Berlin Es war eine „Datenpanne“ mit rigorosen Folgen: Hacker griffen bei der Chat-Plattform Knuddels die Passwörter, E-Mail-Adressen und Pseudonyme von 330.000 Nutzern ab und veröffentlichten diese im Internet. Möglich war das, weil das Unternehmen die Kundendaten im Klartext auf seinem Server gespeichert hatte.

Dafür kassierte das soziale Netzwerk noch vor dem Jahreswechsel das erste Bußgeld nach der neuen Datenschutzgrundverordnung (DSGVO). Dass die Strafe mit 20.000 Euro verhältnismäßig milde ausfiel, lag an Knuddels‘ Kooperationsbereitschaft mit der zuständigen Datenschutzbehörde.

Es ist nicht das einzige Bußgeld, das auf Basis des neuen Regelwerks verhängt wurde. Nach einer Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder ergingen bereits bundesweit in 41 Fällen Bußgeldbescheide. Die Strafen kamen recht schnell, denn die Ermittlungsverfahren dauern in der Regel einige Monate.

Derzeit laufen „sehr viele“ weitere Bußgeldverfahren, wie die Behörden auf Anfrage mitteilten. Die EU-Datenschutzgrundverordnung gilt seit dem 25. Mai des vergangenen Jahres für die Verarbeitung, Speicherung und Weitergabe personenbezogener Daten durch öffentliche Stellen und private Firmen. Die Regulierung ist nun strenger.

Die Strafen bei Verstößen sind deutlich gestiegen, von zuvor 300.000 Euro auf nun bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes. Elf Bundesländer verhängten bislang keinerlei Bußgelder auf Basis der DSGVO.

„Für eine Übergangszeit habe ich mich dazu entschlossen, zurückhaltend mit dem Verhängen von Sanktionen zu sein“, sagte der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, dem Handelsblatt. Ihm sei es wichtig, dass die öffentlichen Wettbewerbsunternehmen wie Kliniken oder Verkehrsunternehmen, für die er zuständig sei, möglichst zeitnah ihr Datenschutzmanagement anpassten.

„Manchmal können insoweit Bußgeldverfahren mehr hemmen als befördern“, sagte Petri, warnte zugleich aber: „Auf meine Zurückhaltung sollten sich die öffentlichen Wettbewerbsunternehmen allerdings nicht vorbehaltlos verlassen.“ Er habe bereits einige Kliniken bei erheblichen Verstößen gewarnt, dass sie im Wiederholungsfall eines Verstoßes mit Bußgeldern zu rechnen hätten.

Es gehe dabei um „erhebliche technisch-organisatorische Mängel.“ In Brandenburg hieß es, in der „Umstellungsphase“ würden Beratungen für zielführender gehalten „als die sofortige Anwendung der verschärften Bußgeldbestimmungen“. Von Bußgeldern werde sie aber „künftig Gebrauch machen“, betonte die Datenschutzbeauftragte Dagmar Hartge.

Die meisten Bußgelder verhängte Nordrhein-Westfalen (33), gefolgt von Hamburg (3) und Baden-Württemberg und Berlin (jeweils 2) und dem Saarland (1). Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), das die Einhaltung des Datenschutzrechts in privaten Wirtschaftsunternehmen, bei Freiberuflern, in Vereinen und Verbänden sowie im Internet überwacht, laufen derzeit 85 Bußgeldverfahren nach der DSGVO.

Mit Blick auf die Höhe der Bußgelder besteht derzeit offenbar noch Schonfrist. So verhängte der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 Euro bislang die höchste Einzelstrafe. Im konkreten Fall landeten aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten im Internet. Hamburg verhängte insgesamt Bußgelder in Höhe von 25.000 Euro, Nordrhein-Westfalen von knapp 15.000 Euro.

Die meisten Bußgeldverfahren werden durch Beschwerden von Betroffenen ausgelöst. Die Behörden beginnen dann ihre Ermittlungen. Unternehmen müssen jedoch auch selbst Datenpannen melden – unverzüglich, möglichst 72 Stunden nachdem sie bekannt wurden.

Typische Fälle: Eine Klinik übergab die Kopie eines Schwerbehindertenausweises versehentlich an den falschen Patienten, einige Bankkunden konnten beim Online-Banking die Kontoauszüge Dritter einsehen. Bei einem Hackerangriff auf einen Webshop wurden Kundendaten unbefugt kopiert.

