Ein Jahr DSGVO: Behörden halten sich europaweit mit Geldstrafen noch zurück – Österreich verzeichnet stärksten Anstieg bei Beschwerden In Österreich gab es 2018 nur vier Verwarnungen und drei Geldstrafen Anzahl der Datenschutzbeschwerden stieg in Österreich am stärksten – Anstieg um 564 Prozent auf 1.036 EU-weite Analyse: Mehrheit der Länder hat noch gar keine finanziellen Sanktionen verhängt Aber: Härtere Gangart der Behörden kündigt sich an Wien, 24. Mai 2019. Am 25. Mai 2019 wird die Datenschutzgrundverordnung der Europäischen Union (DSGVO) ein Jahr alt – Zeit, eine erste Bilanz zu ziehen. Hat sich die DSGVO tatsächlich als „scharfes Schwert“ erwiesen? Gab es die erwarteten hohen Geldstrafen? EY Law hat untersucht, wie intensiv in verschiedenen europäischen Ländern von den Vollzugsmöglichkeiten Gebrauch gemacht wurde und dazu europaweit Daten von Aufsichtsbehörden angefragt sowie Tätigkeitsberichte der Aufsichtsbehörden und andere öffentlich zugängliche Quellen ausgewertet. Belastbare Daten liegen aus 16 Mitgliedsstaaten vor (u. a. aus Österreich, Frankreich, Deutschland, Italien und Großbritannien).   Das wichtigste Ergebnis der Analyse: Die europäischen Datenschutzbehörden waren bei der Anwendung der neuen Strafbestimmungen im Jahr 2018 insgesamt noch überaus zurückhaltend. In Österreich wurden nur vier Verwarnungen und drei Geldstrafen aufgrund von datenschutzrechtlichen Verstößen ausgesprochen. In Deutschland kam es zu 54 Verwarnungen, während in 42 Fällen Bußgelder verhängt wurden, die sich im Durchschnitt auf gut 16.100 Euro beliefen. Damit waren die deutschen Behörden im europäischen Vergleich am aktivsten. In Lettland wurden in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt. Die Anzahl der Verwarnungen war hingegen in den Niederlanden besonders hoch: Dort wurden 1.018 Verwarnungen gezählt, allerdings nur ein einziger Bußgeldbescheid in Höhe von 600.000 Euro gegen einen Mobilitätsdienstleister wegen eines Verstoßes gegen Sicherheit der Datenverarbeitung. Dieses Bußgeld war zugleich die höchste in der EU im Jahr 2018 verhängte Strafgebühr.    Immerhin in neun der 16 Länder, aus denen Daten vorliegen, wurde in keinem einzigen Fall ein Bußgeld verhängt. In sechs Ländern gab es nicht einmal eine Verwarnung wegen DSGVO-Verstößen. Inzwischen scheinen die Aufsichtsbehörden aber schärfer gegen Verstöße vorzugehen: Im Januar 2019 verhängte die französischen Aufsichtsbehörde CNIL gegen einen amerikanischen Suchmaschinenbetreiber ein Bußgeld in Höhe von 50 Millionen Euro wegen Verstößen gegen die Rechtmäßigkeit der Verarbeitung sowie der Transparenz- und Informationspflichten.   Thomas Breuss, Rechtsanwalt und Director bei EY Law Österreich (Pelzmann Gall Größ Rechtsanwälte GmbH): „Die Schonfrist wird bald vorbei sein. Wir erwarten, dass die europäischen Aufsichtsbehörden ihre Ankündigungen für das Jahr 2019 umsetzen und verstärkt zu höheren Geldstrafen greifen werden.“    DSGVO führt zu mehr Arbeit bei Behörden – in Österreich war der Anstieg der Beschwerden am stärksten Zwar war die Zahl der Geldstrafen und sonstiger Sanktionen im Jahr 2018 noch überschaubar – dennoch brachte das Jahr 2018 bereits einen enormen Anstieg von Datenschutzanfragen und -meldungen an die zuständigen Behörden. Denn neben der Durchsetzung des neuen Datenschutzrechts haben die Datenschutzbehörden auch die Aufgabe zu beraten und zu sensibilisieren.    „Österreich ist mit Abstand der Spitzenreiter beim Zuwachs der Datenschutzbeschwerden. Mit insgesamt 1.036 gab es 2018 um 564 Prozent mehr Beschwerden als im Vorjahr. Der zweitstärkste Zuwachs fällt mit 125 Prozent in Luxemburg deutlich niedriger aus. Da sich der Personalstand der Datenschutzbehörde natürlich nicht versechsfacht hat, verlängert sich die Verfahrensdauer erheblich. Das nehmen wir aktuell in unseren Verfahren vor der Datenschutzbehörde auch so wahr. Lediglich sieben Geldstrafen oder Verwarnungen stehen in einem kritischen Missverhältnis zu den 1.036 Datenschutzbeschwerden“, so Breuss.    