Bußgelder nach der DSGVO

Ein Überblick

Von Dr. Henning Schaloske, Partner Clyde & Co, und Amrei Zürn, LL.M., Senior Associate Clyde & Co

Beitrag als PDF (Download)

Während deutsche Behörden DSGVO-Verstöße noch relativ zurückhaltend ahnden, hat das britische ICO (Information Commissioner’s Office) im Juli 2019 das bisher höchste Bußgeld angekündigt. Nach dem Willen der Behörde soll die Fluggesellschaft British Airways als Folge von Datenschutzverstößen, die im September 2018 auftraten, ein Bußgeld in Höhe von rund 1,5% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zahlen – einen Betrag von 183,39 Millionen Pfund Sterling. British Airways kann nun beim ICO eine Stellungnahme zu den Vorwürfen und der angekündigten Sanktion einreichen.
Bei dem Vorfall haben Hacker Daten von rund 500.000 Kunden aufgrund einer Sicherheitslücke im Onlinebuchungssystem abgefangen. Neben Log-in-Daten wurden so vor allem Kreditkartendaten und Daten anderer Bezahlmethoden, Buchungsdetails, Namen und Adressen abgegriffen. British Airways hatte seit Bekanntwerden des Lecks mit dem ICO kooperiert und seine Sicherheitsstandards verschärft.
Der Fall steht im deutlichen Kontrast zur bisherigen Sanktionierung von DSGVO-Verstößen in Deutschland. Zwar gibt es keine offizielle Statistik, welche Verstöße und Bußgeldhöhen auflistet. Nach Medienberichten aus dem Mai 2019 wurden in Deutschland bisher an die 100 Bußgelder mit einem Gesamtvolumen von annähernd einer halben Millionen Euro verhängt. Im Vergleich zu dem angedrohten Bußgeld für British Airways liegen die Bußgelder in Deutschland also bislang deutlich niedriger – so lag der Durchschnittswert der in Nordrhein-Westfalen verhängten Bußgelder bei nur 433 Euro, während in Baden-Württemberg das höchste Bußgeld einen Wert von 80.000 Euro hatte und andere Länder teils noch keine Bußen verhängt haben.
Europaweit wurden bis April 2019 mehr als 200.000 Bußgelder verhängt, die bis dahin ein Gesamtvolumen von rund 56 Millionen Euro umfassten – davon entfielen allein 50 Millionen Euro auf das durch die französische Aufsichtsbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) verhängte Bußgeld gegen Google. In Italien wurde im Juni ein Bußgeld in Höhe von 2 Millionen Euro verhängt, in Holland wurde ein Krankenhaus im Juli mit einer Sanktion von 460.000 Euro belegt, und ein Krankenhaus in Portugal muss wegen ähnlicher unzureichender technischer und organisatorischer Maßnahmen 400.000 Euro Buße zahlen. Andere Länder dagegen haben noch nicht von den Sanktionsmöglichkeiten bei Datenschutzverstößen Gebrauch gemacht und verwarnen nur.
Es ist jedoch zu erwarten, dass sich dies zeitnah ändert. Auch die Sanktionierungspraxis in Deutschland hat bereits in der ersten Jahreshälfte 2019 zugenommen. Dabei bergen Bußgelder ein spezielles Risiko. Zwar bieten Cyberversicherungen – soweit gesetzlich zulässig – regelmäßig Deckung für ein DSGVO-Bußgeld an, gleichwohl ist es stark umstritten, ob Bußgelder überhaupt versicherbar sind. Bisher fehlt dazu Rechtsprechung in Deutschland. Die wohl herrschende Meinung in Deutschland geht aber davon aus, dass eine derartige Versicherung gegen § 138 BGB verstößt, da sie den Sanktionszweck einer Geldbuße untergraben würde. Weder käme es zu dem gewünschten Abschreckungs- noch zu einem Bestrafungseffekt. Wir halten es allerdings für fraglich, ob dies so pauschal in der Tat auf alle fraglichen Szenarien zutrifft, und sehen gute Gründe für differenzierte Betrachtungen. Angesichts des hohen Schadens­potentials wäre es sicherlich wünschenswert, wenn diese Frage weiterer Klärung zugeführt würde.

henning.schaloske@clydeco.com

amrei.zuern@clydeco.com