Aus den bisher verhängten DSGVO-Bußgeldern können Finanzchefs einiges lernen.

Alex - stock.adobe.com

05.02.21
CFO

Was CFOs aus den DSGVO-Strafen lernen können

Mit Notebooksbilliger.de muss ein weiterer deutscher Konzern eine Millionenstrafe wegen eines Datenschutzverstoßes befürchten. Worauf müssen CFOs achten, um Bußgelder zu vermeiden?

Es ist nur eine weitere Strafe in einer länger werdenden Reihe an Bußgeldern aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO): Der Onlinehändler Notebooksbilliger.de (NBB) soll 10,4 Millionen Euro zahlen, wie die Landesbeauftrage für Datenschutz (LfD) Anfang des Jahres verkündete. NBB hat Einspruch eingelegt.

Laut LfD habe der Elektronikhändler über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die LfD zufolge unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Das Unternehmen hatte sich stets darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten wie Diebstähle zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen.

Datenschutz: CFOs müssen genau hinschauen

Es wäre nach dem Internetkonzern 1&1 und Deutsche Wohnen die nächste Millionenstrafe für einen deutschen Konzern im Zuge der DSGVO-Regelungen. Was können CFOs, die in ihren Konzernen häufig für das Risikomanagement und die Compliance zuständig sind, letztlich tun, um die hohen Bußgelder zu umgehen?

Unternehmen sollten das Thema Datenschutz in jedem Fall nicht auf die leichte Schulter nehmen und genau hinschauen, wo im Konzern DSGVO-Vergehen vorliegen könnten, sagt Datenschutzexperte Philip Kempermann von der Kanzlei Heuking Kühn Lüer Wojtek. Zwar könnten die Bußgelder wie im Falle von 1&1 reduziert werden: Von den ursprünglich verhängten 9,6 Millionen Euro musste der Internetkonzern am Ende 900.000 Euro zahlen. „Die Kosten bleiben aber natürlich deutlich höher, als wenn man das Vergehen einfach ganz vermeidet.“

Kempermann mahnt CFOs zu großer Sorgfalt: „DSGVO-Vergehen sind kein Kavaliersdelikt.“ Speziell die Videoüberwachung werde in vielen Unternehmen nicht rechtskonform eingesetzt: „Der Eingangsbereich wird häufig überwacht. Sobald dort eine Empfangsdame oder ein Empfangsherr sitzt, muss genau geprüft werden.“

„DSGVO-Vergehen sind kein Kavaliersdelikt.“ 

Philip Kempermann, Datenschutzexperte

Videoüberwachung werde in Deutschland vom Gesetzgeber sehr kritisch gesehen, „man braucht als Unternehmen immer sehr gute Gründe hierfür“. Aber auch die Aufbewahrungsfristen und nicht erfolgtes Löschen von bestimmten Datensätzen seien ein großes Problem bei vielen Unternehmen, so der Experte.

Notebooksbilliger.de von DSGVO-Strafe überrascht

Im Fall Notebooksbilliger.de gab es eine Besonderheit: Der Konzern wähnte sich in engem Austausch mit der zuständigen Behörde. In einem bereits 2017 begonnenen Kontrollverfahren hatte die niedersächsische Datenschutzbeauftragte NBB veranlasst, den Einsatz von Videokameras teilweise zu ändern.

Das Unternehmen kooperierte laut eigenen Angaben eng, um eine vollständige Compliance mit der DSGVO auch aus Sicht der Behörde sicherzustellen. Umso überraschter war man ob der Höhe der Strafe. NBB hat daher auch Einspruch eingelegt und hofft die Strafe – wie 1&1 – zumindest reduzieren zu können.

Ist das Vorgehen der Behörde typisch? Anwalt Kempermann hat bislang gute Erfahrungen in der Zusammenarbeit mit den öffentlichen Stellen gemacht: „Man sollte in jedem Fall proaktiv auf die Behörde zugehen und nicht auf Beschwerden warten“, rät er.

Kempermanns Erfahrung nach gibt es fast immer einen Kompromiss, der mit der DSGVO konform ist. Statt auf Videoüberwachung zu setzen, könnten Unternehmen ihre Waren etwa auch mit NFC Chips ausgestatten, um unbefugte Entnahmen zu überwachen.

DSGVO: Behörden wollen Unternehmen abschrecken

Obwohl es sich beim Thema Datenschutz fraglos um sensible Informationen handelt, findet Jurist Kempermann die ausgehändigten Strafen zu hoch angesetzt. „Die Bußgelder sollen per Definition verhältnismäßig und abschreckend sein. Speziell der zweite Punkt scheint ein Motivator für die hohen Strafen zu sein“, erklärt er.

Von Willkür kann jedoch keine Rede sein: Die Behörden haben eine öffentlich einsehbare Tabelle, nach denen sie Bußgelder verhängen können. So sind bis zu 20 Millionen Euro oder sogar 4 Prozent des weltweiten Jahresumsatzes möglich, der bei NBB bei fast 900 Millionen Euro liegt. Das rechnerische Maximum von fast 40 Millionen Euro hat die Landesbehörde in diesem Fall entsprechend gar nicht erst ausgenutzt.

jakob.eich[at]finance-magazin.de