Ein Hotel konnte nicht ausschließen, dass durch einen erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem in falsche Hände gerieten. Bei einer Feuerwehr des Landes Bremen wurden sämtliche Telefonate aufgezeichnet, nicht nur die Notrufe, sondern alle ausgehenden und eingehenden Gespräche.

Für Bußgeldverfahren sorgten auch unzulässige Werbemails, Dashcam-Nutzung sowie offene E-Mail-Verteiler. Die schleswig-holsteinische Behördenchefin Marit Hansen nennt als Beispiel den Bereich der Videoüberwachung. Hier lägen häufig „zu invasive Umsetzungen“ vor, also eine „heimliche oder zu wenig transparent gemachte Beschäftigten- und Kundenüberwachung, auch in sensiblen Bereichen, wo mildere Mittel ausreichend wären“.

Hansen berichtet auch von Datenpannen, wenn etwa sensible Daten unzulässigerweise auf Webservern gespeichert werden, die Internet-öffentlich sind. Oder wenn Patientendaten auf Speichermedien in „fremde Hände“ gelangten. Wegen der unzureichenden Umsetzung der DSGVO mussten die Aufsichtsbehörden in den Bundesländern in einem deutlich größeren Ausmaß aktiv werden, als dies vor Inkrafttreten der neuen Regeln der Fall war.

„Die Anzahl der Beschwerden hat sich gegenüber dem Jahr 2017 um 30 Prozent erhöht, die Anzahl der Beratungen hat sich mehr als verdoppelt, die Anzahl der gemeldeten Datenpannen im Jahr 2018 hat sich mit 774 mehr als verzehnfacht“, teilte etwa der Landesdatenschützer von Baden-Württemberg, Stefan Brink, dem Handelsblatt auf Anfrage mit.

Beim Bayerischen Landesamt wurden knapp 300 Beschwerden und 2.500 Datenpannen gemeldet. Zudem fanden mehr als 4.000 Beratungen von Unternehmen statt. Der Datenschutzbeauftragte in Sachsen sah sich mit dem dreifachen Beschwerdeaufkommen im Vergleich zum Vorjahr konfrontiert. Insgesamt wurden hier rund 2.400 neue Vorgänge registriert.

In der Dienstelle des rheinland-pfälzischen Datenschutzbeauftragten Dieter Kugelmann gingen zum Teil täglich um die 200 Anrufe ein. Der Thüringer Landesbeauftragte für den Datenschutz teilte auf Anfrage mit, die Posteingänge hätten im vergangenen Jahr bei 22.000 gelegen, was eigentlich „mit entsprechender Aufstockung des Personals korrelieren müsste“.

Der Hamburger Datenschützer Johannes Caspar wertet solche Befunde indes als positives Zeichen. Das Bewusstsein der Bürger für ihre Datenschutzrechte und für die Wahrnehmung ihrer Rechte auf informationelle Selbstbestimmung sei „zweifellos größer geworden“, sagte Caspar dem Handelsblatt.

„Die große Zahl der Beratungswünsche sowie die expliziten Beschwerden deuten darauf hin, dass hier eine gesteigerte Sensibilisierung stattgefunden hat.“ Insofern könne man sagen: „Die DSGVO hat mit Blick auf die Betroffenen Wirkung gezeigt.“

Bei den Informationen zur Daten‧verarbeitung bestehen gravierende Defizite. Katarina Barley, Bundesjustizministerin

Auch in den Unternehmen hat sich nach Einschätzung Caspars „einiges zum Positiven verändert“. Das Bewusstsein für den Datenschutz und das Verständnis für die eigene Verantwortung bei der Verarbeitung von Daten habe deutlich zugenommen. Etwa was die Benennung von Datenschutzbeauftragten oder die Erstellung von Verarbeitungsverzeichnissen und Datenschutzerklärungen betrifft.

„Insofern ist diese verbesserte Bewusstwerdung sicherlich eine der wichtigsten Veränderungen durch die DSGVO“, so Caspar. „Die gewaltige Steigerung der Beratungen zeigt das große Bedürfnis der Unternehmen, sich datenschutzkonform zu verhalten“, sagte BayLDA-Präsident Thomas Kranig dem Handelsblatt.

„Der Wunsch ist da, alles richtig zu machen.“ Thüringen teilte mit, es sei der Eindruck entstanden, dass Datenschutz erst mit der Datenschutzgrundverordnung und der hohen Bußgeldandrohung „ernst genommen“ werde.

Der Vorschriften der DSGVO verlangen der Wirtschaft einiges ab.

