Teuer

Editorial: Lächerliche 5-Prozent-Strafe für Datenmissbrauch

Zugleich bedroht die Strafe seriöse Unternehmen

Lächerliche 5-Prozent-Strafe für Datenmissbrauch Lächerliche 5-Prozent-Strafe für Datenmissbrauch kann die Falschen treffen
Bild: Falko Matte - Fotolia.com
In einem aktu­ellen Entwurf für eine euro­päische Daten­schutz-Richt­linie wird die Strafe für Daten­miss­brauch auf bis zu 5 Prozent des Umsatzes festgelegt. Eine solche EU-Fest­legung ist schon des­egen kritisch, weil sich das Ord­nungs­widrig­keiten- und Straf­recht in den einzelnen Ländern teils deutlich unter­scheidet. Bei der Über­nahme von EU-Straf­regelungen in das jeweilige nationale Recht entstehen dann Diskrepanzen, so dass in einem Land die Strafe für das von der EU festgelegte Delikt im Vergleich zu anderen vergleich­baren Taten besonders hoch ausfällt, in einem anderen Land hingegen besonders tief.

Lächerliche 5-Prozent-Strafe für Datenmissbrauch Lächerliche 5-Prozent-Strafe für Datenmissbrauch kann die Falschen treffen
Bild: Falko Matte - Fotolia.com
Vor allem aber ist es wesensfremd, die Strafe am Umsatz festzumachen. Ein am Rand der Legalität arbeitender Datenhändler wird sich von der Androhung von 5 Prozent Umsatzstrafe doch kaum abschrecken lassen. Schließlich ist seine Marge, die er durch den Bezug von Daten aus fragwürdiger Quelle hat, um ein Vielfaches höher. In vielen anderen Branchen, in denen die Datenverarbeitung lediglich "Mittel zum Zweck" bei der Auftragserfüllung ist und der Umsatz mit ganz was anderem erzielt wird, können 5 Prozent Strafen hingegen existenziell sein.

Große Handelsketten gelten beispielsweise schon als sehr gut, wenn sie über 2 Prozent Umsatzrendite erzielen. Diese Königsklasse haben etwa Aldi und Lidl erreicht, wobei die genauen Zahlen Betriebsgeheimnis sind. Der börsennotierte Internethändler Amazon gehörte 2009 mit einer Umsatzrendite von 3,7 Prozent nach Steuern ebenfalls zur Königsklasse. Seitdem hat sich der Umsatz verzweieinhalbfacht, während der Gewinn nach Steuern auf ein Achtel gesunken ist. Entsprechend bleibt eine Mikro-Rendite von 0,2 Prozent. Der Metro-Konzern (Metro-Großmärkte, Media-Markt, Saturn, Real, Kaufhof) hatte die letzten drei Geschäftsjahre gar ein negatives Finanzergebnis.

Hinzu kommt, dass ein online-Händler, dessen Kundendatei aufgrund mangelnder Absicherung seines Servers kopiert wird, bereits dadurch einen Schaden hat: Die Reputation leidet, wenn der Vorfall öffentlich wird, und windige Konkurrenten können die in Untergrundforen zirkulierenden Daten möglicherweise zu ihrem Vorteil ausnutzen. Beides zusammen kann bereits existenzbedrohend sein. Eine Strafe in Höhe des Vielfachen der Umsatzrendite ist dann der endgültige Sargnagel.

Gewinn abschöpfen!

Die vorstehende Aufzählung soll kein Votum für darbende Händler sein. Sie soll vielmehr zeigen, dass eine Datenschutz-Strafe, über die eine vorsätzlich mit Daten aus fragwürdiger Quelle handelnde Auskunftei nur lacht, und die zugleich einen grundsätzlich seriösen, bei den Updates seines Online-Shop-Systems aber etwas schlampigen, Online-Händler in den Ruin treiben kann, alles andere als ausgewogen und sachgemäß ist.

Zwar hat sich bei Kartelldelikten (illegalen Preisabsprachen, Aufteilung von Vertriebsgebieten etc. pp.) eine Strafberechnung auf Basis des Umsatzes bewährt. Doch ist dort zum einen davon auszugehen, dass durch das Kartell der Gewinn tatsächlich gesteigert wird (sonst hätten es die Teilnehmer ja sofort wieder aufgekündigt), und zum anderen ist der durch Preisabsprachen erzielbare Gewinn in der Regel limitiert. Wird durch die Absprache nämlich ein absurd hoher neuer Preis festgelegt, öffnen sich entsprechende Marktchancen für neue Anbieter, die dann sehr schnell wachsen.

Bei Datenschutzdelikten ist keines von beiden der Fall: Datenschutzdelikte führen mitnichten immer zu einem Gewinnsprung beim betroffenen Unternehmen; in vielen Fällen wirken sie sich sogar negativ aus. Wenn aber Gewinn mit Datenschutzverletzungen gemacht wird, dann sind das oft genug nicht nur ein paar Prozent, sondern ein Großteil des Umsatzes. Folglich muss sich eine Bestrafung von Datenschutzverletzungen am mit diesen erzielten Gewinn orientieren, auch, wenn dessen genaue Ermittlung vielfach schwieriger ist als die Ermittlung des Umsatzes.

Weitere Editorials