DSGVO – die Behörden ziehen die Daumenschrauben kräftig an

DSGVO - die Behörden ziehen die Daumenschrauben kräftig an

Seit eineinhalb Jahren ist die EU-DSGVO nun verbindlich in Kraft – Zeit für eine erste Bilanz. Diese fällt übrigens recht zwiespältig aus: während einige Unternehmen die Zähne des Gesetzes bereits zu spüren bekommen haben, blieb der große Krach bislang aus.

Die teilweise spektakulären Geldbußen sollten aber als Warnung verstanden werden, denn die Datenschutzbehörden ziehen die Daumenschrauben jetzt kräftig an.

In den ersten Monaten nach dem Inkrafttreten der berüchtigten Datenschutzgrundverordnung (DSGVO) im Mai 2018 war’s ja noch verdächtig ruhig. Fast so, als ob die lokalen Datenschutzbehörden erst in ihre neue Rolle als „Datenwächter mit ernstzunehmenden Sanktionsmöglichkeiten“ reinfinden mussten.

Laut Berichten der heimischen Datenschutzbehörde sind im Jahr 2018 (und zwar nach DSGVO-Einführung) gerade mal 134 Verwaltungsstrafverfahren zusammengekommen, wovon 83 eingestellt wurden. Vier Fälle endeten mit einer Abmahnung, fünf Unternehmen mussten Strafe zahlen – allerdings nur im niedrigen fünfstelligen Bereich.

Angesichts dieser Zahlen (und der eher geringen Strafen) sah sich so mancher wohl schon in der trügerischen Annahme bestätigt, dass nichts so heiß gegessen, wie es gekocht wird.

Unternehmen noch immer nicht vorbereitet

Sehr kurzsichtig wäre es an dieser Stelle jedenfalls, die geringe Zahl an Strafverfahren auf eine besonders gute Vorbereitung der Unternehmen zurückzuführen – den das stimmt ganz einfach nicht. Wie eine Austrian-Business-Check-Umfrage zeigt, hat die Einführung der DSGVO bei 53 Prozent der Unternehmen zu keinem erhöhten Datensicherheitsniveau geführt. Immerhin wurden aber in 52 Prozent der Unternehmen, die Daten- und IT-Sicherheitsmaßnahmen den neuen Gegebenheiten angepasst – etwa indem man „Zustimmungserklärungen zur Datenverarbeitung“ einholt.

Insgesamt gibt es für die Unternehmen aber noch viel zu tun, um vollumfänglich datenschutzkonform zu agieren. Beim geforderten „Verarbeitungsverzeichnis“ hat beispielsweise noch jeder zweite Betrieb Aufholbedarf und zehn Prozent der heimischen Betriebe haben überhaupt noch keine einzige(!) Maßnahme in Sinne der DSGVO umgesetzt. „Der allgemeine Aufruhr im vergangenen Jahr hat in den Firmen zu keiner erhöhten Sorgfalt im Umgang mit Daten geführt“, analysiert Gerhard Wagner, Geschäftsführer der KSV1870 Information GmbH, in den Salzburger Nachrichten. „Auch, weil in der Praxis eher verwarnt wird und sich das bisherige Strafausmaß in einem Rahmen bewegt hat, das den Unternehmen kaum Schmerzen bereiten würde.“

Österreich belegt bei Strafen den 4. Platz

Zumindest das Schmerzempfinden wurde in den vergangenen Monaten auf eine harte Probe gestellt. Im Juli 2019 verdonnerte die britische Datenschutzbehörde ICO British Airways zu einer Rekordstrafe von 204,6 Mio. Euro. Der Grund dafür war, dass Kriminelle die Kreditkartendaten von bis zu einer halben Million Airline-Kunden auslesen konnten. Das ist übrigens die höchste Summe, die bis dato weltweit für unzureichenden Datenschutz eingefordert wurde.

Auch für Platz 2 in der Hitliste der höchsten Strafen ist die ICO verantwortlich. Getroffen hat’s diesmal das amerikanische Unternehmen Marriott International, das aufgrund einer Sicherheitslücke (rund 339 Mio. Gästedaten, davon 30 Mio. Europäer, lagen offen) 110,39 Mio. Euro berappen musste.

Vergleichsweise billig kam da Google weg. Die französische Datenschutzbehörde CNIL forderte 50 Mio. Euro, da der US-Konzern es verabsäumte, seinen Nutzern genügend Informationen über die Zustimmung zu den Data-Richtlinien zu vermitteln. Auch hatten Google-Kunden – welch Überraschung! – keine ausreichende Kontrolle über die Nutzung persönlicher Informationen.

Den stolzen vierten Platz nimmt bereits die Österreichische Post (Strafe: 18 Mio. Euro) ein. Sie hat die Parteiaffinitäten von Millionen Post-Kunden gespeichert und diese Daten an wahlwerbende Parteien verkauft. Die Strafhöhe lässt sich hier durch die hohe Anzahl Betroffener sowie den Umsatz erklären. Gegen die Strafe wurden seitens der Post übrigens Rechtsmittel eingelegt.

