Nach knapp eineinhalb Jahren Anwendung der DSGVO hatte man zuletzt den Eindruck, dass sich die anfängliche Aufregung der Unternehmen rund um die DSGVO wieder gelegt hat. Dies lag auch daran, dass von der österreichischen Datenschutzbehörde bislang kaum Geldbußen verhängt wurden. Die Datenschutzbehörde überraschte nun mit der Verhängung einer Geldbuße von 18 Mio EUR gegen die Österreichische Post im Datenskandal rund um die Speicherung von vermeintlichen Parteiaffinitäten. Auch wenn dieses Straferkenntnis noch nicht rechtskräftig ist und die Post ein Rechtsmittel dagegen angekündigt hat, ist jedenfalls zu erwarten, dass angesichts des hohen Strafrahmens der DSGVO von bis zu 4% des Jahresumsatzes künftig öfters höhere Geldbußen verhängt werden. Unternehmen sind daher gut beraten, den Datenschutz tatsächlich ernst zu nehmen und nicht nur oberflächlich abzuhandeln.

Bisherige Straferkenntnisse in Österreich
Von der österreichischen Datenschutzbehörde wurden – soweit ersichtlich - bislang nur drei rechtskräftige Verwaltungsstraferkenntnisse veröffentlicht, die allesamt unerlaubte Videoüberwachungen betrafen. In einer Entscheidung ging es um eine Videoüberwachung in einem Mehrparteienwohnhaus. Die Behörde verhängte eine Geldbuße von 2.200 EUR. Eine weitere Entscheidung betraf eine Dashcam in einem Fahrzeug und wurde eine Geldbuße von 300 EUR verhängt. Die dritte Entscheidung endete mit einer Ermahnung und sah die Behörde von einer Strafe ab. Die höchste bisher von der Datenschutzbehörde gegen ein Unternehmen verhängte (noch nicht rechtskräftige) Geldbuße betrug 50.000 EUR und betraf eine Allergie-Tagesklinik. Diese hatte die Informationspflichten laut Art 13, 14 DSGVO nicht ausreichend umgesetzt, rechtswidrige Einwilligungen eingeholt und, obwohl das Unternehmen sensible Daten verarbeitete, auch keine Datenschutzfolgenabschätzungen durchgeführt und keinen Datenschutzbeauftragten bestellt. Nun folgte das erwähnte Straferkenntnis gegen die Post mit einer zweistelligen Millionenstrafe.

Straferkenntnisse in anderen EU Ländern
Auch von den Datenschutzbehörden in anderen EU Ländern wurden mittlerweile einige beachtliche Geldbußen verhängt. Spitzenreiter ist die englische Behörde, die gegen British Airways eine Strafe von 183 Mio Pfund (umgerechnet rund 210 Mio Euro) verhängte, weil nach einem Hackerangriff Daten von rund 500.000 Kunden an die Öffentlichkeit gelangten. In einem weiteren Fall wurde eine Strafe von 99 Mio Pfund (umgerechnet rund 110 Mio EUR) gegen die Hotelkette Marriott verhängt. Im Fall von Marriott war bekannt geworden, dass Kreditkartendaten und andere Daten von ca. 30 Mio Hotelgästen aus 31 europäischen Ländern entwendet wurden. Sowohl bei British Airways als auch bei Mariott ging es um nicht ausreichende Datensicherheitsmaßnahmen. Von der französischen Behörde wurde eine 50 Mio Euro Strafe gegen Google wegen Verstößen gegen die Informationspflichten und wegen unzureichender Einwilligungserklärungen verhängt. Die Strafe gegen die Post ist nun die vierthöchste Geldbuße in der EU. Wenige Tage nach der Post Entscheidung verhängte die Berliner Aufsichtsbehörde gegen eine deutsche Wohnungsgesellschaft eine Geldbuße von 14,5 Mio EUR (1% des Jahresumsatzes des Unternehmens), weil personenbezogene Daten der Mieter länger als notwendig aufbewahrt wurden und das elektronische Archivsystem keine Möglichkeit bot, nicht mehr benötigte Daten zu löschen. Auch in anderen EU Ländern wie etwa Polen und Griechenland wurden mehrere Geldbußen gegen Unternehmen in sechsstelliger Höhe verhängt; darunter eine Geldbuße von 150.000 EUR wegen rechtswidriger Verarbeitung von Mitarbeiterdaten im Unternehmen.

Bemessung der Geldbußen
Laut DSGVO muss eine Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Hierbei spielt auch der Gedanke der Generalprävention eine Rolle. Es geht also darum, auch andere Verantwortliche von derartigen Datenschutzverletzungen abzuhalten und das Vertrauen in die Rechtsordnung zu unterstützen. Die Höhe der Geldbuße richtet sich insbesondere nach der Art, Schwere und Dauer des Verstoßes sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens. Vorsätzliche Verstöße wie eine offenkundige Missachtung der Datenschutzgesetze wiegen naturgemäß schwerer als fahrlässige Verletzungen. Bei besonders leichten Verstößen kann die Behörde auch von einer Geldbuße gänzlich absehen. Maßgeblich ist auch, ob sich der betreffende Verantwortliche um Schadensminderung bemüht hat, ob er sich geständig zeigt und ob er unbescholten ist oder bereits zuvor einmal gegen die DSGVO verstoßen hat.

Die deutsche Datenschutzkonferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder hat kürzlich ein Rechenkonzept zur Bußgeldzumessung präsentiert, an dem sich die deutschen Behörden orientieren. Die Berechnung der Bußgelder erfolgt danach in fünf Schritten. Das jeweilige Unternehmen wird einer bestimmten Größenklasse - vom Kleinstunternehmen bis zum Großunternehmen - zugeordnet, die sich am Jahresumsatz orientiert. Im zweiten Schritt bestimmt die Behörde den mittleren Jahresumsatz und anschließend einen Tagessatz. Dieser Wert wird multipliziert mit einem Faktor, der die Schwere der Tat widerspiegelt, angefangen vom Faktor 1 bis 4 bei leichten Verstößen bis hin zum Faktor 12 bei schweren Verstößen. Durch die Anknüpfung an den Umsatz als zentralem Berechnungskriterium ist zu erwarten, dass die Strafen künftig höher ausfallen dürften. Auch in Österreich scheint es so, dass sich die Datenschutzbehörde im Post Fall bei der Bemessung der Geldbuße maßgeblich an den Umsätzen orientiert hat.

Gerichtliche Rechtsdurchsetzung, insb. Schadenersatz- und Unterlassungsklagen
Bei Verletzung der DSGVO drohen nicht nur erhebliche Geldbußen, sondern auch Klagen von Betroffenen, wie gerade auch der erwähnte Post Fall zeigt. Ein Anwalt klagte die Post und erhielt 800 Euro Schadenersatz zugesprochen (nicht rechtskräftig). Auch wenn nur ein kleiner Teil der rund 2,2 Millionen betroffenen Österreicherinnen und Österreicher dem Beispiel folgt und Schadenersatz begehrt, dann könnten hier weitere beachtliche Kosten auf die Post zukommen. Selbiges gilt natürlich analog auch für andere Unternehmen mit einer größeren Kundenzahl. Schließlich sind bei Datenschutzverletzungen auch Klagen von Mitbewerbern nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) denkbar und droht ein großer Imageschaden, wenn Datenschutzverletzungen in der Öffentlichkeit bekannt werden.