Die Datenschutzgrundverordnung (DSGVO) ist seit dem 25.05.2018 anwendbar und sieht im Vergleich zur alten Rechtslage eine deutliche Erhöhung der damals vorgesehenen Bußgelder vor. Während das alte Bundesdatenschutzgesetz bei Datenschutzverstößen eine Geldbuße bis zu 300.000 € vorsah (§ 43 Abs. 3 BDSG a.F.), sind nun Bußgelder bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes möglich, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Während sich die Datenschutzaufsichtsbehörden in der Anfangszeit der DSGVO mit Bußgeldern noch zurückgehalten hatten und vor allem Anweisungen und Empfehlungen gegeben haben, ziehen die Bußgelder nun an. Bereits in der zweiten Jahreshälfte 2019 gab es die ersten größeren Bußgelder. So wurde zum Beispiel die Wohnungsgesellschaft Deutsche Wohnen SE mit einem Bußgeld von 14,5 Millionen € belegt, weil sie ein Archivsystem verwendet hat, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. In der Datenbank seien „teilweise Jahre alte private Angaben betroffener Mieter“ gespeichert gewesen wie etwa Gehaltsbescheinigungen oder Kontoauszüge. Das Unternehmen hatte trotz Hinweise nicht reagiert, sodass nun ein Bußgeld verhängt worden war.
Ebenso wurde 1&1 mit einem Bußgeld in Höhe von 9,5 Millionen € sanktioniert, weil die technisch-organisatorischen Maßnahmen nicht hinreichend implementiert worden seien, um Kundendaten vor der Kenntniserlangung unberechtigter Personen zu schützen. Es handelte sich um einen Fall, bei dem die Handynummer eines ehemaligen Lebenspartners abgefragt werden konnte, weil an der Hotline keine entsprechenden Identifizierungsmaßnahmen außer Angabe des Namens und des Geburtsdatums getroffen worden seien, was für den vorherigen Lebenspartner natürlich ein Leichtes gewesen war, um an die neue Handynummer seines Expartners zu kommen.
Beide Bußgelder beruhen auf Entscheidungen der Datenschutzaufsichtsbehörden, stellen also noch keine Gerichtsurteile dar. Die beiden Unternehmen haben aber Einspruch gegen die Bescheide eingelegt, sodass bald gerichtlich geklärt werden wird, ob die Bußgelder bestehen bleiben. Interessant ist vor allem die Frage, ob die Höhe der Bußgelder von den Gerichten bestätigt werden. Die DSGVO sieht zwar einzelne Bemessungskriterien für die Höhe der Geldbuße vor (Art. 83 Abs. 2 DSGVO), eine feste Rechtsprechung hierzu gibt es aber noch nicht. Die Datenschutzaufsichtsbehörden hatten im Oktober 2019 ein Bußgeldkonzept (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf) vorgestellt, an dem sie sich orientieren möchten. Aber auch dies ist gerichtlich noch nicht gebilligt und auch nicht besonders detailliert dargestellt.
Diese Beispiele zeigen, dass die Behörden vermehrt Datenschutzverstöße sanktionieren. Das Jahr 2020 wird hier erstmals mehr Klarheit bringen.