Dass Amazon-Mitarbeiter Privatgespräche mit Alexa abhören, wie der SPIEGEL kürzlich berichtete, wäre eine geeignete Gelegenheit für deutsche Aufsichtsbehörden, um von den Sanktionierungsmöglichkeiten der Datenschutz-Grundverordnung Gebrauch zu machen. Die französische Aufsichtsbehörde CNIL hatte es im Januar dieses Jahres mit einem 50-Millionen-Euro-Bußgeld gegenüber Google wegen „Mangel an Transparenz“ vorgemacht. Auch der neueste Forschungsbericht von Forum Privatheit zeigt auf, dass die Zeiten vorbei sind, in denen Unternehmen schwere Datenschutzverstöße aus der Portokasse bezahlen konnten. Daher ist es wichtig, Maßnahmen zu ergreifen, um personenbezogene Daten gut zu schützen.

Die im Mai 2018 wirksam gewordene Datenschutz-Grundverordnung (DSGVO) soll personenbezogene Daten von EU-Bürgern besser schützen als das davor geltende Bundesdatenschutzgesetz. Um dies zu erreichen, hat die Datenschutz-Grundverordnung den Aufsichtsbehörden erhebliche Sanktionsmöglichkeiten eröffnet. Die maximale Geldbuße für schwere Datenschutzverstöße beträgt für Unternehmen bis zu 20 Mio. Euro. Gegen große Unternehmen sind noch deutlich höhere Geldbußen möglich: Hier können die Aufsichtsbehörden Geldbußen von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres verhängen. Die Regelungen zur angedrohten Bußgeldhöhe sind von dem Ziel geleitet, von schweren Datenschutzverstößen „abzuschrecken“.

Hohe Bußgelder sind abschreckend – aber auch mögliche Imageschäden setzen Unternehmen unter Druck

Die in der DSGVO vorgesehene Höhe möglicher Bußgelder hat dazu geführt, dass Unternehmen Datenschutz ernster nehmen als bisher und eigene Kompetenzen – etwa in Form eines Datenschutzbeauftragten – aufgebaut haben. Auf die Frage, ob mögliche Geldbußen oder eher andere Faktoren der Antrieb für die Umsetzung der neuen DSGVO-Vorgaben seien, weisen Unternehmen den Geldbußen zwar eine entscheidende Rolle zu, führen aber auch andere Faktoren an, die für sie eine zentrale Rolle spielen. Demnach sind Imageschäden, die indirekt zu finanziellen Verlusten führen, ähnlich wichtig wie potenzielle Geldbußen.

Für die Unternehmen hängt ihr künftiges Handeln stark davon ab, wie konsequent Geldbußen verhängt werden und wie hoch diese real ausfallen – also davon, welche Durchsetzungspraxis sich bei den Aufsichtsbehörden etabliert.

Bußgelder sind erst das letzte Mittel bei Datenschutzverstößen – andere Maßnahmen sind in der Praxis wichtiger

Unternehmen können darauf bauen, dass sich die Aufsichtsbehörden bei der Entscheidung über Sanktionen am Verhältnismäßigkeitsprinzip orientieren. Statt der Verhängung eines Bußgeldes werden die Aufsichtsbehörden zunächst ihre anderen Abhilfebefugnisse anwenden, die für den Datenschutz direkt wirksam sind. So können sie beispielsweise Verwarnungen aussprechen oder eine andere Gestaltung einer Datenverarbeitung anordnen, diese einschränken oder verbieten. Bei Unternehmen und anderen Organisationen, die sich ernsthaft bemühen, personenbezogene Daten gut zu schützen, werden die Aufsichtsbehörden voraussichtlich bei offenen Fragen weiterhin zunächst auf Hilfestellung setzen und ihnen Beratung und Empfehlungen anbieten.

Aufsichtsbehörden müssen besser ausgestattet werden, um ihre Aufgaben wahrnehmen zu können

Das „Forum Privatheit“ kommt zu dem Schluss, dass es unerlässlich ist, Aufsichtsbehörden hinreichend mit personellen und finanziellen Ressourcen auszustatten, damit diese effektiv ihrer Aufgabe nachkommen können, bei Datenschutzverstößen „abschreckende“ Maßnahmen zu ergreifen und Bußgelder auch vor Gericht durchzusetzen. Insbesondere ist es erforderlich, die Aufsichtsbehörden im Bereich der Rechtsdurchsetzung ausreichend auszustatten. Zusätzlich könnte erwogen werden, verhängte Geldbußen nicht wie bisher in den Haushalt der Bundesländer, sondern unbeschränkt und ohne Bedingungen direkt in den Haushalt der Aufsichtsbehörden fließen zu lassen. Von diesen Einnahmen darf die Grundausstattung der Aufsichtsbehörden aber keinesfalls abhängen.

„Jetzt kommt es darauf an, die Aufsichtsbehörden in die Lage zu versetzen, dass sie das scharfe Schwert der Sanktionen im Kampf für die Durchsetzung des Datenschutzes auch führen können“, meint der Jurist und Sprecher des „Forum Privatheit“, Professor Dr. Alexander Roßnagel von der Universität Kassel.

Der Bericht des Forschungsverbunds „Forum Privatheit“ Das Sanktionsregime der Datenschutz- Grundverordnung - Auswirkungen auf Unternehmen und Datenschutzaufsichtsbehörden steht zum Download bereit oder kann auch als gedruckte Version bestellt werden bei Dr. Michael Friedewald, Fraunhofer ISI, Breslauer Straße 48, 76139 Karlsruhe.

Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.