Österreichische Datenschutzbehörde verhängt zweistellige Millionenstrafe

Katapultiert sich auf Platz 4 der europaweit höchsten Geldbußen nach der DSGVO

Lange fragten sich Unternehmen in Österreich, wieso man sich eigentlich den Aufwand zur Implementierung der Datenschutzgrundverordnung (DSGVO) antun sollte. Die Österreichische Datenschutzbehörde (DSB) sowie der österreichische Gesetzgeber hatten offen den Grundsätzen „Gnade vor Recht“ bzw. „Information statt Strafe“ den Vorrang gegeben. Dies führte bei vielen Unternehmen dazu, sich in falscher Sicherheit zu wiegen und der Einhaltung der neuen Datenschutzregeln lediglich geringe oder sogar gar keine Aufmerksamkeit zu schenken. Es herrschte der Gedanke vor, dass hohe Geldbußen, wenn überhaupt, nur die Global Player aus Übersee treffen würde. Selbst als Europäische Datenschutzbehörden in Großbritannien und Frankreich erste Geldbußen in drei- bzw. zweistelliger Millionenhöhe verhängten, blieben viele gelassen und wiegten sich in Sicherheit.

Vor kurzem hat sich für Österreich jedoch alles geändert. Die DSB hat die Österreichische Post erstinstanzlich und nicht rechtskräftig wegen unzulässiger Datenverarbeitungen zur Zahlung einer Geldbuße in Höhe von EUR 18 Mio verpflichtet. Zusätzlich verlangte die Datenschutzbehörde EUR 1,8 Mio an Verfahrenskosten. Die Strafe wäre wohl noch höher ausgefallen, die Post konnte jedoch einige der behaupteten Datenschutzverstöße zu Recht entkräften. Aufgrund der teilweise nicht objektivierbaren Kriterien, nach denen sich Geldbuße nach der DSGVO bemessen, ist es wahrscheinlich, dass diese Strafe gegen die Post im Instanzenzug reduziert wird.

Ein Blick nach Deutschland zeigt ebenfalls, dass die Schonzeit der Aufsichtsbehörden abgelaufen ist. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte gegen die Deutsche Wohnen SE eine Geldbuße in Höhe von EUR 14,5 Mio, da das Unternehmen im Rahmen seines Archivsystems für Dokumente keine Regelung vorsah, Daten, die nicht mehr benötigt werden, zu löschen (= Löschkonzept). Auch in Bezug auf das vor kurzem medial heiß diskutierte Thema rund um Cookies und Cookie Banner im Rahmen der Website gab es erste Abmahnwellen und sogar eine Geldbuße in Spanien. Die spanische Datenschutzbehörde hat eine Fluglinie mit einer Geldbuße in Höhe von EUR 30.000,- sanktioniert, da die Fluglinie im Rahmen ihres Cookie-Banners auf ihrer Website nur die Möglichkeit vorsah die Cookies zu akzeptieren, nicht jedoch einen Ein- und Ausschalter für Cookies.

Für Unternehmen gilt nun einmal mehr, sich verstärkt dem Thema Datenschutz und DSGVO zu widmen. Die professionelle und vollständige Implementierung der DSGVO ist, je nach Unternehmensgröße und Komplexität der Datenverarbeitung, eine Herkulesaufgabe. Dabei lediglich auf Standardvorlagen zurückzugreifen, zu versuchen, die DSGVO-Implementierung als „notwendiges Übel“ bloß intern und neben dem Tagesgeschäft „mit zu erledigen“, oder nur das „Mindeste“ zu tun, ist von Beginn an zum Scheitern verurteilt. Dies gilt ab nun umso mehr, als die finanziellen Konsequenzen nicht gehöriger Implementierung bzw. nicht gehöriger Datenverarbeitungen auch in Österreich zu empfindlichsten Geldbußen führen können.

War der Artikel hilfreich?