Strafen und Bußgelder im Datenschutz

4 Jahre DSGVO: Strafen und Bußgelder im Datenschutz

EU-Länder verhängen mehr als 1.000 Strafen und 1,6 Milliarden Euro in Form von Bußgeldern in nur vier Jahren

Seit dem Inkrafttreten der Datenschutzgrundverordnung im Mai 2018 haben die Datenschutzbehörden der EU-Mitgliedstaaten regelmäßig nicht nur kleinere und größere Datenpannen mit empfindlichen Bußgeldern bestraft, sondern auch massive Verstöße gegen Datenschutzrichtlinien mit vielen tausenden Betroffenen geahndet.

In nur vier Jahren deckten die verantwortlichen Landes- und Lokalbehörden für Datenschutzfragen europaweit mehr als 1.000 Datenschutzverstöße auf und verhängten infolgedessen Bußgelder in Höhe von insgesamt 1,6 Milliarden Euro. Neben Millionenbußgeldern gegen einige der umsatzstärksten Konzerne der Welt wurden auch zahlreiche kleinere, aber für die betroffenen Unternehmen oder Privatpersonen durchaus empfindliche Bußgelder verhängt.

Schon kleine Datenpannen können für kleine und mittelständische Unternehmen teuer werden. Hinzu kommt die rufschädigende Wirkung und eventuell anfallende Schadensersatzklagen von Betroffenen. Das Thema Datenschutz und die lückenlose Erfüllung der DSGVO sollte daher nicht auf die leichte Schulter genommen werden.

Rückblick: Datenschutzverstöße und Bußgelder im zeitlichen Verlauf

Source: heyData Embed Download image Created with Datawrapper

Verdopplung der Verstöße in den Pandemiejahren 2020 und 2021

Ein Blick in die Daten zeigt, europäische Datenschutzbehörden sind vom ersten Tag nach Inkrafttreten der DSGVO an Datenschutzverstößen nachgegangen, haben Vergehen bestätigt und geahndet. Im Schnitt wurden 24 Strafen pro Monat verhängt.

Auffällig viele Datenschutzverstöße wurden in den Pandemiejahren 2020 und 2021 angezeigt und bestraft. Von 2019 auf 2020 stieg die Zahl der geahndeten Verstöße um 104 % und von 2020 auf 2021 noch einmal um 40 %. Für das Jahr 2022 können sich allerdings noch verschiedene Entwicklungen geben.

Diese Branchen verstoßen am häufigsten gegen Datenschutzbestimmungen

Source: heyData Embed Download image Created with Datawrapper

Selbst der Öffentliche Dienst hat Schwierigkeiten bei der DSGVO-Compliance

In jedem Unternehmen kommen unzählige sensible, personenbezogene Daten zusammen. Für jede Fachabteilung ist Datenschutz daher relevant. Ein Rückblick auf Datenverstöße nach Branchen zeigt, welche Wirtschaftszweige sich in den letzten vier Jahren als besonders nachlässig in Sachen Datenschutz entpuppt haben.

Mit 244 geahndeten Verstößen führt die Industrie und der Handel die Liste an. Die Branche erhielt Bußgelder in Höhe von insgesamt 796 Millionen Euro. Diese Summe beinhaltet allerdings bereits einen einzelnen Verstoß, der bereits mit einem Bußgeld in Höhe von 746 Millionen Euro geahndet wurde. Die Rekord-Strafe erhielt der Handelsriese Amazon im Jahr 2021. Es folgt die Medien- und Telekommunikationsbranche mit 178 Verstößen und ausgestellten Bußgeldern in Höhe von zusammengenommen 613 Millionen Euro.

Besonders auffällig ist die hohe Menge an Verstößen im Öffentlichen Dienst und im Bildungswesen. 141 Verstöße wurden seit 2018 gemeldet und mit insgesamt 19 Millionen Euro Bußgeld bestraft. Hier zeigt sich, selbst staatliche Stellen haben vier Jahre nach Inkrafttreten der DSGVO noch erhebliche Schwierigkeiten mit der Compliance.

Die höchsten Bußgelder

Rekord-Strafen für Amazon, Meta, Google und H&M

• Amazon: 746 Millionen Euro

Im Juli 2021 erhielt der Versandhändler das Rekordbußgeld von der Datenschutzbehörde in Luxemburg. Es handelt sich um das höchste verhängte Bußgeld seit Inkrafttreten der DSGVO. Der Konzern hat gegen Einwilligungserfordernisse im Rahmen seines Online-Targetings verstoßen.

