Schwerpunkte

Strafen bei DSGVO-Verstößen

14,5 Millionen Euro sind erst der Anfang

21. November 2019, 14:40 Uhr   |  Diana Künstler

14,5 Millionen Euro sind erst der Anfang
© Alexei Novikov - 123RF

Die Berliner Datenschutzbeauftragte hat wegen Verstößen gegen die DSGVO eine hohe Strafzahlung gegen die Deutsche Wohnen SE verhängt. Mit dem neuen Bußgeldkonzept der DSK wird ein solches massives Durchgreifen der zuständigen Datenschutzstellen wahrscheinlicher, erläutert Eva-Maria Scheiter von NTT.

Weil die Deutsche Wohnen SE personenbezogene Daten von Mietern in einem nicht löschbaren Archivsystem angelegt hat, hat die Berliner Datenschutzbeauftragte ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Immobilienfirma erlassen. Der Vorwurf, so die derzeitige Berichterstattung: Die gespeicherten Gehaltsabrechnungen, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge wurden über Jahre vorgehalten, ohne zu prüfen, ob dies rechtmäßig und erforderlich ist, heißt es in der offiziellen Mitteilung. Das Archivsystem verstoße damit sowohl gegen die Grundsätze der Datenschutzgrundverordnung (Artikel 5 DSGVO) als auch gegen das Gebot des Datenschutzes durch Technikgestaltung (Artikel 25 DSGVO).

Während die Datenschutzbehörden in Frankreich und Großbritannien bereits Bußgelder in Millionenhöhe verhängt haben, hielten sich deutsche Stellen bislang zurück. Zwar sieht die DSGVO seit ihrer Einführung im Mai letzten Jahres Geldstrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes vor. Aber die Deutsche Wohnen SE ist jetzt das erste Unternehmen, das hierzulande mit einer Millionen-Strafe wegen Datenschutzverstößen zur Kasse gebeten wird – auch wenn die Landesdatenschutzbeauftragte unter dem maximal möglichen Strafrahmen, den die Datenschutzgrundverordnung vorsieht, geblieben ist. Die Bußgeldentscheidung gegen die Deutsche Wohnen SE ist noch nicht rechtskräftig – die Immobilienfirma hat bereits angekündigt, Widerspruch einzulegen.

Eva-Maria Schreiter, NTT
© NTT Ltd.

Eva-Maria Scheiter, Managing Consultant GRC bei NTT Ltd.: “Unternehmen sollten ihre Risikosituation genau kennen. Ich rate Unternehmen eindrücklich, ihre bestehenden Risiken zu überprüfen beziehungsweise – wenn nicht oder nicht vollständig bekannt – zu identifizieren und die daraus notwendigen Maßnahmen abzuleiten und ihre Datenschutzorganisation entsprechend aufzustellen.” 

„Ob eine Strafe in dieser Höhe ein bundesweiter Standard wird, muss man abwarten“, erklärt Eva-Maria Scheiter, Managing Consultant GRC bei der Security Division von NTT. „Unternehmen sollten sich aber darauf einstellen, dass die Behörden strenger durchgreifen und Verstöße gegen die Datenschutzgrundverordnung künftig erheblich teurer werden. Der Grund dafür ist das neue Bußgeld-Berechnungsmodell der deutschen Aufsichtsbehörden, das auf der DSK – der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – veröffentlicht worden ist.“ Der Katalog beinhaltet ein standardisiertes Verfahren, wie ein Bußgeld zu bemessen ist. Demnach bilden die Behörden einen sogenannten „Tagessatz“, indem sie den Umsatz des Vorjahres durch 360 teilen. Dieser Tagessatz wird dann je nach Schwere des Verstoßes mit einem Faktor multipliziert, der für besonders schwere Verstöße rechnerisch genau den in der DSGVO genannten vier Prozent des Vorjahresumsatzes entspricht. Für einen „durchschnittlichen“ Verstoß fällt bereits ein Bußgeld in Höhe von knapp zwei Prozent des Umsatzes an. Der so ermittelte Wert wird dann anhand der Art und Weise der Tatbegehung, ihrer Folgen und weiterer relevanter Umstände weiter erhöht oder vermindert.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

NTT Com Security (Germany) GmbH, NTT Security (Germany) GmbH