Datenschutzverordnung: Post mit vierthöchster Strafe in der EU

Im Mai 2018 ist EU-weit die so genannte Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Behörden können auf dieser Grundlage Unternehmen mit bis zu vier Prozent ihres weltweiten Umsatzes für Datenschutzverletzungen bestrafen. Das taten sie auch eifrig. Insgesamt haben alle europäischen Datenschutz-Institutionen in den vergangenen 18 Monaten mehr als 90.000 solcher Meldungen erhalten. Darunter auch einen prominenten Fall aus Österreich.

Laut einer Studie von PreciseSecurity.com hatten die zehn größten Fälle von DSGVO-Verstößen 2019 Strafzahlungen in Höhe von 402,6 Millionen Euro zur Folge. Dabei sind die drei größten Strafen für rund 90 Prozent dieser Summe verantwortlich.

Top drei

Im Juli 2019 wurde British Airways mit einer Rekordstrafe von 204.6 Millionen Euro belegt. Dies ist zugleich die höchste Summe, die bis dato weltweit für unzureichenden Datenschutz eingefordert wurde. Die britische Behörde für Datenschutz, ICO, bestrafte die britische Airline, nachdem Kriminelle die Kreditkarten Informationen von bis zu einer halben Million Kunden der Fluglinie auslesen konnte.

Die zweithöchste Gebühr in Höhe von 110,39 Millionen Euro wurde ebenfalls von der ICO gegenüber dem amerikanischen Unternehmen Marriott International ausgesprochen. Grund war eine Sicherheitslücke im November 2018, die rund 339 Millionen Gast-Daten freilegte, 30 Millionen hiervon Einwohner aus 31 europäischen Staaten und weitere sieben Millionen britische Bürger betreffend.

Mit einer 50 Millionen Euro-Strafe befindet sich Google auf dem dritten Platz der schlimmsten Datensünder 2019. Die Gebühren wurden dem US-Konzern von der französischen Datenschutz-Behörde CNIL aufgebrummt, da Google es versäumte, seinen Nutzern genügend Informationen über die Zustimmung zu den Data Richtlinien zu vermitteln. Zudem erlaubte der Tech-Riese seinen Kunden keine ausreichende Kontrolle über die Nutzung persönlicher Informationen.

Nicht rechtskräftig

Schon an vierter Stelle kommt die Österreichische Post. Sie hat wegen der statistischen Hochrechnung von Parteiaffinitäten von Millionen Post-Kunden und dem Verkauf dieser Daten an wahlwerbende Parteien eine Verwaltungsstrafe in Höhe von 18 Mio. Euro von der Datenschutzbehörde ausgefasst. Die Entscheidung der Behörde ist nicht rechtskräftig, sie legte Rechtsmittel ein. Die Strafhöhe lässt sich durch die hohe Anzahl Betroffener sowie den Umsatz erklären. Eine Reduktion in zweiter Instanz ist nicht unwahrscheinlich.