Das Problem der langjährigen Datenspeicherung

Während sich die Gründe für die zuvor genannten Strafen problemlos nachvollziehen lassen, ist’s in manchen Fällen nicht ganz so einfach. Zwei sehr interessante Fälle gibt’s dazu in unserem Nachbarland Deutschland – Auswirkungen auf Österreich nicht ausgeschlossen.

Der erste Fall betrifft die börsennotierte Wohnbaugesellschaft Deutsches Wohnen, die im November zu 14,5 Mio. Euro Bußgeld verdonnert wurde. Der Grund dafür liegt schlicht am Archivsystem des Unternehmens, welches keine technische Löschmöglichkeit vorsieht. Persönliche Daten würden dadurch zwangsläufig über Jahre aufbewahrt. Zahlreiche (ältere) Archivsysteme wurden nämlich bewusst gegen das Löschen von Daten geschützt, um ja keinen Datenverlust zu riskieren. Was als Schutz vor Manipulationen und versehentlichem oder absichtlichem Löschen einst gut gemeint war, kann sich für Firmen vor dem Hintergrund der EU-DSGVO nun aber als absolut tödlich erweisen. Man kann nämlich davon ausgehen, dass noch viele solche Archivsysteme in den Unternehmen im Einsatz sind.

Besonders kritisch kann die Datenspeicherung übrigens für Banken, Versicherungen, Wertpapierfirmen oder Finanzberater werden. Der Grund: Eine Kundin hatte Beschwerde gegen ihren Ex-Telekomanbieter eingelegt, weil dieser nach Vertragskündigung noch umfangreiche Informationen über sie gespeichert hatte. Die Datenschutzbehörde bestätigte die Rechtmäßigkeit der Beschwerde und wies das Unternehmen an, dass es die Stammdaten (inkl. Vertragsdaten) seiner Kunden längstens sieben Jahre speichern darf. Das Unternehmen sah ursprünglich eine zehnjährige Frist vor, weil man nach der Bundesabgabenordnung (BAO, § 207) unter Umständen innerhalb dieser Frist steuerlich belangt werden kann.

Diesem Ansinnen erteilte die Datenschutzbehörde allerdings eine Abfuhr: man dürfe Daten nicht allein mit der Begründung speichern, dass später vielleicht ein Verfahren drohen könnte. „Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht hingegen nicht aus“, heißt es in der Entscheidung. Und: Aus einer Verjährungsfrist lasse sich keine Aufbewahrungspflicht ableiten.

Datenschutz kontra Beweismittelsicherung

Legt man diesen Entscheid auf die Finanzbranche um, wird’s mitunter brisant. Dokumentation und langjährige Datenspeicherung sind hier nämlich oberste Grundsätze. Nach diversen Anlageskandalen, bei denen Kunden viele Jahre nach Vertragsabschluss eine Fehlberatung geltend machten, sind Finanzdienstleister sehr vorsichtig geworden. Unterlagen werden auf Basis einer 30-jährigen absoluten Verjährungsfrist für Schadensersatzansprüche gespeichert. Wäre man nun gezwungen, Daten frühzeitig (nach sieben Jahren) zu löschen, könnte man Jahre später sehr schnell in Beweisnotstand geraten.

Nicht minder interessant ist auch Fall Nummer zwei. Am 9. Dezember verhängte der deutsche Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) eine Strafe von 9,55 Mio. Euro gegen die 1&1 Telecom. Umgehend kündigte 1&1 an, gegen die Strafe klagen zu wollen, weil man das „absolut unverhältnismäßige Bußgeld“ nicht akzeptieren werde. Ein solcher Präzedenzfall könnte die Bestrebungen der EU beschleunigen, ein gesamteuropäisches Berechnungsmodell für Bußgelder zu schaffen. Bislang sind dafür die nationalen Aufsichtsbehörden zuständig.


Du hast Fragen zur DSGVO? Wir haben viele Antworten.

Zusätzlich implementieren wir alle notwendigen technischen Maßnahmen für die EU-DSGVO und schulen deine Mitarbeiter.
Gemeinsam mit Rechts- und Unternehmensberatern bieten wir auf Wunsch eine ganzheitliche Beratung zur EU-Datenschutzgrundverordnung an.

Wir stehen für alle Fragen sehr gerne zur Verfügung und beraten dich gerne.
Wir sind auch unter +43 1 3434333 und office@techbold.at erreichbar.
Unsere vollständigen Kontaktdaten findest du hier

Sebastian Hinterseer, Leiter Kundenbetreuung

Sebastian Hinterseer

Leitung Kundenbetreuung

oder ein Account Manager aus seinem Team meldet sich umgehend.


Weitere Beiträge zum Thema DSGVO:

DSGVO - Teil 1 - Alle Grundlagen der EU-DSGVO

DSGVO – Teil 1

Alle Grundlagen der EU-DSGVO

DSGVO - Teil 2 - Wen betrifft die EU-Datenschutzgrundverordnung

DSGVO – Teil 2

Wen betrifft die EU-Datenschutzgrundverordnung

DSGVO - Teil 3 - Neue Pflichten für Unternehmen

DSGVO – Teil 3

Neue Pflichten für Unternehmen

DSGVO - Teil 4 - Informationspflichten und die Recht der Betroffenen

DSGVO – Teil 4

Informationspflichten und die Recht der Betroffenen