DSGVO – die Behörden ziehen die Daumenschrauben kräftig an

Sehr kurzsichtig wäre es an dieser Stelle jedenfalls, die geringe Zahl an Strafverfahren auf eine besonders gute Vorbereitung der Unternehmen zurückzuführen – den das stimmt ganz einfach nicht. Wie eine Austrian-Business-Check-Umfrage zeigt, hat die Einführung der DSGVO bei 53 Prozent der Unternehmen zu keinem erhöhten Datensicherheitsniveau geführt. Immerhin wurden aber in 52 Prozent der Unternehmen, die Daten- und IT-Sicherheitsmaßnahmen den neuen Gegebenheiten angepasst – etwa indem man „Zustimmungserklärungen zur Datenverarbeitung“ einholt.

Insgesamt gibt es für die Unternehmen aber noch viel zu tun, um vollumfänglich datenschutzkonform zu agieren. Beim geforderten „Verarbeitungsverzeichnis” hat beispielsweise noch jeder zweite Betrieb Aufholbedarf und zehn Prozent der heimischen Betriebe haben überhaupt noch keine einzige(!) Maßnahme in Sinne der DSGVO umgesetzt. „Der allgemeine Aufruhr im vergangenen Jahr hat in den Firmen zu keiner erhöhten Sorgfalt im Umgang mit Daten geführt“, analysiert Gerhard Wagner, Geschäftsführer der KSV1870 Information GmbH, in den Salzburger Nachrichten. „Auch, weil in der Praxis eher verwarnt wird und sich das bisherige Strafausmaß in einem Rahmen bewegt hat, das den Unternehmen kaum Schmerzen bereiten würde.“

Zumindest das Schmerzempfinden wurde in den vergangenen Monaten auf eine harte Probe gestellt. Im Juli 2019 verdonnerte die britische Datenschutzbehörde ICO British Airways zu einer Rekordstrafe von 204,6 Mio. Euro. Der Grund dafür war, dass Kriminelle die Kreditkartendaten von bis zu einer halben Million Airline-Kunden auslesen konnten. Das ist übrigens die höchste Summe, die bis dato weltweit für unzureichenden Datenschutz eingefordert wurde.

Auch für Platz 2 in der Hitliste der höchsten Strafen ist die ICO verantwortlich. Getroffen hat’s diesmal das amerikanische Unternehmen Marriott International, das aufgrund einer Sicherheitslücke (rund 339 Mio. Gästedaten, davon 30 Mio. Europäer, lagen offen) 110,39 Mio. Euro berappen musste.

Vergleichsweise billig kam da Google weg. Die französische Datenschutzbehörde CNIL forderte 50 Mio. Euro, da der US-Konzern es verabsäumte, seinen Nutzern genügend Informationen über die Zustimmung zu den Data-Richtlinien zu vermitteln. Auch hatten Google-Kunden – welch Überraschung! – keine ausreichende Kontrolle über die Nutzung persönlicher Informationen.

Den stolzen vierten Platz nimmt bereits die Österreichische Post (Strafe: 18 Mio. Euro) ein. Sie hat die Parteiaffinitäten von Millionen Post-Kunden gespeichert und diese Daten an wahlwerbende Parteien verkauft. Die Strafhöhe lässt sich hier durch die hohe Anzahl Betroffener sowie den Umsatz erklären. Gegen die Strafe wurden seitens der Post übrigens Rechtsmittel eingelegt.

Während sich die Gründe für die zuvor genannten Strafen problemlos nachvollziehen lassen, ist’s in manchen Fällen nicht ganz so einfach. Zwei sehr interessante Fälle gibt’s dazu in unserem Nachbarland Deutschland – Auswirkungen auf Österreich nicht ausgeschlossen.

Der erste Fall betrifft die börsennotierte Wohnbaugesellschaft Deutsches Wohnen, die im November zu 14,5 Mio. Euro Bußgeld verdonnert wurde. Der Grund dafür liegt schlicht am Archivsystem des Unternehmens, welches keine technische Löschmöglichkeit vorsieht. Persönliche Daten würden dadurch zwangsläufig über Jahre aufbewahrt. Zahlreiche (ältere) Archivsysteme wurden nämlich bewusst gegen das Löschen von Daten geschützt, um ja keinen Datenverlust zu riskieren. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO nun aber als absolut tödlich erweisen. Man kann nämlich davon ausgehen, dass noch viele solche Archivsysteme in den Unternehmen im Einsatz sind.

Besonders kritisch kann die Datenspeicherung übrigens für Banken, Versicherungen, Wertpapierfirmen oder Finanzberater werden. Der Grund: Eine Kundin hatte Beschwerde gegen ihren Ex-Telekomanbieter eingelegt, weil dieser nach Vertragskündigung noch umfangreiche Informationen über sie gespeichert hatte. Die Datenschutzbehörde bestätigte die Rechtmäßigkeit der Beschwerde und wies das Unternehmen an, dass es die Stammdaten (inkl. Vertragsdaten) seiner Kunden längstens sieben Jahre speichern darf. Das Unternehmen sah ursprünglich eine zehnjährige Frist vor, weil man nach der Bundesabgabenordnung (BAO, § 207) unter Umständen innerhalb dieser Frist steuerlich belangt werden kann.

Diesem Ansinnen erteilte die Datenschutzbehörde allerdings eine Abfuhr: man dürfe Daten nicht allein mit der Begründung speichern, dass später vielleicht ein Verfahren drohen könnte. „Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus”, heißt es in der Entscheidung. Und: Aus einer Verjährungsfrist lasse sich keine Aufbewahrungspflicht ableiten.

Legt man diesen Entscheid auf die Finanzbranche um, wird’s mitunter brisant. Dokumentation und langjährige Datenspeicherung sind hier nämlich oberste Grundsätze. Nach diversen Anlageskandalen, bei denen Kunden viele Jahre nach Vertragsabschluss eine Fehlberatung geltend machten, sind Finanzdienstleister sehr vorsichtig geworden. Unterlagen werden auf Basis einer 30-jährigen absoluten Verjährungsfrist für Schadensersatzansprüche gespeichert. Wäre man nun gezwungen, Daten frühzeitig (nach sieben Jahren) zu löschen, könnte man Jahre später sehr schnell in Beweisnotstand geraten.

Nicht minder interessant ist auch Fall Nummer zwei. Am 9. Dezember verhängte der deutsche Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) eine Strafe von 9,55 Mio. Euro gegen die 1&1 Telecom. Umgehend kündigte 1&1 an, gegen die Strafe klagen zu wollen, weil man das „absolut unverhältnismäßige Bußgeld“ nicht akzeptieren werde. Ein solcher Präzedenzfall könnte die Bestrebungen der EU beschleunigen, ein gesamteuropäisches Berechnungsmodell für Bußgelder zu schaffen. Bislang sind dafür die nationalen Aufsichtsbehörden zuständig.