Datensicherheit im Internet

Datenschutzverstöße: Monster-Bußgelder lassen auf sich warten

Noch immer ranken sich Mythen und Vermutungen um die Auswirkungen der DSGVO. Da erst eine übersichtliche Anzahl richtungsweisender Datenschutz-Urteile als Präzedenzfälle gelten, herrscht bei Datenschützern wie Datenverarbeitern immer noch Unsicherheit in vielen Fragen.

Unter anderem auch bezüglich der horrenden Bußgelder, von denen mit Inkrafttreten der DSGVO die Rede war. Sechsstellige Bußgelder für Großunternehmen, existenzgefährdende Bescheide für kleine und mittlere Unternehmen und Summen bis 4 Prozent des Jahresumsatzes machten die Runde. Und wurden zum probaten Akquise-Argument für viele „DSGVO-Schnellhelfer“, die im vergangenen Jahr hervorragende Geschäfte mit der Verunsicherung der Unternehmen gemacht haben.

Im DSGVO-Jahr 1 wurden 41 Bußgelder verhängt

Fakt ist: Bisher halten sich die Landesdatenschutzverantwortlichen noch zurück, was den Versand von Bußgeldbescheiden angeht. Nach einer Recherche des „Handelsblatt“ waren es bis zum 31. Dezember 2018 gerade mal 41 Verfahren, die eine Bußgeldforderung zur Folge hatten. Und auch in der Höhe wurde sich offenbar noch herangetastet: So wurden vom Bußgeld-Spitzenreiter durch die obersten Datenschützer Baden-Württembergs für schlampigen Umgang mit Gesundheitsdaten in großem Stil 80.000 Euro Bußgeld verhängt.

Dennoch, so klingt es bei den Landesdatenschutzbeauftragten unisono, befinde man sich länderübergreifend noch in einer „Aufklärungsphase“. So wurde zwar vielen angezeigten Datenschutzverstößen behördlich nachgegangen. Aber zumeist mit dem Ansinnen, die betroffenen Unternehmen aufmerksam zu machen und dazu anzuhalten, künftige Verstöße zu vermeiden. Noch sehen sich die Behörden offenbar in einer Art beratenden Funktion und unterstützen Unternehmen in ihren Bemühungen um einen DSGVO-konformen Umbau des jeweiligen Unternehmensauftritts.

Datenschutz auf hohem Niveau wird zum Qualitätskriterium

Aber die Datenschützer machen auch keinen Hehl daraus, dass diese Phase des Herantastens in absehbarer Zeit vorbei ist. Denn wer heute noch behauptet, noch nie etwas von der DSGVO und den damit verbundenen neuen Pflichten gehört zu haben, gilt schon lange nicht mehr als glaubwürdig. Und auch bei Mehrfachverstößen ist die Goodwill-Phase der Behörden mit Sicherheit schnell vorbei.

Wer auf Nummer sicher gehen will, nicht doch irgendwann einen stattlich bezifferten Bußgeldbescheid auf den Tisch zu bekommen, sollte nach wie vor dafür Sorge tragen, dass Datenschutz im eigenen Unternehmen Chefsache ist und mit Ernst betrieben wird. Auch wenn es einiges an Ressourcen und Investitionen bedeutet, ein Unternehmen fit in Sachen Datenschutz zu machen, eine zeitnahe und lückenlose Umstellung gehört inzwischen nicht nur zum guten Ton, sondern wird nach und nach auch als elementares Qualitätskriterium angesehen, im B2B- wie im B2C-Segment.

Eine „Bußgeld-Versicherung“ gibt es nicht

In Datenschutzforen stößt man oftmals auf die Frage, ob Unternehmen sich gegen die Konsequenzen von „unverschuldeten“ Datenschutzverstößen versichern können. Als Beispiel für einen wirksamen Versicherungsschutz wird oftmals eine IT-Haftpflichtversicherung oder die Berufs-Haftpflichtversicherung eines Freelancers angeführt. Doch besteht hier ein grundsätzliches rechtlich gelagertes Problem bei der Frage, was versichert werden darf und was nicht.

Grundsätzlich können sich Unternehmen beispielsweise gegen Schadenersatzforderungen oder Abmahnungen versichern. Die resultieren ja meist aus Schadenersatzansprüchen, die Kunden oder Geschäftspartner geltend machen, wenn sie mit einer Dienstleistung unzufrieden sind oder ihnen sogar Schaden durch die erbrachte Dienstleistung entstanden ist. Auch hierbei kann es unter Umständen um die DSGVO und ihre Grundsätze gehen. Versäumt es ein Medienunternehmen beispielsweise, seinem Kunden wesentliche von der DSGVO geforderte Hinweise auf einer Webseite einzubinden, und dieser wird aufgrund des Versäumnisses von einem Besucher der Webseite abgemahnt, muss das Medienunternehmen mit Regressansprüchen seines Kunden rechnen. Gegen diese kann sich das Medienunternehmen problemlos versichern.

Kommt es beispielsweise aber zu einem Verfahren aufgrund von Datenschutzverstößen auf der eigenen Webseite des Medienunternehmens, die nach einem Verfahren ein Bußgeld auslösen, gibt es für die „Begleichung“ des Bußgelds keinen legalen Versicherungsschutz. Ein Bußgeld hat ja aus Sicht des Gesetzgebers den Sinn, Uneinsichtige durch eine empfindlich hohe Zahlung zur Einsicht – und damit zur Einhaltung von Gesetzen und Verordnungen – zu bewegen. Könnte man sich gegen ein solches Bußgeld versichern, würde die ausstellende Behörde dieses ureigene Ziel absolut verfehlen.

Zurück

Hier bloggt die Redaktion Datenschutz & Datensicherheit des Verlags Mensch und Medien.

Datenschutz & Datensicherheit Das Fachinformationsportal

  • Aktuelles Fachwissen
  • Rechtssichere Entscheidungen
  • Praktische Arbeitshilfen
  • Übersichtliche Prozessdarstellungen
  • Sofort einsetzbare Schulungen

Jetzt 4 Wochen testen