DSGVO-Verstöße: Drohen deutschen Unternehmen jetzt drastische Strafen?

Weil die Deutsche Wohnen SE personenbezogene Daten von Mietern in einem nicht löschbaren Archivsystem angelegt hat, hat die Berliner Datenschutzbeauftragte ein Bußgeld in Höhe von 14,5 Millionen Euro gegen das Immobilienunternehmen erlassen. Der Vorwurf, so die derzeitige Berichterstattung: Die gespeicherten Gehaltsabrechnungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge wurden über Jahre vorgehalten, ohne zu prüfen, ob dies rechtmäßig und erforderlich ist, heißt es in der offiziellen Mitteilung. Das Archivsystem verstoße damit sowohl gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO).

DSGVO-Verstöße: Deutsche Behörden bisher zurückhaltend

Während die Datenschutzbehörden in Frankreich und Großbritannien bereits Bußgelder in Millionenhöhe verhängt haben, haben sich deutsche Stellen bislang bei bei DSGVO-Verstößen zurückgehalten. Zwar sieht die DSGVO seit ihrer Einführung im Mai 2018 Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes vor.

Die Deutsche Wohnen SE ist jetzt das erste Unternehmen, das hierzulande mit einer Millionen-Strafe wegen Datenschutzverstößen zur Kasse gebeten wird – auch wenn die Landesdatenschutzbeauftragte unter dem maximal möglichen Strafrahmen, den die Datenschutzgrundverordnung vorsieht, geblieben ist. Die Bußgeldentscheidung gegen die Deutsche Wohnen SE ist noch nicht rechtskräftig – die Immobilienfirma hat bereits angekündigt, Widerspruch einzulegen.

„Ob eine Strafe in dieser Höhe ein bundesweiter Standard wird, muss man abwarten“, erklärt Eva-Maria Scheiter, Managing Consultant GRC bei der Security Division von NTT Ltd. „Unternehmen sollten sich aber darauf einstellen, dass die Behörden strenger durchgreifen und Verstöße gegen die Datenschutzgrundverordnung künftig erheblich teurer werden. Der Grund dafür ist das neue Bußgeld-Berechnungsmodell der deutschen Aufsichtsbehörden, das auf der DSK – der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – veröffentlicht worden ist“, so Eva-Maria Scheiter

DSGVO-Verstöße: standardisiertes Verfahren für Strafbemessung

Der Katalog beinhaltet ein standardisiertes Verfahren, wie ein Bußgeld zu bemessen ist. Demnach bilden die Behörden einen sogenannten „Tagessatz“, indem sie den Umsatz des Vorjahres durch 360 teilen. Dieser Tagessatz wird dann je nach Schwere des Verstoßes mit einem Faktor multipliziert, der für besonders schwere DSGVO-Verstöße rechnerisch genau den in der DSGVO genannten vier Prozent des Vorjahresumsatzes entspricht. Für einen „durchschnittlichen“ Verstoß fällt bereits ein Bußgeld in Höhe von knapp zwei Prozent des Umsatzes an. Der so ermittelte Wert wird dann anhand der Art und Weise der Tatbegehung, ihrer Folgen und weiterer relevanter Umstände weiter erhöht oder vermindert.

„Unternehmen sollten ihre Risikosituation genau kennen. Ich rate Unternehmen eindrücklich, ihre bestehenden Risiken zu überprüfen beziehungsweise – wenn nicht oder nicht vollständig bekannt – zu identifizieren und die daraus notwendigen Maßnahmen abzuleiten und ihre Datenschutzorganisation entsprechend aufzustellen“, so Eva-Maria Scheiter weiter.

Die Security Division von NTT hilft Unternehmen beim Aufbau eines digitalen Geschäfts, das dem Grundsatz Security-by-Design entspricht. Auf Basis einer globalen Threat Intelligence bietet die Security Division hinsichtlich Cyber-Bedrohungen Prävention, Erkennung, Abwehr und Reaktion. Security verfügt über zehn SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 2.000 Sicherheitsexperten und behandelt jährlich hunderttausende Sicherheitsvorfälle auf sechs Kontinenten. Die Division sichert zudem eine effiziente Ressourcennutzung, indem der richtige Mix an Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird.

Lesen Sie auch: IT-Sicherheit für KMUs: So schützen sich Mittelständler vor Risiken