Ende der Schonfrist

Massenabmahnungen! Bußgelder bis zu 20 Millionen Euro! Zum Start des neuen EU-Datenschutzgesetzes (DSGVO) strotzten Berichte vor markigen Hinweisen auf Risiken und möglichen Sanktionen. Rund ein halbes Jahr nachdem die DSGVO wirksam wurde lässt sich festhalten: Die befürchtete Abmahnwelle blieb bislang aus.

Notorischen Massenabmahnern kommt eine derzeit allzu unsichere Rechtslage in die Quere, denn noch ist nicht klar, welche Verstöße moniert werden können. Zwar gibt es bereits mehrere Urteile deutscher Gerichte, diese widersprechen sich aber derzeit diametral. Insofern dürfte es – wie in vielen Bereichen der DSGVO – noch einige Zeit dauern, bis sich die Rechtslage stabilisiert. Das bedeutet: Schlechte Voraussetzungen für Winkeladvokaten, die auf den schnellen Euro setzen.

Unternehmen hofften, dass sich die Datenschutzbehörden zumindest 2018 noch mit Bußgeld-Sanktionen für Rechtsverstöße zurückhalten würden. An diese vor allem von Politikern geforderte „Schonfrist“ haben sich zumindest die deutschen Landesdatenschutzbeauftragten weitgehend gehalten. In anderen europäischen Staaten sah es teilweise anders aus.

Den – wenngleich eher zurückhaltenden – Aufschlag machten die Österreicher. Dort wurde ein steirisches Wettlokal zu einer Zahlung von 4800 Euro verurteilt. Der Betreiber hatte vor dem Lokal eine Überwachungskamera installiert, die nicht nur gezielt den Eingang abfilmte, sondern unzulässigerweise auch gleich den Großteil des Gehsteigs überwachte. Zudem hatte der Betreiber seine Besucher nicht ausreichend auf die Kamera hingewiesen.

Auch bei weiteren Strafen in Österreich geht es um Kameras: Der Besitzer eines Kebabstands, der unzulässigerweise eine Videoüberwachung installiert hatte, musste 1800 Euro Bußgeld zahlen. Ein anderes Lokal war mit 400 Euro dabei, und das unzulässige Betreiben einer Dashcam in einem Auto kostete 300 Euro.

Die erste richtig heftige Geldstrafe wegen eines Datenschutzvergehens verhängte die portugiesische Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados). Sie verurteilte ein Krankenhaus zur Zahlung von 400.000 Euro. Kernvorwurf war, dass die Betreiber laut Datenschutzaufsicht bewusst – also vorsätzlich – den Zugriff diverser Nutzer auf Daten zugelassen hatten, die eigentlich nur für Ärzte einsehbar sein dürfen.

So seien in dem System insgesamt 985 aktive Benutzer mit einem Profil „Arzt“ registriert gewesen, obwohl 2018 lediglich 296 Ärzte in dem Krankenhaus beschäftigt waren. Dritten einen Zugriff auf so sensible Informationen wie Patientendaten zu gewähren, stellt einen besonders groben Verstoß gegen die DSGVO dar. Das Krankenhaus wird allerdings gerichtlich gegen die Entscheidung vorgehen.

Datenklau bei Knuddels

Ende November gab es dann auch in Deutschland das erste Bußgeld. Erwischt hat es den Betreiber von Knuddels.de, einer Chat-Plattform für Jugendliche. Der Landesdatenschutzbeauftragte (LfDI) in Baden-Württemberg, Stefan Brink, hat ihm einen Verstoß gegen die in Art. 32 DSGVO vorgeschriebenen Anforderungen an die IT-Sicherheit vorgeworfen. Das Bußgeld fiel mit 20.000 Euro sehr moderat aus.

Knuddels.de waren durch einen Hackerangriff im Juli 2018 personenbezogene Daten (darunter Passwörter und E-Mail-Adressen) von rund 330.000 Nutzern entwendet worden. Im September 2018 wurden diese Daten veröffentlicht. Der Betreiber wandte sich daraufhin – entsprechend den gesetzlichen Vorgaben – an die zuständige Datenschutzbehörde in Stuttgart und informierte sie sowie alle Nutzer über die Datenpanne.

Die Aufarbeitung des Vorfalls brachte unter anderem zutage, dass der Chat-Anbieter die Passwörter seiner Nutzer im Klartext, also unverschlüsselt und ungehasht gespeichert hatte. Das lässt sich nicht mit den strengen Vorgaben der DSGVO an die Datensicherheit beim Umgang mit sensiblen Daten vereinbaren.

In einer Pressemitteilung lobte die Aufsichtsbehörde allerdings die Kooperation des Unternehmens bei der Aufarbeitung des Vorfalls und der eigenen Versäumnisse. Knuddels.de habe innerhalb von wenigen Wochen weitreichende Maßnahmen zur Verbesserung seiner IT-Sicherheitsarchitektur umgesetzt: „Innerhalb des Bußgeldrahmens sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens“, begründete die Behörde die unerwartet geringe Sanktion.

Äußerungen aus anderen Behörden lassen vermuten, dass Datensünder in anderen Bundesländern kaum mit einem derartigen pressewirksam zelebrierten Entgegenkommen rechnen dürfen. Derzeit bearbeiten die Landesdatenschützer viele hundert Beschwerden. Auch wenn nur ein Bruchteil dieser Meldungen verfolgt und mit Bußgeldern geahndet wird, dürfte es 2019 Strafzahlungen für Verstöße jeder Art und in nahezu jeder Höhe geben. (hob@ct.de)