Auch die Meldungen von Datenschutzpannen gemäß Artikel 33 DSGVO liegen in den untersuchten europäischen Ländern mit durchschnittlich 2.960 pro Behörde auf einem sehr hohen Niveau. Obwohl die Pflicht zur Meldung von Datenschutzverletzungen keine Neuerung ist, hat die DSGVO zu einer höheren Sensibilität geführt.    Die Behörden waren außerdem einer Flut von Beratungsersuchen und Anfragen von Verantwortlichen sowie betroffenen Personen ausgesetzt: Im Durchschnitt hat jede europäische Behörde 32.485 solcher Anfragen erhalten.    Breuss: „In den letzten Jahren hat Österreich enorm aufgeholt und könnte bald zu den datenschutzrechtlich traditionell starken Ländern wie Deutschland oder Frankreich aufschließen. Ich bin davon überzeugt, dass eine starke Datenschutzkultur ein erheblicher Wettbewerbsvorteil in der digitalen Zukunft sein wird. Es ist kein Zufall, dass viele innovative Länder auch außerhalb der EU, wie z. B. Israel, die Schweiz oder Kanada, ebenfalls ein sehr starkes Datenschutzrecht haben. Wir hoffen, dass eine vorausschauende Politik die Datenschutzbehörde entsprechend stärkt und nicht riskiert, dass die beeindruckenden Fortschritte der vergangenen Jahre wieder verspielt werden“.   Mehr als vier von fünf Behörden erwarten Anstieg der Bußgelder und Sanktionen Laut einer EY-Umfrage unter den zuständigen Aufsichtsbehörden erwarten 82 Prozent einen Anstieg bei der Verhängung von Bußgeldern und sonstigen Sanktionen. Breuss: „Die französische CNIL hat einen neuen Standard gesetzt, andere Behörden dürften folgen – zumal überall in Europa sehr genau verfolgt wird, in welchen Staaten wie viele Geldstrafen in welcher Höhe verhängt werden.“   Im Jahr 2019 wurden in einigen Fällen bereits empfindliche Strafen gegen Unternehmen verhängt: Neben dem 50-Millionen-Euro-Bußgeld gegen den amerikanischen Suchmaschinenanbieter wurde etwa in Polen ein Informationsdienstleister mit einem Bußgeld von 220.000 Euro belegt. Dieser Dienstleister hatte personenbezogene Daten aus öffentlich zugänglichen Quellen für kommerzielle Zwecke und zur Anreicherung ihrer unternehmenseigenen Datenbank verwendet und die Personen, deren Daten dafür genutzt worden, nicht entsprechend über die Verwendung informiert.   Die Analyse zeigt, dass Sanktionen aufgrund von DSGVO-Verstößen Unternehmen aus jeder Branche und in jeder Organisationsform treffen können, und dass insbesondere Verstöße gegen (IT-)Sicherheit der Daten und Vertraulichkeit geahndet werden: So wurde in Baden-Württemberg ein Bußgeld von 20.000 Euro gegen eine Chat-Plattform wegen eines Verstoßes wegen ungewollter Offenlegung (Hacking) von Nutzerdaten mit ca. 1,8 Millionen Betroffenen verhängt. In Portugal sanktionierte die dortige Aufsichtsbehörde ein Krankenhaus mit einem Bußgeld von 400.000 Euro, da sämtliche Patientendaten in den digitalen Krankenhausakten für alle Ärzte ohne ein technisches Berechtigungs- und Zugangskonzept abrufbar und zugänglich waren. Auch Vereine und Parteien waren betroffen: In Baden-Württemberg wurde direkt zu Beginn des Jahres 2019 ein Bußgeld von 2.500 Euro gegen den früheren Landesvorsitzenden der Jusos BW wegen zweckwidriger und damit unzulässiger Verwendung personenbezogener Daten verhängt.   Über EY Law EY Law – Pelzmann Gall Größ Rechtsanwälte GmbH ist Teil des ständig wachsenden Netzwerks von EY Law mit mehr als 2.200 Anwälten weltweit, in 80 Jurisdiktionen. Der Beratungsschwerpunkt von EY Law liegt in der Betreuung von nationalen und internationalen Unternehmenstransaktionen (M&A), Umgründungen, Restrukturierungen sowie der laufenden Beratung im Immobilienrecht, Bank- und Kapitalmarktrecht, Arbeitsrecht, öffentlichen Recht und Datenschutzrecht. Weitere Informationen finden Sie unter www.eylaw.at