DSGVO: Wer am Ende die Millionenbussen bezahlt

Die Datenschutz-Grundverordnung der Europäischen Union ist vor gut einem Jahr in Kraft getreten und zeigt auch Wirkung. Gestiegen ist aber nicht nur der Schutzfaktor für Daten sondern auch der Aufwand für die beteiligten Firmen. Bereits wurden Bussen in Millionenhöhe ausgesprochen.

Marriott soll wegen eines Verstosses gegen die DSGVO 110 Millionen Busse
bezahlen.                                                                          Wikimedia Commons

Die neuste Busse im Zusammenhang mit der Datenschutzverordnung trifft den Hotelkonzern Marriott International, der für den mangelhaften Umgang mit Kundendaten in einem Tochterunternehmen 110 Millionen Euro Busse bezahlen soll:

“Nach einer umfassenden Untersuchung hat die britische Datenschutzbehörde Information Commissioner’s Office (ICO) mitgeteilt, dass sie beabsichtigt, den Hotelkonzern Marriott International wegen Verstößen gegen die Allgemeine Datenschutzverordnung (DSGVO) mit einer Geldbuße von 99.200.396 Pfund (110 Millionen Euro) zu belegen. Die Geldbuße bezieht sich auf einen Cyber-Vorfall, der dem ICO von Marriott im November 2018 gemeldet wurde. Eine Vielzahl von personenbezogenen Daten, die in rund 339 Millionen Gästeprofilen weltweit enthalten sind, wurden durch den Vorfall preisgegeben…“ (ZDNet.de)

Eine weitere Busse in Millionenhöhe war in England schon letzte Woche angekündigt worden. British Airways soll wegen eines Verstosses gegen die DSGVO 183 Millionen Pfund (204 Millionen Euro) bezahlen. Die Geldbusse bezieht sich auf einen Sicherheitsvorfall, der dem ICO von British Airways im September 2018 gemeldet wurde. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380‘000 Kunden kompromittiert wurden. Betroffen waren Kunden, die zwischen dem 21. August und dem 5. September eine Online-Buchung vorgenommen hatten.
Die Bussen scheinen einen Trend festzulegen. Nach einem Jahr DSGVO waren schon im Frühling dieses Jahres über 200'000 Verstösse gemeldet und Bussen in Höhe von knapp 56 Millionen Euro verteilt worden. Der teuerste Strafzettel in Höhe von knackigen 50 Millionen ging damals an Google. Insgesamt wurden in den ersten neun Monaten ihrer Gültigkeit 206'326 Verstösse gegen die DSGVO gemeldet. Bei 65'000 davon handelt es sich um Selbstanzeigen von Datenschutzbeauftragten der Firmen, die Datenlecks meldeten. Bei 95'000 handelt es sich um eigentliche Verstösse gegen die neue Verordnung, wie einem Bericht der EU zu entnehmen ist.

Verbraucher sollten bei derartigen Meldungen gemischte Gefühle haben: Einerseits zeigen die riesigen Bussen, dass die DSGVO tatsächlich ernst genommen werden muss und damit dem Datenschutz in der Wirtschaft einen neuen Stellenwert gibt. Auf der anderen Seite ist klar, wer am Ende die vielen Bussen bezahlt, die mit Sicherheit in den bodenlosen Kassen des behördlichen Verwaltungsapparates versickern werden: Es sind die Verbraucher. Bussen sind Kosten, und Kosten werden auf die Preise umgelegt. Deshalb sind solch hohe Bussbeträge durchaus nicht nur für die betroffenen Firmen eine Strafe, sondern eine zusätzliche Steuer für die Kunden der gestraften Unternehmen, die am Ende höhere Preise bezahlen müssen.

In der Wirtschaft gibt es durchaus auch nach einem Jahr DSGVO noch kritische Stimmen. Zwar lobt der Bundesverband der deutschen Industrie BDI gemäss Medienberichten die DSGVO als wichtigen Grundstein für einen gemeinsamen Markt in der EU, betont aber auch, dass die Verordnung teuer für die Unternehmen sei. Auch der BDI fordert mehr Rechtssicherheit ein. Der Bundesverband Digitale Wirtschaft (BVDW) ermittelte in einer Befragung unter seinen Mitgliedern sogar spürbare negative Auswirkungen. So rechneten 39 Prozent der Digitalexperten in den 237 Mitgliedsunternehmen mit Umsatzeinbußen. 32 Prozent haben demnach ihre digitalen Aktivitäten eingeschränkt - was wohl nicht das Ziel der Datenschutzgesetze war.