Abo

Editorial : Was werden Datenschutzverstöße kosten? : aus der RDV 5/2016, Seite 229 bis 230

Lesezeit 2 Min.

Onlinedienste nutzen die meisten am liebsten unkompliziert. Mit Grummeln im Bauch haben wir uns daran gewöhnt, bei Einwilligungserklärungen nach Software-Updates für Smartphones, Messangerdienste & Co. einfach zu lügen. Die Aussage „Ich habe die Datenschutzerklärung gelesen und stimme der Nutzung zu“ ist in der Lebenswirklichkeit nicht ernst zu nehmen. Onlinedienste nutzen das aus. Twitter hat seine Nutzer kürzlich per Mail über die Verbesserung seiner Allgemeinen Geschäftsbedingungen und Datenschutzrichtlinien informiert. Es wurde etwa ein Abschnitt zum EU-US Privacy Shield aufgenommen. Genaueres erfährt man online im „Hilfecenter“. Zudem wird man aufgefordert, sich „einen Moment“ Zeit zu nehmen, die neuen Informationen zu lesen. Soweit so gut. Danach wird es rechtlich interessant. „Wenn du unsere Services am oder nach dem 30. September 2016 nutzt, erklärst du dich mit den Änderungen einverstanden.

Danke, dass Du Twitter nutzt.“

Ohne lange über die Anforderungen an Freiwilligkeit oder Formerfordernisse für die Einwilligung zu grübeln, springt den Nutzer die Unzulässigkeit der Einverständniserklärung förmlich an. Schweigen oder Untätigkeit erzeugt nur in Ausnahmefällen rechtliche Bindungen. Datenschutzrechtlich lässt Erwägungsgrund 32 der DS-GVO ausdrücklich keinen Zweifel daran, dass es so wie Twitter es macht, nicht geht. Der Verstoß gegen Art. 6 und 7 DS-GVO, die die Anforderungen an Einwilligungen regeln, ist offensichtlich. Er findet zudem millionenfach statt. Wer als Betreiber eines Onlinedienstes behauptet, ihm seien fundamentale Grundsätze des europäischen Vertrags- und Datenschutzrechts nicht geläufig, der sollte sich bald eines Besseren belehren. Verstöße gegen Art. 6 und 7 DS-GVO sind nämlich bußgeldbewehrt. Und zwar mit bis zu 4% des Vorjahresumsatzes des Unternehmens. Legt man die gut 2,2 Milliarden US-Dollar zugrunde, die Twitter 2015 weltweit umgesetzt hat, dann hat man eine Berechnungsgrundlage. Für die genaue Ermittlung des Bußgeldes gibt die DSGVO eine Leitlinie. Die Geldbuße muss „im Einzelfall wirksam, verhältnismäßig und abschreckend“ sein. Konkret kommt es etwa auf die Schwere und Dauer des Verstoßes, den Grad des Verschuldens oder privilegierend darauf an, ob der Anbieter sich an akzeptierte Verhaltensregeln hält oder gar zertifiziert ist. So nachhaltig, wissend, nachweislich und robust, wie Twitter per Mail europäisches Datenschutzrecht 2016 verletzt hat, könnte die Aufsicht dann erwägen, ob man den Verstoß milde bei 1% und gut 22 Millionen US-Dollar ansetzt oder, ob man doch auf abschreckende 4 %, also gut 88 Millionen US-Dollar zusteuern muss. Wegen der Umrechnung in Euro, mag die Summe etwas sinken. Alternativ kann die Aufsicht nach Art. 83 DS-GVO ein Bußgeld bis 20 Millionen Euro verhängen, wenn der Betrag gemessen am Umsatz höher ist. Wenn Twitter seine Einwilligungen weltweit so einholt wie in Deutschland, dann kann das Unternehmen die Aufsicht bei Verstößen in Europa nicht einmal davon überzeugen, dass für die Berechnung des Bußgeldes nur der Umsatz in Europa zugrunde zu legen ist. Erwägungsgrund 150 legt nämlich nahe, dass der Konzernumsatz zählt. So oder so. Allzu oft wird man sich Datenverwendungen ohne wirksame Einwilligungen nicht leisten können.

Professor Dr. Rolf Schwartmann

Prof. Dr. Rolf Schwartmann Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln, Mitherausgeber der Fachzeitschrift RDV sowie Vorstandsvorsitzender der GDD e.V., Bonn