Über Bußgelder wegen Verstößen gegen die DSGVO wird ja immer wieder berichtet. Mögliche Geldbußen nach Art. 83 DSGVO sind auch der „Klassiker“ bei der Antwort auf die Frage, was bei Verstößen drohen könnte.
Meiner Ansicht nach dürfte eine weitere Befugnis der Datenschutzbehörden in der Praxis für Unternehmen, insbesondere solche, die auf die Analyse und Auswertung von Daten angewiesen sind, jedoch im Ergebnis oft viel größere Konsequenzen haben. Die Rede ist von den Befugnissen nach Art. 58 Abs. 2 lit. f und g DSGVO. Danach haben Aufsichtsbehörden die Befugnis, „eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen“ (lit. f; also die Verarbeitung zu untersagen) und die Löschung von personenbezogenen Daten anzuordnen (lit. g; also gespeicherte personenbezogene Daten, etwa von Websitebesuchern oder Kunden zu löschen).
In der Praxis klingt eine Untersagung oder Löschanordnung natürlich nicht so dramatisch wie eine in Euro bezifferte Geldbuße. Doch macht man sich einmal die potentiellen Konsequenzen einer Löschungsanordnung klar (nämlich, dass z. B. über mehrere Monate oder Jahre hinweg gesammelte Daten zu löschen sind und nicht mehr genutzt werden dürfen), habe ich es in der Praxis schon erlebt, dass gefragt wurde: „Wie war das nochmal mit dem Bußgeld?“
Dass dieses Risiko durchaus real ist, zeigt eine neuere Entscheidung der Datenschutzbehörde aus Finnland (Pressemitteilung auf Englisch).
In dem Fall wurden auf den Webseite von Bibliotheken Tracking-Technologien verwendet, die möglicherweise Daten über die von den Nutzern gesuchten Bücher an Dritte weitergegeben haben. Lau Ansicht der Behörde wurden personenbezogene Daten auch unrechtmäßig in die USA übermittelt. Die Bibliotheken verwendeten die Tools Google Analytics und den Dienst Google Tag Manager. Die Datenschutzbehörde verweist auf das Urteil „Schrems II“ (C-311/18) und, dass die für die Verarbeitung Verantwortlichen die Übermittlung personenbezogener Daten an Drittländer einstellen müssen, wenn sie keine ausreichenden zusätzlichen Garantien für den Schutz personenbezogener Daten umsetzen können.
Nach Auffassung der Datenschutzbehörde wurden die auf der Webseite der Bibliotheken erhobenen personenbezogenen Daten ohne ausreichende zusätzliche Garantien in die USA übermittelt. Zudem wurden die betroffenen Personen nicht in angemessener Weise über die Übermittlung personenbezogener Daten informiert.
Die Bibliotheken haben darauf hin erklärt, dass sie unverzüglich Maßnahmen ergreifen werden, um die Tracking-Technologien von der Webseite zu entfernen.
Die Datenschutzbehörde machte in diesem Fall von ihrer Befugnis Gebrauch, die Löschung von personenbezogenen Daten anzuordnen. Laut der Pressemitteilung wies die Aufsichtsbehörde die Bibliotheken an,
„die mit den Tracking-Technologien erhobenen personenbezogenen Daten zu löschen, wenn die personenbezogenen Daten der betroffenen Person nach der Erhebung unrechtmäßig gespeichert oder verwendet wurden“.