In den ersten 9 Monaten seit dem „Startsignal“ 22. Mai 2018 sind laut Europäischem Datenschutzausschuss über 200.000 Verstöße an die Datenschutzbehörden gemeldet worden – und Bußgelder von fast 56 Mio Euro wurden verhängt. Warum man das Thema ernst nehmen muss, aber weshalb dennoch kein Grund zur Panik besteht, darum geht es in diesem Beitrag.
Es war am 21. Januar 2019, als die französische Datenschutzaufsichtsbehörde Commission Nationale de l’Informatique et des Libertés, kurz CNIL, gegen Google ein Bußgeld von 50 Mio. € wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängte.
Diese Nachricht sorgte für viel Furore und ging durch die Medien wie ein Lauffeuer. Doch wie ist diese Nachricht einzuordnen? Droht Ihnen bzw. Ihrem Unternehmen nun auch sofort eine solche Strafe, wenn Sie an einem Punkt nicht zu einhundert Prozent alle Vorgaben der DSGVO erfüllen? Und wie kam es eigentlich zu diesem Bußgeldbescheid?
Gehen wir an dieser Stelle noch einmal ein paar Schritte zurück:
Es begann damit, dass die CNIL zwei Beschwerden gegen Google nachging, die von zwei völlig unterschiedlichen Organisationen kamen: „La Quadrature du Net“ aus Frankreich sowie „None Of Your Business“ aus Österreich. Bei der Prüfung kam die CNIL dann zu dem Ergebnis, dass Google unter anderem die Anforderungen zur Transparenz nicht erfüllt und Einwillungen zur Nutzung personenbezogener Daten zu allgemein formuliert. Angeprangert wurden zudem die bereits ausgefüllten Checkboxen für die Einwilligungserklärung, was dem Geist der DSGVO komplett widerspricht.
Was die ganze Angelegenheit pikant macht: Die CNIL verhängte nicht nur eine exorbitant hohe Strafe – die allerdings im Rahmen der DSGVO explizit möglich ist – sondern ging damit auch gezielt an die Presse. Hier werden die Berufungsverhandlungen im Laufe der nächsten Monate (oder wohl eher Jahre) zeigen, ob die CNIL korrekt gehandelt hat, oder ob die Kritiker recht behalten werden, die hier einen Boomerang-Effekt befürchten. Das größte Problem dabei: Die CNIL ist unter Umständen gar nicht zuständig!
Google argumentiert: Der (europäische) Hauptsitz des Unternehmens ist in Irland, folglich sind auch die irischen Behörden zuständig. Hier argumentiert die CNIL dagegen und begründet es damit, dass nicht in Irland darüber entschieden werde, wann, wo und und wie personenbezogene Daten verarbeitet werden. Man streitet sich dabei um das One-Stop-Shop-Prinzip, womit gemeint ist, dass eigentlich stets die Aufsichtsbehörde am Hauptsitz des Verantwortlichen zuständig ist. Wenn aber am Hauptsitz diese entscheidende Regelung nicht getroffen wird, dann sei auch das Prinzip nicht anzuwenden, meint die CNIL.
Ein weiterer Streitpunkt: Sind die von der CNIL beanstandeten Punkte auch tatsächlich ein Problem? So stellt sich die Frage, ob die kritisierten Einwilligungen falsch sind, „nur“ weil sie gleich mehrere Zwecke abdecken.
Dass sich Google gegen die Entscheidung der CNIL wehren würde, war absehbar. Der gleichfalls absehbar weite Weg durch alle Instanzen endet mit großer Wahrscheinlichkeit beim Europäischen Gerichtshof – reden wir doch von einer europäischen Verordnung.
Wie sind also die Zahlen des Europäischen Datenschutzausschusses zu werten, wenn von 56 Millionen Euro Bußgeldern bei 200.000 Verstößen die Rede ist? Nun, zum einen so, dass Bußgelder tatsächlich verhängt wurden – wenn man aber den (zudem noch strittigen) Fall „Google“ herausrechnet, bleiben ca. 6 Millionen Euro für alle anderen Bußgelder in Summe übrig. Auf wie viele Einzelfälle das nun tatsächlich umgerechnet werden muss, bleibt zudem unklar, denn gemeldete Verstöße bedeuten nicht automatisch auch ein Bußgeld. So waren knapp die Hälfte aller Fälle Beschwerden gegen Datenschutzverstöße und ca. ein Drittel Selbstanzeigen von Unternehmen. Davon ausgehend, dass vereinzelte etwas höhere Bußgelder verhängt worden sind, ist der Großteil der Bußgelder vermutlich von eher tadelndem Umfang gewesen.
Dennoch möchte man auch Bußgelder von geringerer Höhe natürlich gerne vermeiden. Wie Sie als Unternehmer bzw. Verantwortlicher nun genau das erreichen, klingt einerseits banal, ist andererseits aber das fortdauernde Ziel unserer gemeinsamen Arbeit: Halten Sie die Datenschutzvorschriften ein.
Nichts zu tun, ist gleichfalls stets ein schlechter Ratgeber. Die tedeka consulting erarbeitet mit Ihnen passgenaue Lösungen für Ihre individuellen Zwecke – teils in Zusammenarbeit mit spezialisierten Anwälten.
Und wenn es dann doch einmal passieren sollte? Wenn auch Ihnen ein Verstoß gegen Datenschutzvorschriften vorgeworfen wird und Sie einen Bußgeldbescheid erhalten? Erstens: Nicht sofort zahlen, erkennen Sie keine Schuld einfach so an. Zweitens: Beziehen Sie uns ein und lassen Sie uns gemeinsam das Thema besprechen. Drittens: Das Verwaltungsrecht ist gelinde gesagt komplex – auch Behörden werden von Menschen gesteuert, und Menschen machen Fehler. Lassen Sie uns daher gemeinsam mit unserem Team spezialisierter Anwälte prüfen, welcher Rat der Beste sein wird – so schnell wie möglich.
Und jetzt arbeiten wir gemeinsam daran, dass es möglichst erst gar nicht dazu kommt.