09.02.2022

So streng war die DSGVO bisher

Seit 2018 werden Strafen bei Verstößen gegen die DSGVO ausgesprochen. Ein Überblick, wer in Österreich ins Visier geraten ist, wie hoch die Strafen sind – und wo nun adaptiert werden muss.

Seit 2018 straft die österreichische Datenschutzbehörde bei Vergehen gegen die DSGVO. Bisher wurden mit Stand Ende 2021 insgesamt 102 Geldstrafen in der Gesamthöhe von 42,85 Millionen Euro ausgesprochen. Zudem gab es insgesamt 28 Verwarnungen. International sorgten in Europa vergangenes Jahr Rekordstrafen gegen Amazon oder WhatsApp für Aufsehen. Eine nicht vollständige Übersicht der in Europa ausgesprochenen Strafen zeigt übrigens etwa die Website enforcementtracker.com – die Zahlen und Unternehmen werden von der österreichischen Datenschutzbehörde jedoch nicht bestätigt.

In den vergangenen Wochen und Monaten sind dabei auch zwei große Konzerne in Österreich ins mediale Rampenlicht geraten: Das Kundenbindungsprogramm von Rewe, der jö Bonus Club, wurde mit einer Strafe in Höhe von acht Millionen Euro belegt. Zuvor wurde die Post mit einem Bußgeld von 9,5 Millionen Euro versehen. Beide Entscheidungen sind jedoch noch nicht rechtskräftig – und nach Ansicht der Genannten sollen sie es auch nicht werden, denn beide Unternehmen gehen gegen die Entscheidung vor.

Unternehmen sehen sich im Recht

„Wir gehen davon aus, dass dieser Bescheid nicht halten wird. Die Basis der Strafe ist die Behauptung der Datenschutzbehörde, dass es nicht zumutbar ist, ein Kontaktformular auszufüllen“, sagt Stefan Prochaska, PHH Rechtsanwälte, der die Post AG in diesem Verfahren vertritt. „Das ist aus unserer Sicht nicht so, es ist sogar technisch geboten, weil anders könnte man dies auch gar nicht organisieren. Für die weniger digitalaffine Bevölkerung gibt es weiterhin die Möglichkeit eines Fax oder den Briefverkehr.“

Die Betreiber des Jö Bonus Club kritisieren zudem, dass die Datenschutzbehörde auf Anfragen nicht reagiert habe. „Dem Beratungsansuchen seitens des jö Bonus Clubs im Vorfeld des Launchs (Anm.: der App) kam die Datenschutzbehörde nicht nach – obwohl im Gesetz Beratung als Aufgabe der Datenschutzbehörde genannt wird“, heißt es auf Nachfrage.

Moritz Sollinger von der Datenschutzbehörde meint jedenfalls: „Ist der Verstoß als schwerwiegend zu betrachten, wird in aller Regel gleich eine angemessene Geldstrafe verhängt. Bei geringem Verschulden beziehungsweise bei geringfügigen Verstößen wird von einer Verwarnung Gebrauch gemacht.“

Kleinster gemeinsamer Nenner

Die DSGVO ist nach jahrelangen und mühsamen Verhandlungen von der EU beschlossen worden, von Anfang an war klar, dass die DSGVO der kleinste gemeinsame Nenner aller Mitgliedsstaaten ist. „Positiv war aber sicherlich, dass ein einheitlicher Rechtsrahmen betreffend Datenschutz für alle Mitgliedsstaaten geschaffen worden ist“, erklärt Medienrechtsexperte Gerald Ganzger im Gespräch. Das Inkrafttreten der DSGVO im Mai 2018 war demnach von sehr vielen Informationskampagnen, auch von Institutionen wie den Kammern, begleitet. „Viele, vor allem kleinere Unternehmen, haben sich zum ersten Mal wirklich mit dem Thema Datenschutz beschäftigt beziehungsweise befassen müssen. Am Anfang gab es natürlich auch große Verunsicherung und mediale Aufregung über die zusätzliche Belastung, vor allem kleinerer Betriebe mit diesen neuen Regularien.“ Mittlerweile seien aber viele ­Vorschriften ganz einfach zur normalen betrieblichen Routine geworden, das betrifft insbesondere die Datenschutz­erklärungen und Auftragsverarbeitervereinbarungen. Die österreichische Daten­schutzbehörde (DSB) ist aus Sicht von Ganzger „sehr aktiv geworden“, was zuletzt auch die – noch nicht rechtskräftige – Entscheidung in Sachen Google ­Analytics zeigt.

Handlungsbedarf bei Homeoffice

„Die Coronapandemie hat sicherlich gezeigt, dass viele Betriebe noch Nachholbedarf bei Regelungen hinsichtlich Datenschutz und Datensicherheit im Homeoffice, Nutzung von WhatsApp und ähnlichen Tools haben“, ergänzt Ganzger. Auch die Diskussion über das Impfpflichtgesetz zeige einen gewissen Anpassungsbedarf beim Datenschutz im Gesundheitsbereich – soweit das innerhalb der DSGVO überhaupt möglich ist. „Das betrifft vor allem die Datenabgleichung, die ja zentraler Bestandteil der Vollziehung des Impfpflichtgesetzes ist.“

Den Unternehmen kann daher – so Ganzger – nur empfohlen werden, vor allem auch vor dem Hintergrund der Coronapandemie, sich eingehender mit den damit zusammenhängenden Fragen der Datensicherheit, vor allem Homeoffice und Nutzung von WhatsApp et cetera zu beschäftigen und den Mitarbeitern klare Richtlinien zu geben und mit diesen zu vereinbaren. „Durch die Coronapandemie ist der Datensicherheitsaspekt in den Vordergrund gerückt, damit müssen wir uns wohl alle in Zukunft stärker, auch in technischer Sicht, befassen.“

Dieser Artikel erschien zuerst auf horizont.at

(Von Michael Fiala)

Branchen-News, die Sie wirklich brauchen!

Mediadaten