Strafen wegen Datenlecks: So sieht die Lage in Österreich aus
Vor einigen Tagen wurden die ersten und höchsten Geldstrafe nach Einführung der EU-Datenschutz-Grundverordnung (DSGVO) in Großbritannien verhängt: British Airways soll 200 Millionen Euro und die Hotelkette Marriott 110 Millionen Euro Geldbuße wegen Verstößen gegen den Datenschutz zahlen, wie die britische Datenschutzbehörde ICO entschieden hat. Die futurezone hat berichtet.
Vollstreckt sind die Strafen allerdings noch nicht – eine Absichtserklärung soll den Unternehmen die Möglichkeit bieten, ihre Sicht darzulegen, wofür sie 28 Tage Zeit haben. Danach könnte die ICO die Bebußung mindern. Der Richter hat in Folge 16 Wochen für ein Schlussurteil Zeit.
Geldbußen, die die ICO erhält, gehen an das britische Finanzministerium. Sowohl British Airways als auch Marriott kündigten an, gegen die Strafe vorgehen zu wollen.
"Sehr lasch behandelt"
Doch wie sieht die Lage in Österreich aus? Ist mit derartigen Summen auch hierzulande zu rechnen? Die futurezone hat bei der österreichischen Datenschutzbehörde (DSB) angefragt – die Bearbeitung werde dauern, heißt es seitens der Behörde.
Aufschluss gibt die Bürgerrechtsorganisation epicenter.works: "Solche hohen Strafen wurden in Österreich noch nie verhängt. Verstöße gegen die DSGVO werden in Österreich generell sehr lasch behandelt", erklärt Iwona Laub , Sprecherin der Initiative der futurezone. Die genauen Zahlen sind im Datenschutzbericht 2018 der Datenschutzbehörden nachzulesen. Generell betragen die Höchststrafen laut EU-Datenschutzgrundverordnung (DSGVO) bis zu vier Prozent des weltweiten Jahresumsatzes.
Seit Einführung der DSGVO seien laut Bericht der DSB in Österreich im vergangenen Jahr jedenfalls 134 Verwaltungsstrafverfahren zusammengekommen, wovon 83 eingestellt wurden. Bei vier Fällen gab es Abmahnungen. Bei fünf gab es „Straferkenntnisse“, also Bescheide am Ende eines ordentlichen Verwaltungsstrafverfahrens. Laut Laub waren es bisher aber keinesfalls höhere als fünf-stellige Beträge gewesen.
Mehr Beschwerden seit DSGVO
Was mit dem Geld passiert und wo es in Österreich am Ende hinkommt, davon hat die Bürgerrechtsorganisation jedoch keine Kenntnis. "Eine Zweckgebundenheit des Geldes ist uns nicht bekannt. In vielen Ländern bekommt die Datenschutzbehörde das Geld, was natürlich einen Anreiz zu höheren Strafen darstellt. In Österreich ist das nicht der Fall", sagt Laub.
Sicher ist, dass es 2018 jedenfalls 1036 Individualbeschwerden, 2017 hingegen nur 156 gegeben hat. "Das könnte schon die Vermutung entstehen lassen, dass die Einführung der DSGVO zu mehr Beschwerden geführt hat", sagt sie. Dies könne einerseits an der Sensibilisierung für das Thema liegen, andererseits auch an der vermutlich geringeren Schwelle, bei der die Beschwerde schon Erfolg haben könnte. Generell brauche die Datenschutzbehörde in Österreich mehr Ressourcen, um sich dem Problem besser annehmen zu können.