Abhängig von Branche und Unternehmensgröße gebe es Beratungsbedarf „bei Grundsatzfragen, aber auch bei sehr komplexen datenschutzrechtlichen Detail- und Einzelfragen“, sagte die nordrhein-westfälische Datenschutzbeauftragte Helga Block dem Handelsblatt.

Unklarheiten bestehen mitunter bei den sogenannten Informationspflichten, insbesondere bei Internetseiten oder bei den Auskunftsrechten der betroffenen Personen. Die Behörde in Niedersachsen will es genau wissen und führt derzeit eine „Querschnittsprüfung“ von 50 niedersächsischen Unternehmen zur Umsetzung der DSGVO durch.

„Wir erhoffen uns hieraus Erkenntnisse dazu, wo es noch Nachholbedarf gibt“, sagte Behördenchef Johannes Pepping dem Handelsblatt. Der rheinland-pfälzische Datenschützer Kugelmann plant nach eigenen Angaben „exemplarische Umfrageaktionen“ und „eine Phase stichprobenweiser Prüfungen und Untersuchungen“ – und bei festgestellten Defiziten „eine verstärkte Nutzung der Abhilfebefugnisse“.

Es zeige sich, dass insbesondere bei kleinen und mittleren Unternehmen „teils erhebliches Defizit“ bei der Kenntnis der DSGVO-Anforderungen bestehe. Trotz der Unwägbarkeiten, die die neuen Datenschutzvorschriften teilweise noch mit sich bringen, sind die Aufsichtsbehörden zufrieden.

„Die Datenschutz-Grundverordnung stellt einen ersten wichtigen Schritt dar, zur Wahrung unserer Freiheitsrechte beizutragen“, sagte die Berliner Datenschutzbeauftragte Maja Smoltczyk dem Handelsblatt. Die Betroffenenrechte seien deutlich gestärkt worden und seien nun besser durchsetzbar.

Allerdings, so gab Smoltczyk zu bedenken, gelinge dies nur, wenn die Aufsichtsbehörden auch „angemessen personell und finanziell ausgestattet werden“. Der hessische Datenschützer Michael Ronellenfitsch hält die Umsetzung der DSGVO zumindest „im Ansatz“ für gelungen. „Man soll ihr die Chance zur Bewährung geben“, sagte er dem Handelsblatt.

Gleichwohl müsse das Datenschutzrecht mit der technischen Entwicklung Schritt halten. Die DSGVO sei daher „eine Momentaufnahme in einer permanenten Reform“. Noch eine ganz andere Bewährungsprobe für die Verordnung sieht der Hamburger Datenschützer Caspar.

„Mit Blick auf global agierende Internetkonzerne muss es den Aufsichtsbehörden gelingen, den Datenschutz gemäß DSGVO durchzusetzen und dazu – wo nötig – schnelle und wirksame Verfahren einzuleiten und durchzuführen“, sagte er. Hier werde sich zeigen, ob der Europäische Datenschutzausschuss und die darin vertretenen nationalen Behörden es schaffen, einen einheitlichen und effektiven Schutz des Rechts und der Freiheiten Betroffener in diesem Bereich herzustellen.

„Dies ist eine ganz zentrale Frage, die über Erfolg oder Misserfolg der neuen Regelungen letztlich entscheidet“, so Caspar. Experten rechnen zudem damit, dass Firmen künftig auch vermehrt mit Schadenersatzklagen konfrontiert werden. „Das übersehen Unternehmen noch häufig“, betont Tim Wybitul, Datenschutzexperte bei der Kanzlei Latham & Watkins.

„Dabei ist es für das deutsche Recht neu, dass Kläger auch immateriellen Schaden wegen Datenschutzverstößen geltend machen können.“ Das gelte etwa, wenn zwar kein Vermögensschaden entstanden sei, personenbezogene Daten aber ohne rechtliche Grundlage verarbeitet oder einem Dritten zugänglich gemacht worden seien. Die Höhe des Schmerzensgeldes sei dabei unbegrenzt.

Da meist viele Datensätze verarbeitet würden, müssten die Unternehmen mit „Streuschäden“ rechnen. „Bei großen Datenskandalen könnten Verbraucherverbände Verbandsklagen oder Musterfeststellungsklagen anstreben“, meint Wybitul.

Letztlich könnten findige Verbraucheranwälte auch zu professionellen Dienstleistern werden, die sich Ansprüche aus Datenschutzverstößen abtreten lassen und dafür eine Sofortentschädigung zahlen – vergleichbar mit den bereits etablierten Internet-Portalen für Fluggastrechte.