Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung strafbewehrt: Das heißt auch, dass pro Verstoß Bußgelder in Höhe bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Brutto-Jahresumsatzes erhoben werden dürfen.
DSGVO: Abmahnwelle, Millionenbußgelder und Schlag für den Mittelstand?
Was ist also im letzten Jahr passiert? Die große Abmahnwelle blieb aus, die deutschen Bundesländer urteilten sehr unterschiedlich bei der DSGVO und im EU-Ausland wurden in der Regel härtere Strafen verhangen als in Deutschland. Funktioniert also der Datenschutz?
Die DSGVO hat nicht dazu geführt, dass plötzlich Anwälte und Datenschutzbehörden massenhaft abmahnen. Das war auch weder Ziel noch Streben des Gesetzes. Die DSGVO hat vor allem die Regeln vereinheitlicht und außerdem den Datenschutz in Europa ins 21. Jahrhundert geholt; in einer Zeit von NSA-Affäre, Fake News & Co. wurde das höchste Zeit.
In Deutschland wurden im gesamten vergangenen Jahr 75 Bußgelder wegen der DSGVO verhangen. Dabei sind die Bundesländer sehr unterschiedlich an das Thema herangegangen. Hier eine Übersicht über die verhangenen Bußgelder nach Bundesland:
- Nordrhein-Westfalen 35 Bußgelder,
- Berlin 9 Bußgelder,
- Rheinland-Pfalz 8 Bußgelder,
- Sachsen-Anhalt 6 Bußgelder,
- Baden-Württemberg 5 Bußgelder,
- Saarland 3 Bußgelder,
- Hamburg 2 Bußgelder,
- Mecklenburg-Vorpommern 2 Bußgelder,
- Bayern, Thüringen, Sachsen, Niedersachsen, Schleswig-Holstein, Brandenburg, Bremen, Hessen keine Bußgelder
Drei Unternehmen mussten dabei den bisherigen Höchstsatz von 80.000 € zahlen; zwei der Verfahren wurden in Baden-Württemberg verhangen. Leider ist uns von keinem der Unternehmen die Firma bekannt.
Bekannte Datenschutz-Störer waren die N26-Bank aus Berlin, welche im Mai 2019 zu 50.000 € Strafzahlung verurteilt wurde und die Betreiber hinter der Social-Media-Plattform Knuddels aus Baden-Württemberg wurden bereits im November 2018 zu 20.000 € verurteilt.
EU-Ausland härter in Strafen
Im EU-Ausland ist die Situation krasser: In Portugal wurden 450.000 € erhoben, im Januar 2019 wurde Google in Frankreich zu 50 Mio. € verurteilt und aktuell im Vereinigten Königreich gibt es gegen den Hotelbetreiber Marriot 204 Mio. € Bußgeld und gegen British Airways 110 Mio. €.
Von den Höchstsätzen sind die Unternehmen aber alle noch weit weg; bedenkt man auch die Schwere der Datenschutz-Verstöße. Google & Co. haben teils krasse Verstöße begangen. Und am Beispiel von Google gerechnet: Mutterkonzern Alphabet hatte 2018 einen Umsatz von 136,8 Milliarden Dollar. Eine Strafe von 50 Mio. € entspricht etwa 0,4 % des Jahresumsatzes, also nur ein Zehntel der maximalen Summe von 4 Prozent.
Die DSGVO funktioniert – könnte man sagen. Aber es wird auch deutlich: Die Bußgelder nehmen in Höhe zu. Allerdings auch bei sehr großen Konzernen wie Marriott oder eben British Airways. Es gilt zu beobachten, wo sich die Bußgelder einpendeln. Gegen kleine und mittlere Unternehmen (KMU) wurde bislang nur moderat vorgegangen.
Auch wichtig: Die Landesdatenschutzbehörden mahnen erstmal an, bevor sie abmahnen.
Ursache vieler Bußgelder: Schlechte Software – kann Open Source helfen?
Unser Tipp: auf die richtige Technik setzen. Open Source und Closed Source sind zwei Ansätze für Software und sind gerade in Zeiten verstärkten Datenschutzes wichtiger.
Open Source ist quelloffene Software. Der Quelltext (sozusagen der Schaltplan der Software) ist offen zugänglich und auf öffentlich einsehbaren Plattformen wie bspw. Github.com einsehbar. Er kann dort eingesehen, genutzt und auch geändert werden. Meist wird Open Source durch ehrenamtliche Helfer mit gemeinnütziger Motivation betrieben oder durch Gesellschaften und Organisationen, die Entwicklungskosten einsparen, teilen wollen oder sich ein Marktwachstum durch die Technologie erhoffen. Open Source wird meist unter Lizenzen zur Verfügung gestellt, die klären, was und was nicht an der Software verwendet werden darf. Verbreitete Lizenzmodelle sind GNU, Creative Commons oder die Mozilla Public License.
Es gibt einige bekannte Open-Source-Projekte: Firefox (betrieben durch die Mozilla-Stiftung), Chromium (Google Chrome basiert u.a. hierauf), Android (Googles Smartphone-Betriebssystem Android basiert auf diesem gleichnamigen Projekt), Open Office / Libre Office und am bekanntesten: das Betriebssystem Linux.
Der große Vorteil von Open Source ist die Quelloffenheit: Der Kunde kann jederzeit den Quelltext und damit den Schaltplan von Software prüfen und ggf. selbsttätig ändern (sogar die Software für eigene Projekte nutzen und anpassen). Der große Nachteil ist, dass Open-Source-Software ggf. arbeitsintensiver ist (da häufig nur ehrenamtlich und nicht-kommerziell gepflegt) und ein gewisses Maß an IT-Kenntnissen voraussetzt.
Closed Source ist das Gegenteil von Open Source und bezeichnet Software mit einem nicht frei verfügbaren Quellcode. Sie wird auch als proprietäre Software bezeichnet. Die meisten kommerziellen Organisationen wie Unternehmen und Konzerne nutzen dieses Modell. Bekannt für Closed Source ist beispielsweise der IT-Konzern Apple, welcher ein komplett geschlossenes System hat. Kein Nutzer und nur sehr wenige Mitarbeiter dürfen auf den Quelltext von Apple-Produkten zugreifen oder diesen ändern. Rechtlich gesichert wird Closed Source durch Softwarepatente, Urheberrecht oder Lizenzbedingungen (EULAs).
Der große Vorteil von Closed Source ist, dass sich ein einheitliches Unternehmen um die Software kümmert und diese aktuell hält. Der große Nachteil ist, dass man sich als Kunde eben diesem Unternehmen ausliefert und den Versprechungen glauben schenken muss – es gibt keine Kontrollmöglichkeit für den Kunden.
Besonders im Rahmen des Datenschutzes wird es zunehmend wichtiger, Open Source und Closed Source korrekt zu wählen, um sich als Kunde abzusichern und Datenschutz-Bestimmungen Folge zu leisten.