21.11.2019

Seit dem 25. Mai 2018 haben die Einwohner Europas ein weiteres mächtiges Instrument zur Verfügung, um ihr Recht auf informationelle Selbstbestimmung durchzusetzen: An diesem Tag ist die Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Unter anderem enthält die DSGVO das Recht, Auskunft zu den gespeicherten Daten zu erhalten und sie berichtigen zu lassen. Verstöße gegen die DSGVO können die Behörden mit empfindlichen Geldbußen ahnden. Diese Geldbußen können - je nach Schwere des Verstoßes - bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes betragen; je nachdem, welcher Betrag höher (!) ist.

Dass diese Strafen keine leere Drohung sind, musste jüngst die Delivery Hero Germany GmbH erfahren - ein Essenslieferdienst, dessen Marken Lieferheld, Pizza.de und foodora inzwischen vom niederländischen Konzern Takeway.com übernommen worden sind. Die Berliner Datenschutzbeauftragte hat im August 2019 Bußgelder in Höhe von 195.407 Euro einschließlich Gebühren gegen Delivery Hero erlassen. Delivery Hero hatte in zehn Fällen die Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv waren - in einem Fall lag die letzte Aktivität im Jahr 2008. Acht ehemalige Kunden hatten sich darüber hinaus beschwert, weil das Unternehmen ihnen unerwünschterweise Werbe-E-Mails schickte. Ein Betroffener hatte der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen- und trotzdem noch weitere 15 Werbe-E-Mails erhalten. In weiteren fünf Fällen erteilte das Unternehmen die geforderten Selbstauskünfte gar nicht oder erst, nachdem die Berliner Datenschutzbeauftragte interveniert hatte.

Gegenüber der Berliner Datenschutzbehörde versuchte sich Delivery Hero damit herauszureden, dass es sich um technische Fehler oder Versehen der Mitarbeiter gehandelt habe. Dieses Argument nahmen die Berliner Datenschützer der Lieferplattform allerdings nicht ab: Dazu seien es zu viele Verstöße über einen zu langen Zeitraum. Es sei vielmehr von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen, so die Behörde.

Dieselbe Berliner Behörde erließ im Oktober 2019 sogar ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die „Deutsche Wohnen SE“. Das Wohnungsunternehmen hatte ein Archivsystem zur Speicherung der Daten von Mietern eingerichtet, in dem es nicht möglich war, Daten zu löschen, die nicht mehr benötigt wurden - darunter sensible Daten wie Gehaltsabrechnungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge. Die Datenschützer hatten nach einem ersten Inspektionstermin im Juni 2017 angemahnt, die „Deutsche Wohnen“ müsse ihr Archivsystem umstellen. Im März 2019 hatte die Wohnungsgesellschaft jedoch weder ihre Speicher-Praxis geändert noch konnte sie rechtlich begründen, warum die alten Daten immer noch aufbewahrt wurden. Auch andere Datenschutzbehörden in Europa verhängen zum Teil empfindliche Strafen, wie eine laufend aktualisierte Liste von „enforcementtracker.com“ belegt.

Die zum Teil hohen Bußgelder sind ein Indiz dafür, dass die Schonzeit für Datenschutz-Sünder nach Inkrafttreten der DSGVO vorbei ist und dass die Behörden Verstöße immer empfindlicher ahnden. Noch im Mai 2019 hatte die „Welt“ unter Berufung auf eine Umfrage bei den Datenschutzbeauftragten der 16 deutschen Bundesländer berichtet, bis dahin seien 75 Verstöße gegen die DSGVO geahndet worden, die Summe aller bis dahin verhängten Bußgelder habe bei insgesamt 485.490 Euro gelegen. Die mittlerweile bekannt gewordenen Geldbußen liegen deutlich höher.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk setzt darauf, dass die Entscheidungen erzieherischen Charakter haben: „Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten,“ sagte sie nach der Entscheidung gegen Delivery Hero. Und sie mahnt: „Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement.“ Kunden der „Deutsche Wohnen“ rät sie, „sich direkt an die Deutsche Wohnen zu wenden und die vom Gesetz gegebenen Auskunftsrechte geltend zu machen“.

Diese Entwicklungen sollten auch die Verantwortlichen von YouTube sehr aufmerksam studieren. Schließlich sind die Klassifizierungen von Videos, die von Einzelpersonen aus der Europäische Union auf YouTube hochgeladen worden sind, ebenfalls personenbezogene Daten. Verstöße gegen die DSGVO könnten also für YouTube beziehungsweise für den Google-Konzern (Jahresumsatz 2018: knapp 137 Milliarden US-Dollar) extrem teuer werden.