"Die DSGVO-Gazette" #2 - Erlass von Bußgeldern in Deutschland nimmt Fahrt auf

Die heutige Ausgabe von "Die DSGVO-Gazette" beschäftigt sich mit dem aktuell zu beobachten den Erlass von Bußgeldern. Denn derzeit entdecken die Datenschutz-Aufsichtsbehörden in Deutschland den Art. 83 DSGVO und verhängen "im großen Stil" Bußgelder. Damit berücksichtigen sie insbesondere, dass die Bußgeldhöhe in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Und auch ich musste meine Meinung dabei ändern. Denn bisher habe ich das Damoklesschwert Bußgeld nie hoch gehalten, um Angst zu schüren. Das ist jetzt anders.

Ich gebe mal kurz einen Überblick zu den TOP 5 der bemerkenswerten Fällen:

Zeitpunkt Bußgeldhöhe Unternehmen Angegebener Grund Erlassende Behörde
10.2019 14.500.000 Euro Deutsche Wohnen Keine Löschung personenbezogener Daten nach Ende des Verarbeitungszwecks. Berliner Beauftragte für Datenschutz und Informationsfreiheit
12.2019 9.550.000 Euro 1&1 Telecom GmbH Telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
12.2019 10.000 Euro Rapidata GmbH Keine Benennung eines Datenschutzbeauftragten. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
11.2019 105.000 Euro Mainzer Universitätsklinik Strukturelle technische und organisatorische Defizite beim Patientenmanagement. Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
09.2019 200.000 Euro Delivery Hero Nichtachtung der Betroffenenrechte Berliner Beauftragte für Datenschutz und Informationsfreiheit

Diese Auflistung ist nur ein Tropfen auf den heißen Stein. Sie zeigt im Vergleich zu vergangenen Fällen, dass die Aufsichtsbehörden nun konsequent ihr Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen anwenden. Und diese bedeutet eben auch, dass die Bußgeldhöhe nun abschreckend wirken soll.

Spätestens seit dem (vom Bundesdatenschutzbeauftragten höchstpersönlich) gegen die 1&1 Telecom GmbH erlasse Bußgeld für einen doch eher minderschweren Fall, müsste jedem Unternehmensleiter klar geworden sein, dass es sich wirtschaftlich nicht lohnt, nicht die DSGVO einzuhalten. Das solche Überlegungen in der Vergangenheit überhaupt angestellt werden zeigt, dass Verstöße gegen das Grundrecht auf informationelle Selbstbestimmung (ja, ich weiß das die DSGVO nichts mit dem Grundgesetz zu tun hat) bisher als Kavalierdelikte abgetan wurden. Da Kavaliere - anders als das Proletariat - über monetäre Reserven verfügen, können die Bußgelder jetzt kommen.

Und sie werden kommen. Denn Herr Kelber kann sich im Jahr 2020 über weitere 67 Stellen freuen. Der Haushaltsausschuss des Deutschen Bundestags hat dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die Erhöhung seines Personalsstamms um 33% (!) zugesprochen. Bei solchen Bußgelder ist das ein einfaches Rechenbeispiel - man muss nur die Excel-Vorlage für die Neueinstellung von Politessen umbenennen. Damit endgültig ein Schuh daraus wird, setzt auch die Datenschutzkonferenz des Bundes und der Länder in ihrem Bußgeldkonzept auf „erhebliche, maximale Bußgeldbeträge“.

Nicht auszudenken was passiert, wenn man zum wiederholten Mal beim Falschparken ähm. Datenschludern erwischt wird... die Bußgelder werden einfach multipliziert.

Also, bitte melden Sie sich nicht erst dann, wenn Sie ein Schreiben der Aufsichtsbehörden in den Händen halten. Vermeiden Sie Risiken, die Ihnen erhebliche wirtschaftliche Einbußen bringen werden. Die DSGVO ist nicht nur ein Papiertiger, es ist nicht nur ein rechtliches Risiko. Bußgelder sind nun tatsächliche Risiken - sie sind real und es werden mehr. Von Reputationsschäden (wie bei der Celler Arztpraxis) mal ganz abgesehen.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen