Titel Logo
Kelsterbach aktuell
Ausgabe 10/2020
Seite 4
Zurück zur vorigeren Seite
Zurück zur ersten Seite der aktuellen Ausgabe

Die EU-Datenschutzgrundverordnung (k)ein zahnloser Tiger

Seit dem Mai des Jahres 2018 gehen für die Mitgliedsstaaten der Europäischen Union die Uhren beim Thema Datenschutz etwas anders. Für viele Anlass zu starkem Unmut oder nicht selten in Rechtsirrtümer mündend, schaffte sich die EU-Datenschutzgrundverordnung (DSGVO) auf eine bestimmte Ebene der Popularität zu entwickeln. Noch heute, nach fast zwei Jahren aktiver Normen-Verbindlichkeit, sind viele Fragen unbeantwortet und es mangelt in vielen Bereichen an richtungsweisenden gerichtlichen Entscheidungen. Einer von vielen Irrtümern ist jedoch, dass die Vorschrift als zahnloser Tiger in juristischer Bedeutungslosigkeit ihr Dasein fristet. Ernüchtert von falschen Einschätzungen, brachen auf einige Firmen in Deutschland und Europa teilweise drakonische Strafen herein. In der heutigen Ausgabe beschäftigen wir uns mit den „Top 3“ und richten zudem einen Blick was im Gesamtzuständigkeitsbereich Europa an Sanktionen zu verzeichnen sind.

Deutsche Aufsichtsbehörden bitten zur Kasse

In den meisten Fällen werden zuständigkeitshalber die Datenschutzbehörden der Länder aktiv, wenn es darum ging Verstöße gegen das inzwischen durch die Grundverordnung auf überstaatlicher Ebene geregelte Datenschutzrecht zu ahnden. Auf Platz drei der Rekord-Bußgelder bewegt sich hierzulande die Strafe in Höhe von 195.000 Euro für eine Lebensmittel-Lieferanten-Kette. Grund dafür war ein unzureichendes Löschkonzept. Dieses Problem geht auf eine die DSGVO prägende Vorschrift zurück, die im Artikel 17 geregelt wird. „Das Recht auf Vergessenwerden“ fordert in diesem Zusammenhang nicht benötigte Daten zu löschen und so einer unzulässigen Vorratsdatenspeicherung zuvorzukommen.

Einem Telekommunikationsunternehmen ging es wegen nicht systematisch geschützter Daten an den wirtschaftlichen Kragen. In Zahlen ausgedrückt waren es 9,5 Millionen Euro, die in diesem Fall der Bundesdatenschutzbeauftragte in Rechnung stellte. Kleine Ursache, große Wirkung, der man möglicherweise mit einer zeitgemäßen Schutzmaßnahme wie einer 2-Faktor-Authentifizierung entgehen kann.

Deutscher Bußgeldmeister ist eine Immobilien-Gesellschaft, die für eine unzulässige Speicherung von Daten 14,5 Millionen Euro berappen darf. Darüber hinaus weckte die Vorratsspeicherung von für das Mietverhältnis nicht erforderlichen Daten den aufsichtsbehördlichen Unmut zusätzlich. Dieses dramatische Beispiel verdeutlicht, dass nur Daten zulässig verarbeitet werden dürfen, wenn sie zu Erreichung eines legitimen Zwecks erforderlich sind. Diese Regelung gab es allerdings schon lange vor der DSGVO.

Teures Datenschutzpflaster Europa

Der dritte Rang der europaweiten Bußgeldaufzählung führt ins Nachbarland Frankreich. Dort erwischte es einen Suchmaschinenanbieter, der personalisierter Werbung eine ungültige Einwilligung voranstellte. Die Rechnung von 50 Millionen dürfte für dieses Unternehmen jedoch eine überschaubare Größe darstellen. Unternehmen mit kleinerem Krisen-Budget sei in diesem Zusammenhang geraten dem Artikel 6 – Zulässigkeit der Verarbeitung – eine größere Beachtung zu schenken.

Die Reise zu Platz 2 geht weiter über den Kanal nach England. Dort gelang es einer Hotelkette die Forderung von 110 Millionen zu aktivieren, Grund dafür war ein Datendiebstahl im IT-System, welches nicht hinreichend gesichert war. So gelangten Millionen von Kunden- und Kreditkartendaten in die falschen Hände.

Den vielzitierten Vogel abschießen konnte sinnigerweise eine Fluggesellschaft ebenfalls verortet auf den britischen Inseln. Gravierende Mängel bei der IT-Sicherheit schlug mit stolzen 204 Millionen Euro zu Buche und repräsentiert in diesem Fall 1,4 Prozent des Jahresumsatzes.

Nicht in jedem Fall kam es zu einer widerspruchslosen Zahlung, daher beschäftigt sich das eine oder andere Gericht mit den Sachverhalten. Im März informieren wir sie über „Datenschutz in Deutschland im europäischen Vergleich“.

Thorsten Schreiner, interkommunaler Datenschutzbeauftragter