DSGVO-Millionenstrafe: Testlauf für deutsches Modell

Die Millionenstrafen für DSGVO-Verletzungen deutscher Unternehmen sind Präzedenzfälle für das deutsche Bußgeld-Modell.

Wegen einer Verletzung der europäischen Datenschutz-Grundverordnung verhängte die deutsche Datenschutz-Behörde vergangene Woche ein Bußgeld von neun Millionen Euro gegen die 1&1 Telecom GmbH. Doch das Unternehmen wehrt sich: Sofort kündigte 1&1 eine Gegenklage ein. Ein Präzedenzfall – sowohl für Deutschland, als auch für Europa.

DSGVO-Bußgelder sind (noch) Sache der Mitgliedsstaaten. Mangels eines gesamteuropäischen Berechnungs-Modells bestimmen sie die Höhe selbst. So auch Deutschland. Im Oktober präsentierten die Behörden ihr Bußgeld-Konzept. Es kam rasch zum Einsatz: Im November beim Fall der Firma Deutsche Wohnen (14,5 Millionen Euro Bußgeld), und nun beim Fall des Telekommunikations-Dienstleisters 1&1 Telecom GmbH. Der Ausgang dieser beiden Fälle könnte über die Zukunft des deutschen Modells entscheiden – und darüber, ob sich die EU davon inspirieren lässt, wenn sie ihr gesamteuropäisches Bußgeld-Modell ausarbeitet.

Am 9. Dezember verhängte der deutsche Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) ein Bußgeld von 9,55 Millionen Euro wegen Verletzung der DSGVO gegen die 1&1 Telecom. Quasi sofort antwortete 1&1 mit der Ankündigung, gegen das Bußgeld klagen zu wollen (wie Deutsche Wohnen zuvor), weil man das „absolut unverhältnismäßige Bußgeld“ nicht akzeptiere. Die Argumente: Der Datenschutz hätte dem damaligen Marktstandard entsprochen, es wurden keine sensiblen Daten weitergegeben, und die Berechnung des Bußgelds verletze das deutsche Grundgesetz.

Der Anlassfall ereignete sich 2018: Damals wurde die Telefonnummer eines Kunden ohne seine Einwilligung weitergegeben, weil seine Exfrau seinen Namen und Geburtsdatum angeben konnte.

75 Verstöße nach einem Jahr EU-Datenschutzverordnung

Die Datenschutzbeauftragten der Bundesländer haben seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) vor knapp einem Jahr Bußgelder von fast einer halben Million Euro verhängt.

Das deutsche Modell im Test

DSGVO-Strafen in Millionenhöhe gibt es in Deutschland erst seit Oktober 2019, als die deutsche Datenschutzkonferenz ihr Bußgeld-Konzept präsentierte. Es schlägt vor, den Firmen-Jahresumsatz als Grundlage für DSGVO-Bußgelder heranzuziehen. Das führte zum Schock bei deutschen Unternehmen. Bislang waren Bußgelder für Datenschutzverstöße mit 300.000 Euro pro Vergehen gedeckelt, und plötzlich konnte es für große Unternehmen richtig teuer werden. Nun steht das Modell auf dem Prüfstand. Der Ausgang der Fälle Deutsche Wohnen und 1&1 könnte über die Zukunft des Modells entscheiden.

Hier handelt es sich um Präzedenzfälle, sagt Werner Hülsmann, stellvertretender Vorsitzender der Deutschen Vereinigung für Datenschutz. Und nicht nur für Deutschland. Auf lange Sicht will die EU ein gesamteuropäisches Berechnungsmodell für Bußgelder schaffen. Bis dahin sind die nationalen Aufsichtsbehörden angehalten, sich aneinander anzupassen. Daher haben die deutschen Millionenstrafen „eine gewisse Aufmerksamkeit“ in Europa hervorgerufen, weiß Hülsmann. Es sei auch davon auszugehen, dass die EU bei diesen Fällen genau hinschaut, um die Lektionen in das gesamteuropäische Konzept einfließen zu lassen.

Zuckerberg will mehr Internetregulierung; EU reagiert mit Kritik

Mit seiner Forderung nach mehr staatlicher Internet-Regulierung wird Mark Zuckerberg nicht von den anderen Problemen Facebooks ablenken können, so EU-Justizkommissarin Věra Jourová.

DSGVO versus Grundgesetz

Die Chancen für die Gegenklage schätzt 1&1 im Gespräch mit EURACTIV als „gut“ ein. Schließlich habe man sich damals an den Markstandard im Datenschutz gehalten: Die Authentifizierung beispielsweise über Name und Geburtsdatum sei auch bei der Konkurrenz üblich gewesen, außerdem seien keine sensiblen Daten weitergegeben worden – nur die Telefonnummer, laut DSGVO-Definition ein unsensibles Datum. Im Fall der Frau, die sich die Telefonnummer ihres Exmanns erschlich, um ihn zu belästigen, hätte „hohe kriminelle Energie“ zu diesem bedauerlichen Ergebnis geführt. Ohnehin habe die Firma seitdem ihren Datenschutz verschärft, inzwischen müssten Kunden die letzten Stellen der IBAN und eine individuelle Service-PIN angeben, um sich zu identifizieren.

