Aktuelles

50 Millionen Euro Geldstrafe gegen Google wegen Verstößen gegen die DSGVO. Die Französische Datenschutzbehörde reizt den Strafrahmen aus. Ein Anlass einen Blick auf das Strafregime der DSGVO zu werfen.

Dass die Datenschutzgrundverordnung (DSGVO) eine empfindliche Erhöhung des Strafrahmens mit sich gebracht hat, dürfte inzwischen allgemein bekannt sein. Entsprechend groß war auch die allgemeine Panik rund um das Datum des In-Geltung-Tretens am 25. Mai 2018. Dass diese vor allem durch sensationsheischende Pressemeldungen und leider auch durch massive Falschinformation selbsternannter „Berater“ noch zusätzlich geschürt wurde, steht auf einem anderen Blatt.

Tatsächlich haben sich die in Österreich bislang von der Datenschutzbehörde verhängten Geldstrafen eher im unteren Rahmen gehalten. In ihrem letzten Newsletter hat die Datenschutzbehörde berichtet, dass bis zum Jahresende seit dem 25. Mai 2018 59 neue Verwaltungsstrafverfahren eingeleitet worden seien. Dabei handle es sich zum Großteil um fragwürdige Videoüberwachungen. Ansonsten bezögen sich die Verfahren auf mangelnde Gewährleistung der Datensicherheit, mangelnde Erfüllung der Informationspflichten sowie verspätete Meldungen. Die höchste bis dato verhängte Geldstrafe beläuft sich (nicht rechtskräftig) auf 4.800 Euro.

Das zeigt, dass die Österreichische Datenschutzbehörde hier durchaus mit Augenmaß vorgeht. Schließich wären deutlich höhere Geldbußen, nämlich in einer Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweiten Jahresumsatzes möglich. In ihrem letzten Newsletter versichert die Datenschutzbehörde, dass sich kein Verantwortlicher Sorgen machen müsse, dass durch eine gegen ihn verhängte Geldbuße seine wirtschaftliche Existenz gefährdet werde.

Das ist sehr zu begrüßen und steht letztlich auch in Einklang mit den in Österreich seit Jahrzehnten geltenden Parametern der Strafzumessung im Verwaltungsverfahren. Es zeigt auch, dass die vielerorts entstandene Panik zu Unrecht aufgekommen ist. Gleichzeitig soll dies aber auch nicht in falsche Sicherheit wiegen. Durch die DSGVO hat sich das europäische Datenschutzregime deutlich verschärft und auch die möglichen Geldbußen bleiben für jede Maßnahme, die personenbezogene Daten involviert, eine ernstzunehmende Gefahr.

Auf internationaler Ebene zeigt der neue Strafrahmen inzwischen aber deutlich seine Zähne. Nachdem die italienische Datenschutzbehörde über Google bereits eine Geldbuße in Höhe von 6 Millionen Euro verhängt hat, hat die französische Datenschutzbehörde dies nun um ein Vielfaches übertroffen. Weil Google seine Nutzer mit Stichtag 25. Mai 2018 mehr oder weniger dazu gezwungen hat, den neuen Datenschutzbestimmungen zuzustimmen, war keine rechtsgültige Einwilligung vorhanden und die darauf basierende Datenverarbeitung unzulässig. Vor wenigen Tagen wurde nun bekannt, dass deswegen eine Geldbuße in Höhe von sage und schreibe 50 Millionen Euro verhängt wurde. Die Entscheidung ist nicht rechtskräftig. Es bleibt abzuwarten, ob Google dagegen ein Rechtsmittel ergreift. Nichtsdestotrotz ist das eine interessante Entwicklung und zeigt auch, dass sich die DSGVO auf multinationaler Ebene jedenfalls nicht als zahnloser Papiertiger entpuppt.