• WhatsApp: 225 Millionen Euro

Nachdem WhatsApp gegen Transparenzvorgaben gemäß der Artikel 12-14 DSGVO verstieß, bestrafte die irische Datenschutzbehörde den Messengerdienst von Meta im September 2021.

• Google: 50 Millionen Euro, 60 Millionen Euro und 90 Millionen Euro

Französische Behörden verhängten gegen Google bereits drei verschiedene Millionen-Bußgelder. Verstöße betrafen die unzureichende Transparenz in Bezug auf die Personalisierung von Werbeformaten, den Einsatz von Cookies zu Werbezwecken ohne Einwilligung und das Nutzer-unfreundliche Cookie-Management.

• Facebook: 60 Millionen Euro

Bei Facebook bemängelte die französische Datenschutzbehörde ebenfalls die umständliche Cookies-Verwaltung und verhängte im Januar 2022 ein Bußgeld in Höhe von 60 Millionen.

• H&M: 35 Millionen Euro

Nachdem bekannt wurde, dass Mitarbeitende an einem Standort in Nürnberg umfangreich zu sensiblen privaten Informationen befragt und diese Daten gespeichert wurden, verhängten deutsche Behörden ein Millionen-Bußgeld im Oktober 2020.

Spanien bestraft Datenschutzverstöße am häufigsten

Source: heyData Embed Download image Created with Datawrapper

In den vier Jahren seit Einführung der Datenschutzgrundverordnung auf EU-Ebene haben spanische Datenschutzbehörden insgesamt 405 Verstöße bestraft und Bußgelder in Höhe von 45 Millionen Euro verlangt. Kein anderes Land hat im selben Zeitraum mehr Strafen verhängt. Das bereits mehrfach erwähnte Rekord-Bußgeld für Amazon in Höhe von 746 Millionen Euro verhängte Luxemburg.

Mehrheit der Verstöße in Deutschland durch KMU und natürliche Personen

Deutschland hat in den letzten vier Jahren insgesamt 63 Datenschutzverstöße bestraft und Bußgelder in Höhe von 52 Millionen Euro verhängt. Zu den Empfängern der Bußgeldbescheide der deutschen Datenschutzbehörden gehörten unter anderem H&M (35 Millionen Euro), Notebooksbilliger (10 Millionen Euro) und die AOK Baden-Württemberg (1,2 Millionen Euro). Der Großteil der Bescheide betraf allerdings kleine und mittelständische Unternehmen sowie natürliche Personen und Solo-Selbstständige. Hier scheint eine Nachhilfe bei der DSGVO-Compliance besonders nötig. Die Bußgelder fallen zwar nicht so hoch aus, wie bei den großen Konzernen mit Millionenumsätze, aber Strafen zwischen 100 und 10.000 Euro können Betriebe dennoch empfindlich treffen.

10 Kriterien bestimmen die Höhe des Bußgeldes

Für die Untersuchung, Ahndung und die Bußgeldbescheide bei Verstößen gegen die Datenschutzgrundverordnung sind die jeweiligen Datenschutzbehörden der EU-Länder verantwortlich. Sie entscheiden nicht nur, ob ein Verstoß vorliegt, sondern auch die Höhe der Strafe. Das Recht Datenschutzverstöße bei den Datenschutzbehörden anzuzeigen, hat übrigens jede Person. Die Behörden sind verpflichtet jeder Beschwerde nachzugehen und bei Bedarf zu mahnen und zu ahnden. Die Höhe der Strafe, in der Regel in Form eines Bußgelds und der Aufforderung die Datenlücken zu schließen, bestimmen die Datenschutzbehörden anhand der folgenden Kriterien:

• Art und Tragweite des Verstoßes
• Vorsatz oder Fahrlässigkeit
• Weg der Schadensbegrenzung
• Art der betroffenen Daten
• Vorsichtsmaßnahmen
• Datenschutzzertifizierung
• Vorgeschichte
• Zusammenarbeit mit den Behörden
• Proaktive Anzeige bei der Behörde oder Anzeige durch Dritte
• Sonstige Erschwerende bzw. mildernde Faktoren

Quellen

Sämtliche Daten über Verstöße, Strafen und Bußgelder wurden dem Bericht “GDPR Enforcement tracker, 2nd edition 2021” entnommen. 

Detaillierte Informationen über Verstöße und Empfänger von Bußgeldern wurden mit dem DSGVO-Portal recherchiert.