Vor allem aber verstoße die Art, wie das Bußgeld berechnet wurde, gegen das deutsche Grundgesetz, insbesondere gegen den Grundsatz der Verhältnismäßigkeit. Berechnungsgrundlage für die 9,55 Millionen Euro war ja der Firmen-Jahresumsatz. Das sei jedoch nur im deutschen Modell der Fall, nicht in der DSGVO. Dort werden nur lose Richtlinien für die Bußgeld-Berechnung gelistet, wie Vorsätzlichkeit, Datenkategorie oder frühere Verstöße. Nicht aber der Umsatz.

„Dasselbe Vergehen hätte bei der Deutschen Telekom 211 Millionen Euro Bußgeld zur Folge“, rechnet 1&1 Telecom vor, „da muss man sich doch fragen, ob das in irgendeiner Relation stehen kann.“ Laut der Firma wollten die deutschen Behörden an 1&1 ein weiteres Exempel statuieren.

Europäischer Datenschutztag: 95.000 Beschwerden

Jüngste Zahlen zeigen, dass die europäischen Datenschutzbehörden seit Inkrafttreten der Datenschutzgrundverordnung mehr als 95.000 Beschwerden von EU-Bürgern erhalten haben.

Es gibt kein belangloses Datum

Letzteres mag stimmen, so Hülsmann von der Deutschen Vereinigung für Datenschutz. Den Rest sieht er, übrigens selbst Kunde bei 1&1 Telecom, naturgemäß anders.

Zwar sei es richtig, dass die Authentifizierung bei 1&1 Telecom im Jahre 2018 auch dem anderer Unternehmen entsprochen habe. Diesen hätte theoretisch dasselbe passieren können, 1&1 Telecom habe einfach das Pech gehabt, erwischt zu werden. Aber: „Nur weil jemand Anderes beim Überfahren einer roten Ampel nicht geblitzt wird und ich schon, kann ich ja nicht sagen, ihr hättet den auch blitzen müssen. Und wenn ihr das nicht tut, muss ich auch nichts zahlen“.

Dass keine sensiblen Daten weitergegeben worden waren, sieht Hülsmann skeptisch. Das Verfassungsgericht hatte schon 1983 erklärt, dass es keine „belanglosen Daten“ gebe. Es komme auf den Kontext an, und wie das Datum genutzt wird. Die telefonische Belästigung des 1&1 Telecom-Kunden durch seine Exfrau sei ein tragisches Beispiel dafür.

Experte erwartet Halbierung des Bußgelds

Was die Höhe des Bußgeldes betrifft, sieht Hüslmann die angebliche Grundgesetz-Widrigkeit „kritisch“. Es sei nämlich nur teilweise richtig, dass die DSGVO nicht vorsehe, den Jahresumsatz als Berechnungsgrundlage heranzuziehen.

DSGVO-Artikel 38 beschreibt, wie Bußgelder zu verhängen sind. Momentan stehen dort aber nur lose Richtlinien, an die sich Mitgliedsstaaten halten sollen. Es stimmt zwar, dass der Jahresumsatz nicht explizit genannt wird. Wohl aber kommt er später vor, nämlich bei der Berechnung der Maximalhöhe von Bußgeldern. Damit könnte man argumentieren, dass der Jahresumsatz eine Rolle spielen darf. Diese Unklarheiten zeigen, wie wichtig ein echtes gesamteuropäisches Modell wäre.

EU will Daten-Deal mit Japan

EU-Justizkommissarin Věra Jourová kündigte am Mittwoch an, sie werde sich um eine sichere Datenübermittlung zwischen der EU und Japan bemühen

Nun liegt es in der Hand der deutschen Gerichte. An ihrer Entscheidung, auch im Fall Deutsche Wohnen, hängt die Zukunft des deutschen Bußgeld-Konzepts. Sollte es tatsächlich das Grundgesetz verletzen, wird sich erst zeigen müssen, wie deutsche Datenschützer in Zukunft mit DSGVO-Verletzungen umgehen werden. Europäische Behörden würden ihre Lehren daraus ziehen, und womöglich davor zurückschrecken, den Firmenumsatz als Grundlage für Bußgelder herzuziehen. Dann hätten große Unternehmen weniger zu befürchten.

Subscribe to our newsletters

Subscribe

Wissen was in Europas Hauptstädten passiert - abonnieren Sie jetzt unseren neuen 10 Uhr Newsletter.