Im Hinblick auf die Einführung der DSGVO im Mai 2018 und der von der Datenschutzbehörde angekündigten Absicht, mehr zu beraten als zu strafen, wird nach 1 1/2 Jahren Schonzeit nun langsam abgegangen.
Ein Blick über die Grenzen hinweg zeigt ein durchwegs bewegtes Bild. Abgesehen von Verfahren und Strafen für Internet-Giganten wie Facebook und Google, wo es bereits Strafen in Milliardenhöhe gegeben hat, ist für kleinere Unternehmen durchaus eine Änderung in der Strafpraxis auszumachen.
In Großbritannien wurden bereits mehrfach empfindliche Strafen verhängt, beispielsweise wurde eine Strafe gegen British Airways in der Höhe von rund EUR 204 Mio. angekündigt, da im Rahmen eines Hackerangriffs im Jahr 2018 persönliche Daten und Kreditkarteninformationen von ca. 500.000 Kunden abgegriffen wurden. Die Hotelkette Marriott wurde mit rund EUR 110 Mio. dafür bestraft, dass die bei Übernahme der Hotelkette Starwood deren Sicherheitsmaßnahmen nicht ausreichend geprüft und geschärft hatte, und in Folge dort die Daten von vermutlich EUR 340 Mio. Kunden gestohlen werden konnten.
In Portugal wurde ein Krankenhaus bereits 2018 für zu großzügig vergebenen Zugriffsberechtigungen auf Patientendaten mit EUR 400.000,00 bestraft, in den Niederlanden gibt es einen ähnlichen Fall mit EUR 460.000,-. Weitere Strafen wurden wegen unzureichender Datenschutz-Information der Kunden (Polen, EUR 220.000,-) oder für eine mangelhaft freiwillige Einwilligung der Mitarbeiter (Griechenland, PwC, EUR 150.000,-).
In jüngster Vergangenheit werden auch Strafen für unzulängliche technische Maßnahmen verhängt, wie nicht ausreichende Authentifizierungsroutiene bei 1&1 Telekom (EUR 9,5 Mio.) oder „verlorene“ Kundendaten nach einem Hackerangriff auf einen Onlinehändler (EUR 645.000,-).
In Österreich wurde im Sommer 2019 wegen Verstoß gegen Informationspflichten und Nichtbestellung eines Datenschutzbeauftragten eine Strafe in Höhe von EUR 50.000,- verhängt, sowie Auflagen zur Abstellung der Misstände.
Im Bereich der Videoüberwachung wurden einige Strafen verhängt, beispielsweise musste ein Fußballtrainer aus der Regionalliga im Mostviertel, welcher jahrelang mit einerm in der Damenumkleide platzierten Handy die Spielerinnen filmte, EUR 11.000,- Strafe bezahlen. Ein Autofahrer wurde als Privatperson zu einer Strafe von EUR 300,- für zwei im KFZ installierte Dashcams verurteilt. Die Anzeige erfolgte im Zuge einer straßenpolizeilichen Fahrzeugkontrolle.
Wie Karl Kraus schon sagte:
Wenn die Welt untergeht, dann gehe ich nach Wien. Dort passiert alles zehn Jahre später.
In Deutschland wurde vor kurzem eine einheitliche Regelung für die Festlegung von Bußgeldern von der Datenschutzkonferenz verabschiedet, welche auch Faktoren wie die Schwere der Auswirkung für den Betroffenen, die Fahrlässigkeit des Verantwortlichen und eventuelle Wiederholungen mit einberechnet. Von einem findigen Datenschützer wurde die Berechnungsformel praktisch angewandt in einem Bußgeldsimulator eingearbeitet: