig?

Bußgelder für Datenschutzverstöße sind nicht nur ein theoretisches Risiko. Das ist nicht neu – die ersten DSGVO-Bußgelder wurden im Juli 2018, weniger als zwei Monate nach Anwendbarkeit des neuen europäischen Rechtsrahmens, verhängt. Seither zeigt die Statistik der öffentlich bekannten Fälle einen konstanten Anstieg.

Im Zeitraum März 2021 bis März 2022 wurden insgesamt 505 Bußgeldfälle bekannt – das sind in einem Jahr etwa so viele wie in den drei Jahren zuvor zusammen. Möglicherweise haben die Aufsichtsbehörden ihren Umgang mit dem Rechtsrahmen auch im Bereich der Sanktionen operationalisiert und können zunehmend auf etablierte Prozesse zurückgreifen. Das heißt aber auch, dass für die kommenden Jahre nicht mit Zurückhaltung zu rechnen ist.

Je intensiver der Verbraucher/Verbraucherinnenkontakt eines Un­ternehmens, desto größer ist die Ge­fahr von datenschutzrechtlichen Sanktionen. Branchen mit hohem B2C-Anteil wie Medien- und Telekommunikationsunternehmen oder Industrie und Handel tragen überdurchschnittlich – und zum Teil mit hohen Summen – zu den Bußgeldfällen bei. Die allgemein gestiegene Aufmerksamkeit für den Datenschutz seit Mai 2018 hat zu einem erheblichen Anstieg von Bürger-/Bürgerinnenbeschwerden bei Datenschutzbehörden geführt; vereinzelt ist von Beschwerdewellen die Rede. Dass aus dem Kunden-/Kundinnenkreis ei­nes Online-Shops eher datenschutzrechtliche Beschwerden entstehen als von den Abnehmern eines B2B-Maschinenbau-Unternehmens, liegt auf der Hand. Im B2B-Bereich sind zu­dem Art und Umfang der risikoträchtigen Daten größer als im Geschäftsverkehr mit Unternehmen – im Fall des On­line-Shops zum Beispiel die Einkaufshistorie. Auch insoweit ist das Risiko von Datenschutzverstößen höher.

B2B-Akteure haben indes keinen Grund für umfassende Entspannung: Denn auch sie sind auf Beschäftigte angewiesen und verarbeiten deren personenbezogene Daten. Beschäftigungsverhältnisse verlaufen nicht immer konfliktfrei, und in Konfliktsituationen, wie beispielsweise Kündigungsfällen, wird das Datenschutzrecht besonders relevant.

Bußgelder beruhen häufig nicht auf fundamentaler Ignoranz gegenüber datenschutzrechtlichen Anforderungen, sondern auf der fehlerhaften Umsetzung dieser Anforderungen. Das erscheint auf den ersten Blick beruhigend. Die DSGVO hat offenbar auch bei datenverarbeitenden Unternehmen zu einem verschärften Bewusstsein geführt.

Der zweite Blick dokumentiert jedoch eine vertraute Herausforderung seit Mai 2018: Die DSGVO hüllt sich an verschiedenen Punkten im Hinblick auf die konkrete Umsetzung ihrer Anforderungen in Schweigen – unbestimmte Rechtsbegriffe und komplexe Interessenabwägungen mögen aus Sicht des Verordnungsgebers sachgerecht gewesen sein, bürden aber den Verantwortlichen eine oftmals kaum umsetzbare Bürde auf.

Zur Erinnerung: Die DSGVO gilt im Wesentlichen unterschiedslos für den global agierenden Digitalkonzern ebenso wie für den Kiosk um die Ecke. Letzterer verfängt sich – ohne personenstarke Datenschutzabteilung – dann auch öfter im Gespinst der datenschutzrechtlichen Anforderungen. Sichtbar wird dies etwa bei der europaweit signifikanten Anzahl von Fällen zur Videoüberwachung durch Privatpersonen oder KMU.

Allgemein und wenig überraschend gilt: Innovative oder datenintensive Prozesse bergen oft ein höheres Sanktionsrisiko. Auch die Anforderungen an die Sicherheit personenbezogener Daten führen häufig zu Bußgeldern. Jenseits des Datenschutzrechts sind Unternehmen ohnehin gut beraten, dem Themenfeld Informations- und Cybersicherheit hohe Aufmerksamkeit zu schenken: Die Risikolage ist seit Jahren angespannt – von Ransomware-Angriffen bis zu Business E-Mail Compromise. Nach Aussage von Experten ist die Frage nicht, ob ein Unternehmen von Sicherheitsvorfällen betroffen sein wird, sondern lediglich wann.

Wie sollen Unternehmen jetzt reagieren? Sie müssen Datenschutz und Informationssicherheit ernst nehmen – nicht nur als Fachthema, sondern als wesentliche Herausforderung auf Geschäftsleitungs- und Vorstandsebene. Zudem müssen sie die Anforderungen mit der gebührenden Priorität und hinreichenden Ressourcen behandeln. Datenschutz ist nicht nur lästige Compliance-Pflicht, sondern auch notwendiger Bestandteil von „Corporate Digital Responsibility“. Schon jetzt, aber noch mehr in Zukunft wird Datenschutz notwendige Voraussetzung für das Vertrauen von Kunden/Kundinnen sein.

Zuletzt: Datenschutzbehörden sind relevante Akteure, aber auch sie ko­chen nur mit Wasser. Nicht jede Rechts­­auffassung einer Aufsichtsbehörde hält der gerichtlichen Überprüfung stand. Vielfach wird nur der Europäische Gerichtshof letztgültig über die richtige Auslegung der DSGVO entscheiden. Ein handlungsfähiges Netzwerk aus internen Experten/Ex­pertinnen und gegebenenfalls externen Beratern/Beraterinnen hilft Un­ternehmen, sich den stetig wandelnden rechtlichen Rahmenbedingungen zu stellen.

*) Michael Kamps ist Partner und Dr. Fiona Savary Senior Associate der Kanzlei CMS in Köln und München.