Kommentar

Beim Datenschutz fehlt das Augenmaß

von - 26.02.2021
Mann mit Daten
Foto: HQuality / shutterstock.com
Der Rekord-Bußgeldbescheid gegen die Wohnungsbaugesellschaft "Deutsche Wohnen" wurde vom Landgericht Berlin wieder kassiert. Das ist nicht der erste Fall dieser Art - und er deutet auf einen zentralen Webfehler der Datenschutz-Grundverordnung hin.
Erinnern wir uns: Als die Datenschutz-Grundverordnung (DSGVO) im Mai 2018 finale Gültigkeit erlangte, sahen Datenschützer eine neue Ära heraufziehen. Der Schutz personenbezogener Daten würde endlich von der lästigen Nebensächlichkeit zu einem zentralen Anliegen für jedes Unternehmen. Um dieses Ziel zu unterstreichen, setzte der Gesetzgeber den Bußgeldrahmen drastisch nach oben. Bis zu vier Prozent des weltweiten Konzernumsatzes konnte die Strafzahlung für Verstöße gegen die DSGVO betragen. Bei einem weltweit agierenden Unternehmen wie Google wären das im Extremfall sechs Milliarden Euro. Das sollte abschreckend wirken - sogar auf Giganten wie Google.

Teure Post vom Datenschützer

Auch in Deutschland mehren sich seitdem die Bußgeldbescheide in spektakulärer Höhe. 2019 hatte der Bundesdatenschutzbeauftragte Ulrich Kelber (SPD) dem Web- und Telco-Konzern 1&1 einen Bescheid über 9,5 Millionen Euro zustellen lassen, die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte der Wohnungsbaugesellschaft Deutsche Wohnen 14,5 Millionen aufgebrummt. Erwähnt sei auch der Bescheid über 1,24 Millionen Euro gegen die AOK Baden-Württemberg.
Indes: Offenbar haben die Datenschutzbehörden die Rechnung ohne die Gerichte gemacht. Im Fall 1&1 senkte das Landgericht Bonn den Bußgeldbetrag um fast 90 Prozent. Das Gericht erachtete eine Strafe von fast zehn Millionen für nicht angemessen für einen DSGVO-Verstoß, den 1&1 unmittelbar nach Bekanntwerden sofort abstellte. Man darf nicht vergessen: 9,5 Millionen Euro sind enorm viel Geld - über 90 Prozent aller Unternehmen in Deutschland wären froh über einen Jahresumsatz in dieser Höhe.
Auch im Fall der Deutschen Wohnen hat das Landgericht Berlin den Bescheid über 14,5 Millionen Euro für unwirksam erklärt. Zwar war das Speichern personenbezogener Daten von Mietern ein eindeutiger Verstoß gegen die DSGVO, aber es fehlt ein Schaden, der dadurch irgendeinem Mieter entstanden ist.

Gerichte weisen Behörden in ihre Schranken

Die Gerichte übernehmen hier die Funktion, die ihnen zugedacht ist: Sie überprüfen die Entscheidungen der Exekutive und scheuen sich nicht, unverhältnismäßige Restriktionen zu verwerfen. Das passiert in Pandemiezeiten überall in Deutschland: Die Landesregierungen schränken die Rechte ihrer Bürger ein - und die Gerichte kippen manche Einschränkungen wieder, wenn sie unverhältnismäßig sind. So wurde ein allgemeines Alkoholverbot unter freiem Himmel in ganz Bayern vom zuständigen Verwaltungsgerichtshof außer Vollzug gesetzt, da es für den geplanten Effekt zu weit gespannt war.
Beim Datenschutz fehlt dieses Augenmaß. So mussten die zuständigen Behörden in Niedersachsen fragwürdige Personendaten bei Adress-Brokern einkaufen, um über 80-Jährige per Brief über den Start der Corona-Impfkampagne zu informieren. Die Folge: Senioren wurden zur Buchung eines Impftermins eingeladen - die zu dem Zeitpunkt bereits zwei Jahre tot waren. Andere Senioren bekamen keine Post. Die Krankenkassen hätten die aktuellen Daten gehabt, aber falsch verstandener Datenschutz verhinderte ihre Nutzung.  Als jemand, dessen Grundrecht auf Bewegungsfreiheit wochenlang von den Behörden eingeschränkt wurde, wundere ich mich darüber, dass Datenschutz offenbar höher priorisiert wird als Information über wichtige Pandemiemaßnahmen.
Andererseits: Wer will es dem Leiter einer Behörde oder einer Körperschaft des öffentlichen Rechts verdenken, im Zweifel auf gut funktionierende Datenquellen lieber zu verzichten, wenn dafür ein Millionen-Bußgeld droht?

US-Giganten sitzen es aus

Den GAFAs dieser Welt tut ein Millionenbußgeld nicht weh. Sogar die Milliarden, die EU-Wettbewerbskommissarin Vestager gegen Google verhängte, haben den Unternehmenserfolg nicht schmälern können. Die Daten-Giganten aus USA haben Rechtsabteilungen, deren Personalstärke vermutlich die Größe der Belegschaft vieler deutsche Mittelständler übersteigt. Und im Zweifel wird lieber jahrelang geklagt als einfach gezahlt. Google kann sich das leisten, der deutsche Mittelstand nicht unbedingt. Auch die AOK Baden-Württemberg teilte auf Anfrage mit, sie habe den Bußgeldbescheid des Datenschutzbeauftragten aus dem Ländle akzeptiert, um die Risiken eines Rechtsstreites zu vermeiden.
Und wenn, wie jetzt geschehen, Gerichte wiederholt feststellen, dass Datenschutz-Bußgeldbescheide nicht verhältnismäßig sind, dann gehört die Praxis der Datenschützer auf den Prüfstand gestellt. Davon ist aber weit und breit nichts zu sehen. Und das ist der Webfehler der DSGVO. 
Verwandte Themen