Ein Jahr DSGVO – wurden bereits hohe Bußgelder aufgrund von Datenschutzverstößen verhängt?

Die Auswirkungen der DSGVO sind noch nicht ganz greifbar. Bisher sind nur einige wenige Präzedenzfälle geltend gemacht worden, die man als richtungweisende Datenschutz-Urteile ansehen kann.

Aus diesem Grund herrschen bei Datenschützern sowie Datenverarbeitern immer noch Unsicherheiten in vielen Belangen vor. So gibt es einige offene Fragen im Bereich der horrenden Bußgelder, die seit dem Inkrafttreten der DSGVO in aller Munde sind. Das sind Strafbeträge im sechsstelligen Bereich für Großunternehmen, zudem existenziell bedenkliche Bescheide für kleine und mittlere Unternehmen, und Beträge bis 4 Prozent des Jahresumsatzes machten die Runde. Und wurden zum probaten Akquise-Argument für viele „DSGVO-Schnellhelfer“, die im vergangenen Jahr hervorragende Geschäfte mit der Verunsicherung der Unternehmen gemacht haben.

41 verhängte Bußgelder wurden im ersten Jahr der DSGVO festgestellt

Es gibt jedoch Zögerlichkeiten bei dem Versenden von Bußgeldbescheiden seitens der Landesdatenschutzverantwortlichen. Bis 31. Dezember 2018 sind laut den Recherchen des „Handelsblatt“ nur 41 Verfahren mit Bußgeldforderungen verhängt worden. Auch bei der Höhe der Strafen wurde noch ausprobiert: Ein Bußgeld über 80.000 Euro wurde für den schlampigen Umgang mit Gesundheitsdaten im großen Stil durch die obersten Datenschützer Baden-Württembergs verhängt. Gemäß den einstimmigen Aussagen der Landesdatenschutzbeauftragten befinden sich die betroffenen Länder immer noch in einer „Aufklärungsphase“. So wurde zwar vielen angezeigten Datenschutzverstößen behördlich nachgegangen. Aber zumeist mit dem Ansinnen, die betroffenen Unternehmen aufmerksam zu machen und dazu anzuhalten, künftige Verstöße zu vermeiden. Noch sehen sich die Behörden offenbar in einer Art beratenden Funktion und unterstützen Unternehmen in ihren Bemühungen um einen DSGVO-konformen Umbau des jeweiligen Unternehmensauftritts.

Datenschutz auf hohem Niveau wird zum Qualitätsmerkmal

Die Zeit des Herantastens ist dennoch nur eine vorübergehende Phase. Denn wer noch nie etwas von der DSGVO und den damit verbundenen Pflichten gehört hat, der kann schon längst nicht mehr wirklich ernst genommen werden. Die Goodwill-Phase der Behörden wird garantiert auch bei wiederholten Verstößen bald aufhören. Wer in Zukunft keine staatlich ausgestellten Bußgeldbescheide in seinem Briefkasten vorfinden möchte, der sollte grundsätzlich dafür Sorge tragen, dass der Datenschutz im eigenen Unternehmen Chefsache ist und mit Ernsthaftigkeit betrieben wird. Auch wenn es einiges an Ressourcen und Investitionen bedeutet, ein Unternehmen fit in Sachen Datenschutz zu machen, eine zeitnahe und lückenlose Umstellung gehört inzwischen nicht nur zum guten Ton, sondern wird nach und nach auch als elementares Qualitätskriterium angesehen, im B2B- wie im B2C-Segment.

Eine „Bußgeld-Versicherung“ gibt es einfach nicht

In einschlägigen Foren kommt oft die Frage auf, ob Firmen sich gegen die Folgen von „unverschuldeten“ Verstößen versichern können. Ein Beispiel für einen effektiven Versicherungsschutz kann eine IT-Haftpflichtversicherung oder die Berufs-Haftpflichtversicherung eines Freelancers sein. Bei der Frage, was versichert werden darf und was nicht, kommt ein generelles rechtlich gelagertes Problem auf. Grundsätzlich ist es möglich, Unternehmen zum Beispiel gegen Schadensersatzforderungen oder Abmahnungen zu schützen. Die resultieren ja meist aus Schadenersatzansprüchen, die Kunden oder Geschäftspartner geltend machen, wenn sie mit einer Dienstleistung unzufrieden sind oder ihnen sogar Schaden durch die erbrachte Dienstleistung entstanden ist. Auch hierbei kann es unter Umständen um die DSGVO und ihre Grundsätze gehen. Versäumt es ein Medienunternehmen beispielsweise, seinem Kunden wesentliche von der DSGVO geforderte Hinweise auf einer Webseite einzubinden, und dieser wird aufgrund des Versäumnisses von einem Besucher der Webseite abgemahnt, muss das Medienunternehmen mit Regressansprüchen seines Kunden rechnen. Gegen diese kann sich das Medienunternehmen problemlos versichern.

Kommt es beispielsweise aber zu einem Verfahren aufgrund von Datenschutzverstößen auf der eigenen Webseite des Medienunternehmens, die ein Bußgeld auslösen, gibt es für die „Begleichung“ des Bußgeldes keinen legalen Versicherungsschutz. Ein Bußgeld hat ja aus Sicht des Gesetzgebers den Sinn, Uneinsichtige durch eine empfindlich hohe Zahlung zur Einsicht – und damit zur Einhaltung von Gesetzen und Verordnungen – zu bewegen. Könnte man sich gegen ein solches Bußgeld versichern, würde die ausstellende Behörde dieses ureigene Ziel absolut verfehlen.