Seit Wirksamwerden der DSGVO am 25. Mai 2018 bibbern manche Unternehmen vor dem Millionenbußgeld, das sie womöglich trifft. Die Konsequenzen dieser Angst sind teilweise gravierend. Eingestellte Facebook-Seiten, abgestellte Tracking-Tools, gelöschte Cookies und Millionen Euro Beraterkosten für interne DSGVO-Projekte.

Inzwischen hat es auch in Deutschland saftige Bußgelder gegeben. Das prominenteste Beispiel ist ein Bußgeld über 14,5 Millionen Euro gegen das Immobilienunternehmen „Deutsche Wohnen“ durch die Berliner Datenschutzbehörde für das Fehlen eines tauglichen Löschkonzepts bei der Archivierung von Dokumenten. Ist das der neue Trend? Müssen Unternehmen nun für jedweden Datenschutzverstoß mit horrenden Bußgeldern rechnen?

Millionenbußelder? Es kommt drauf an, theoretisch schon…
Die Datenschutzkonferenz hat ein neues Konzept zur Berechnung von Bußgeldern nach der DSGVO entworfen und beschlossen. Danach vollzieht sich die Berechnung eines Bußgeldes bei Vorliegen eines Datenschutzverstoßes in 5 Schritten. Die Einzelheiten kann man indiesem Beitrag meiner Kollegin Maya El-Auwad nachlesen.

Hauptanknüpfungspunkt ist der weltweite Konzernumsatz des Vorjahres. Aus diesem wird ein Tagessatz errechnet (1/360 des Gesamtumsatzes) und dieser zur grundsätzlich maßgeblichen Berechnungsgrundlage gemacht. Zwar gibt es diverse Abweichungsmöglichkeiten und Korrektive, doch gilt einmal grundsätzlich diese Bemesseungsgrundlage.

Danach führen auch kleinere Datenschutzverstöße zu großen Bußgeldern, wenn der Jahresumsatz des Unternehmens nur hoch ist.

…aber eher nicht für den Einsatz von Webanalyse-Tools
Dies trifft grundsätzlich auch auf den Einsatz von Tracking-Tools zu. Die Datenschutzbehörden stellen sich auf den Standpunkt, dass der Einsatz von Tracking-Tools, die bei dem Anbieter laufen (und nicht lokal installiert sind), datenschutzrechtlich nur mit einer Einwilligung der Nutzer betrieben werden können.

Dies ist sehr zweifelhaft und andere Auslegungen denkbar. Insbesondere lässt sich der Einsatz von Tracking-Tools unter Umständen auch mit berechtigten Unternehmensinteressen rechtfertigen. Unterstellt man jedoch, dass die Behörden Recht haben, drohen bei Unternehmen mit hohen Umsätzen (nicht notwendig hohen Margen) tatsächlich horrende Bußgelder allein wegen des Einsatzes von Webanalyse-Werkzeugen. Insofern ist datenschutzkritisches Verhalten für Unternehmen mit hohen Umsätzen absolut riskanter als für StartUps ohne größere Umsätze.

Allerdings ist die Wahrscheinlichkeit, dass Behörden nun massenhaft den Einsatz von Trackingtools auf den Websites von Unternehmen sanktionieren, ohnehin sehr gering. Von der Hand zu weisen ist dieses Risiko aber nicht, zumal die Datenschutzbehörden in mehreren Bundesländern gerade noch einmal wiederholt haben, dass sie den Einsatz von Google Analytics für rechtswidrig halten.

Fazit
Auch wenn kein Grund zur Panik besteht, sollte man die aktuellen Entwicklungen um Cookies und Tracking-Tools zum Anlass nehmen, die eigenen Shops und Websites kritisch auf nicht notwendige Tools zu prüfen. Wer sich außerdem für den Einsatz eines Consent Management Tools entscheidet, mag sogleich überlegen, ob nicht sogleich auch eine Einwilligung in das Tracking iengeholt werden kann.