Vor ziemlich genau drei Jahren ist die Datenschutzgrundverordnung in der EU in Kraft getreten, Geldbußen wegen Verstößen gehören seitdem zum Alltag von Unternehmen. Geldstrafen sind keine temporäre Erscheinung, das Phänomen ist „gekommen, um zu bleiben“, umschreibt es die Kanzlei CMS in ihrer jüngsten DSGVO-Studie.

Europäische Datenschutzbehörden haben nach der Statistik der Sozietät, die Großbritannien einschließt, in 526 bekannt gewordenen Fällen in Summe 260 Mill. Euro an Geldbußen verhängt. Die höchste traf Google in Frankreich, als die Commission Nationale de l’Informatique et des Libertés das US-Technologieunternehmen im Januar 2019 mit 50 Mill. Euro belangte. In Deutschland führt H&M mit 35 Mill. Euro, was europaweit Platz 2 einnimmt. Zur dritthöchsten Summe von 27 Mill. Euro verdonnerten die italienischen Datenschützer den heimischen Telekomanbieter TIM.

Die meisten Unternehmen und Institutionen hat sich Spanien wegen DSGVO-Vergehen vorgeknöpft, ge­folgt von Italien und Rumänien. In der Gesamtsumme an Geldbußen je Land führt Italien vor Frankreich und Deutschland. In Großbritannien fällt die im Durchschnitt erreichte Strafzahlung am höchsten aus.

Nach Einschätzung der Kanzlei CMS gibt es kaum einen Bereich in Europa, in dem die nationalen Praktiken sowie das Selbstverständnis der zuständigen Behörden uneinheitlicher sind als beim Thema Datenschutzbußgelder. „Die einheitliche Anwendung der Regeln ist nach wie vor eine Herausforderung“, sagt CMS-Partner Michael Kamps. „Die zuständigen Behörden agieren uneinheitlich bei der Anwendung der Bußgeldvorschriften – und zwar sowohl im Hinblick auf den Anlass für als auch auf die Höhe der Bußgelder.“ Das liege aber nicht an einem uneinheitlichen Rechtsrahmen in Europa, sondern am unterschiedlichen Vorgehen der Aufsichtsbehörden. Auf EU-Ebene werde aber durchaus beobachtet, welche Behörde in welchem EU-Mitgliedstaat es womöglich bei der Ahndung von Verstößen nicht so genau nimmt – aktuell steht die irische Aufsichtsbehörde im Fokus.

Die DSGVO-Fälle ziehen sich durch alle Branchen, wobei nach der Analyse von CMS Sektoren wie Industrie und Handel sowie Medien und Telekommunikation am stärksten betroffen sind. Speziell der Schutz von Kundendaten spielt bei Anbietern von Telefonie und Internet eine große Rolle. Wegen unzureichender Compliance bei Kundendaten seien in den vergangenen zwölf Monaten auch zunehmend Banken, Versicherer und Beratungsfirmen mit Geldbußen belangt worden, teilweise in Millionenhöhe. Ein sensibles Thema im Datenschutz sind zudem Patientendaten im Gesundheitswesen. Neue Fragen hat hier die Corona-Pandemie aufgeworfen, wenn es um das Nachverfolgen von Infektionen und den digitalen Impfnachweis geht. Auch unerwünschtes Direktmarketing über Telefonanruf oder E-Mail kann datenschutzrechtlich problematisch werden. Sicherheit in der Datenverarbeitung trifft alle Branchen. Dieses Thema hat sich mit Arbeit im Homeoffice intensiviert.

Kritisch ist aus Sicht von Juristen auch der Einsatz von Videokameras. Speziell im Gastgewerbe sei Vorsicht geboten, wenn akribisch Kundendaten gesammelt würden. Hier seien strenge Anforderungen einzuhalten. Das treffe nicht nur größere Firmen, sondern auch den Kebab-Stand um die Ecke. Die Datenschutzbehörden seien schon lange nicht mehr überwiegend auf große Unternehmen fokussiert. Sogar Individuen und private Vereine können ins Visier geraten. Speziell spanische Behörden haben hier Strafen verhängt – beim unerlaubten Einsatz von Videokameras auf privaten Grundstücken oder von Dashcams im Auto auf dem Armaturenbrett.

Widerspruch kann sich auszahlen, das Ende vom Lied ist laut CMS nicht immer absehbar: „It ain’t over till the fat lady sings.“ So ist es Firmen gelungen, im Verlauf des Aufsichtsverfahrens oder durch rechtliche Schritte die Bußgelder deutlich abzumildern. So hat der Telekommunikationsanbieter 1&1 über eine Klage die Strafe von 9,6 Mill. auf 0,9 Mill. Euro reduzieren können. Deutsche Wohnen erwirkte im Februar 2021 vor dem Landgericht Berlin die Einstellung des Verfahrens. Der Immobilienkonzern hatte wegen jahrelang gespeicherter Mieterdaten einen Bußgeldbescheid über 14,5 Mill. Euro bekommen. Hier hier ist der Schlussakkord indes noch nicht gesetzt, denn laut Medienberichten hat die Staatsanwaltschaft Beschwerde eingelegt, der Rechtsstreit geht in die nächste Runde.

Wertberichtigt Seite 6