Die Ruhe vor dem Sturm bei Datenschutz-Strafen
Noch wurden in Österreich keine hohen Strafen wegen Verstößen gegen die Datenschutz-Grundverordnung verhängt. Doch ein Blick ins EU-Ausland zeigt: Das ist nur eine Frage der Zeit.
Der Geltungsbeginn der DatenschutzGrundverordnung (DSGVO) am 25. Mai 2018 war für viele Unternehmen der Stichtag für die Umsetzung mehr oder weniger umfassender Compliance-Maßnahmen beim Datenschutz, abhängig von der Größe des Unternehmens und der Befassung mit dieser Materie. Das Ziel: Nachdem das Thema Datenschutz über viele Jahre – vor allem angesichts vernachlässigbarer Sanktionen – ein Schattendasein führte, sollte binnen kürzester Zeit ein einigermaßen rechtskonformer Zustand hergestellt und dokumentiert werden.
Rund 15 Monate später lassen sich die Geldbußen in Österreich an einer Hand abzählen. Die höchste Strafe betrug bis vor kurzem rund 5000 Euro. Medienberichten zufolge wurde zuletzt eine Geldbuße von immerhin 50.000 Euro gegen ein im Medizinbereich tätiges Unternehmen verhängt. Dennoch herrscht in vielen Unternehmen in puncto Datenschutz eher beschauliche Ruhe als hektische Betriebsamkeit. Zu Unrecht, wie eine nähere Analyse zeigt.
„Verwarnen statt strafen“
Ein Grund für die bisher niedrigen Geldbußen liegt in der aktuellen Praxis der österreichischen Datenschutzbehörde (DSB), die dem Grundsatz „Verwarnen statt strafen“folgt. Demnach soll bei erstmaligen Verstößen bloß verwarnt werden – eine Klarstellung im österreichischen Datenschutzgesetz (DSG), die das in der DSGVO verankerte Verhältnismäßigkeitsgebot unterstreicht. Angesichts der komplexen Regelungen der DSGVO mit ihren unbestimmten Rechtsbegriffen war aber ohnehin zu erwarten, dass sich die DSB bei der Verhängung von Geldbußen zunächst in Zurückhaltung übt.
Dass in Österreich noch keine Geldbuße in substanzieller Höhe verhängt wurde, liegt aber auch schlicht daran, dass die DSB noch nicht über einen geeigneten Anlassfall zu entscheiden hatte. In anderen europäischen Ländern bot sich hierzu bereits Gelegenheit: So forderte die britische Datenschutzbehörde von British Airways eine Geldbuße von 205 Mio. Euro, weil Daten von rund 500.000 Kunden an die Öffentlichkeit gelangten; in einem ähnlich gelagerten Fall will dieselbe Behörde nun eine Strafe von 110 Mio. Euro über die Hotelkette Marriott verhängen. In Frankreich wurde eine Geldbuße von 50 Mio. Euro für Google wegen unzureichender Umsetzung von Transparenzpflichten ausgesprochen. Erhebliche Geldbußen wurden ferner in Portugal (400.000 Euro über ein Krankenhaus) und Spanien (250.000 Euro über die nationale Fußballliga) verhängt.
Auf den Spuren des Kartellrechts
Das neue Datenschutzrecht brachte eine Systemänderung mit sich: Das frühere behördliche Melde- und Genehmigungssystem wurde durch die Verpflichtung zur eigenverantwortlichen Selbstkontrolle abgelöst. Die Einhaltung dieser Verpflichtung wurde wiederum durch die massive Erhöhung des Geldbußenrahmens abgesichert. Dieses Konzept erinnert nicht zufällig an die Reform des österreichischen Kartellrechts, das mit 1. Jänner 2006 einer vergleichbaren Zäsur unterlag. Betrachtet man nun die Entwicklung der österreichischen Bußgeldpraxis für Kartellverstöße, fällt auf, dass die relevanten Summen relativ rasch anstiegen: Wurden im Jahr 2006 Geldbußen in Höhe von „nur“150.000 Euro verhängt, waren es 2007 bereits sieben Millionen und 2008 sogar 75 Millionen Euro. Es ist davon auszugehen, dass die Geldbußen auch im Datenschutzrecht bald ansteigen werden, wobei – ausgehend von einem niedrigeren Niveau – auch hier durchaus ein exponentielles Wachstum zu erwarten ist.
Klägerfreundliche Sonderregeln
Ähnlich wie im Kartellrecht drohen den Unternehmen auch im Datenschutzrecht zusätzlich Schadenersatzforderungen, für die klägerfreundliche Sonderbestimmungen gelten: Im Kartellrecht führte die 2017 in Kraft getretene Gesetzesnovelle zu wesentlichen Erleichterungen für den Nachweis von Schäden, die aus verbotenen Preisabsprachen resultieren. Demgegenüber profitieren Betroffene nach der DSGVO von der ausdrücklichen gesetzlichen Ermächtigung zur Geltendmachung immaterieller Schäden. Auf diese Weise können Betroffene Schadenersatz für die bloße Verletzung ihrer Privatsphäre fordern.
So sprach kürzlich das Landesgericht Feldkirch einem Kläger Schadenersatz in Höhe von 800 Euro zu, weil die Österreichische Post dessen (mutmaßliche) parteipolitische Orientierung speicherte. Sollte diese Entscheidung im Instanzenzug bestätigt werden, könnte das Beispiel Schule machen. Auch wenn es dabei im Einzelfall um relativ geringe Beträge geht, kann dies bei Unternehmen mit einer großen Anzahl potenziell Betroffener zu substanziellen Schadenersatzforderungen führen.
Stolpersteine bei Compliance
Zwar sind Umfragen zufolge die meisten Unternehmen davon überzeugt, die datenschutzrechtlichen Vorgaben vollständig oder zumindest weitgehend umgesetzt zu haben. Diese Einschätzung hält einer objektiven Prüfung jedoch oftmals nicht stand. Dies liegt zum Teil daran, dass bei Projekten für Datenschutz-Compliance aufgrund des Zeitdrucks vor dem Stichtag des 25. Mai 2018 das erforderliche Verzeichnis von Verarbeitungstätigkeiten im Schnelldurchlauf erstellt wurde und die tatsächlichen Vorgänge nicht korrekt abbildet. Oft stellt sich dann erst bei Anfragen von Betroffenen heraus, dass die geforderte Auskunft, welche personenbezogenen Daten das Unternehmen nun konkret verarbeitet, gar nicht oder nur unvollständig erteilt werden kann. Dies belegen auch die zahlreichen Individualbeschwerden von Betroffenen bei der DSB, deren Zahl sich von 156 im Jahr 2017 auf 1036 im Jahr 2018 erhöht hat.
Die bisher niedrigen Geldbußen in Österreich sollten keinen Grund darstellen, das Thema Datenschutz von der Agenda zu nehmen. Ganz im Gegenteil: Unternehmen sind gut beraten, die verlängerte „Schonfrist“zu nutzen, um alle erforderlichen Schritte zur Einhaltung der DSGVO zu ergreifen und deren Umsetzung auch entsprechend zu dokumentieren.