Datenschutzverstöße mit Rekordwert in 2021

Es gibt kaum einen Bereich, den die Corona-Pandemie nicht in Mitleidenschaft gezogen hat. Auch beim Datenschutz hat das Virus gewütet. So stieg 2021 die Zahl der Verstöße, die mit einem Bußgeld geahndet wurden, um knapp ein Drittel. Warum trifft dies auf Deutschland zu, das ja eher zu den datenschutzrechtlichen Top-Performern gehört?

Datenschutzprüfer mussten fleißig sein

Sage und schreibe 397-mal wurde von Datenschutzbehörden ein Bußgeld ausgestellt, nachdem ein Verstoß gemeldet worden war. Im Vorjahr waren es lediglich 301 Vorfälle. Die meisten bußgeldpflichtigen Verstöße gegen die DSGVO wurden aus Thüringen (67) und Berlin (61) gemeldet. Aus Mecklenburg-Vorpommern liegen dagegen keine Angaben bzw. keine Verstöße vor. Ausgerechnet der Landesdatenschutzbeauftragte dieses Bundeslandes sprach dem Handelsblatt gegenüber aber von einem „erhöhten Aufgabenvolumen“ seiner Behörde, ohne jedoch konkretere Zahlen nennen zu wollen.

Bußgelder in ähnliche Höhe wie im Vorjahr

Spitzenreiter der Bußgeld-Tabelle wurde 2021 der Versorger Vattenfall mit 900.000 Euro für schlampigen Umgang mit Kundendaten. Der Fußballklub VfB Stuttgart hatte Mitgliederdaten an Dritte weitergegeben, wofür 300.000 Euro fällig wurden. Eine Firma aus Niedersachsen musste 200.000 Euro zahlen. Sie hatte ihre Angestellten ohne Rechtsgrundlage per Video überwacht. Obwohl 2021 so viele Datenschutz-Bußgelder wie nie zuvor verhängt wurden, beläuft sich deren Gesamtsumme auf gerade einmal 2,4 Millionen Euro. Ein Jahr zuvor betrug die Summe noch 48 Millionen Euro, darunter jedoch ein Extrembetrag von 35 Millionen Euro, um den H&M damals zur Kasse gebeten worden war. Verglichen mit der Zahlungsaufforderung von 746 Millionen Euro, die Luxemburger Datenschützer seit Sommer 2021 von Amazon fordern, sind die Zahlen aus Deutschland beinahe Peanuts.

Ein Datenschutzbeauftragter wird vom Handelsblatt denn auch mit der Bemerkung zitiert, dass die derzeitige Lage als „konsolidiert“ gelten kann. Bußgelder für Datenschutzverstöße können bei bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Unternehmensumsatzes liegen. Das legt die Vermutung nahe, dass es in Deutschland mit akribischer Überwachung der Datensicherheit nicht so weit bestellt sein kann.

Einflüsse von Corona?

Fraglich ist, ob die Pandemie direkt Einfluss genommen hat, was die Entwicklung von Datenschutzverstößen angeht. Tatsächlich gab es Corona-Testzentren, deren Datenbestände im Internet von Unbefugten einsehbar waren. Ein Unternehmen in Nordrhein-Westfalen hatte die Gesundheitsdaten von Mitarbeitern an einen Betriebsrat weitergeleitet – das war unzulässig und kostete die Firma 300.000 Euro. Auch andernorts wurden Beschäftigtendaten unzulässig verarbeitet. Natürlich wurden einige Fälle von Zweckentfremdung der in Lokalen erhobenen personenbezogenen Kontaktdaten von Gästen gemeldet. Wie etwa Gastwirte in der Hauptstadt, die über die Erfassung von personenbezogenen Daten beim Einlass vor allem daran interessiert waren, in näheren Kontakt zu weiblichen Gästen zu kommen.

Die Behörden haben eingeräumt, dass zahlreiche pandemiebedingte Verordnungen nicht nur Gastwirte in der Umsetzung überfordert haben. Sie deuten an, dass in Zeiten des Lockdowns offenbar nicht aktionistisch, dafür mit Augenmaß gehandelt wurde. Als Beispiele werden Online-Meetings oder Homeschooling-Unterrichtseinheiten angeführt, bei denen die Behörden mit viel Augenmaß vorgegangen seien.

Zunahme gefährlicher Datenpannen

Was Datenschützen besonders negativ ins Auge gefallen ist, sind die Datenpannen gefährlichen Ausmaßes. Sechs Prozent mehr waren es 2021 im Vergleich zum Vorjahr, also insgesamt 27.735 registrierte Pannen. Diese betreffen nicht nur verlorengegangene Briefe oder fehlgeleitete E-Mails – viele Datenpannen entstehen aus mangelhafter IT, die Hacker, Geheimdienste und andere Cyberkriminelle für ihre Zwecke nutzen können. Gerade der Überfall Russlands auf die Ukraine lässt die Befürchtungen steigen, dass es in nächster Zeit zu Datenpannen erheblichen Ausmaßes kommen könnte, da nun auch institutionelle Hacker vermehrt aktiv sind, um auf das Kriegsgeschehen und dessen politischen Konsequenzen indirekt Einfluss zu nehmen.