DSGVO: Bußgelder in Anzahl & Höhe deutlich gestiegen

Seitdem die europäische Datenschutz-Grundverordnung (DSGVO) im Mai 2018 eingeführt wurde, sind Datenschutzverstöße und darauffolgende Bußgeldbescheide ein Dauerthema. Doch auch drei Jahre nach Einführung der DSGVO zeigt sich, dass nicht alles datenschutzkonform läuft. Dementsprechend werden Bußgeldbescheide verteilt – und zwar im Jahr 2020 mit steigenden Tendenzen, sowohl, was die Anzahl angeht, als auch die Höhe der Bußgelder. Im heutigen Beitrag zeigen wir Ihnen einige Verstöße und Strafen auf, blicken darauf, wie sich DSGVO-Bußgelder zusammensetzen, und plädieren für ein einheitliches, gemeinsames weiteres Vorgehen in Hinblick auf den Datenschutz.

DSGVO: Zahl der Bußgeldbescheide deutlich gestiegen

Seit 2018 ist die DSGVO europaweit in Kraft getreten – jedoch wurden noch nie so viele Bußgelder in Folge von Verstößen gegen die DSGVO verhängt wie im Jahre 2020. Das Handelsblatt hatte unter den Datenschutzbeauftragten der Länder und des Bundes nachgefragt: rund 48 Millionen Euro wurden demnach deutschlandweit an Bußgeldern fällig. Wurden im Jahr 2019 noch 187 Verstöße gezählt, stieg diese Zahl in 2020 auf 301 – das entspricht einem Anstieg von knapp 60 Prozent!

Mit 35,3 Millionen Euro hatte es den schwedischen Modehändler H&M erwischt – bislang das höchste verhängte DSGVO-Bußgeld in 2020. An seinem Nürnberger Standort soll das Unternehmen das Privatleben von hunderten Mitarbeitern ausspioniert haben, wie der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, in einer Pressemeldung erklärte.

H&M sowie Google sind Großkonzerne, doch nicht nur diese traf es: Das Gros der im drei- bis fünfstelligen Bereich liegenden DSGVO-Sanktionen in 2020 wurde gegen kleine und mittlere Unternehmen sowie Vereine und Soloselbstständige verhängt. Gestiegen sind nicht nur Anzahl und Höhe der DSGVO-Bußgelder, sondern auch die Zahl der Datenpannen, die laut dem Handelsblatt-Bericht in 2020 auf mehr als 26.000 gestiegen sei.

DSGVO: Verstöße und Strafen aus 2020 im Überblick

Der bisherige Spitzenreiter bei DSGVO-Verstößen ist Google: 50 Millionen Euro Strafe verhängte die französische Datenschutzbehörde Commission Nationale de l‘Informatique et des Libertés (CNIL) aufgrund der irreführenden Art und Weise, wie der Suchmaschinenriese über seine Nutzung personenbezogener Daten informierte. Diese Strafe wurde jedoch bereits 2019 verhängt, sodass H&M den Bußgeldrekord für 2020 innehat. Doch auch Streaminganbieter wie Amazon oder Netflix sind mit diversen Vergehen aufgefallen. Im Folgenden werfen wir einen detaillierteren Blick auf einige nennenswerten in 2020 verhängten DSGVO-Strafen:

H&M verstößt gegen DSGVO

Wie bereits dargelegt, hat die Hamburger Aufsichtsbehörde eine DSGVO-Strafe in Höhe von 35,3 Millionen Euro gegen H&M verhängt. Was war geschehen? Seit 2014, eventuell auch noch länger, hat der Konzern private Lebensumstände der Mitarbeitenden nicht nur erfasst, sondern auch auf einem Netzlaufwerk gespeichert. Kamen Mitarbeitende nach Urlaub oder Krankheit zurück in den Betrieb, führte man einen „Welcome back-Talk“ durch. Informationen, die hierbei ans Tageslicht kamen – mitunter Krankheitssymptome sowie Diagnosen – wurden aufgezeichnet und gespeichert.

Doch nicht nur das, sondern auch der „Buschfunk“ wurde dafür ausgenutzt, weitere Informationen über Mitarbeitende zu erlangen. So wurden auch familiäre Schwierigkeiten oder religiöse Überzeugungen gespeichert. Das Datenmaterial nutzte man mitunter dafür, die Arbeitsleistungen der Mitarbeitenden bewerten und auf Basis dieser Informationen Beschäftigungsentscheidungen treffen zu können.

TIM ignoriert Betroffenenrechte

In Italien musste die Aufsichtsbehörde aktiv werden, weil DSGVO-Verstöße bei TIM (Telecom Italia) festgestellt wurden: Obwohl betroffene Personen nicht eingewilligt hatten oder sogar ins öffentliche Einspruchregister eingetragen waren, wurden unerwünschte kommerzielle Mitteilungen versandt. Beanstandet wurden außerdem Unregelmäßigkeiten bei der Datenverarbeitung im Kontext mit Wettbewerben. Apps, die das Telekommunikationsunternehmen bereitgestellt hatte, enthielten falsche und/ oder intransparente Informationen zur Verarbeitung von Daten. Weiter setzte TIM auf Einwilligungsmethoden, die die DSGVO gar nicht vorsieht – und die deshalb ungültig sind.

Die Telecom Italia setzte Papierformulare, die für eine bestimmte Zustimmung vorgesehen waren, auch für andere Zwecke ein – etwa für die Zustimmung zum Marketing. Weiter stellten die italienischen Behörden fest, dass Daten länger als notwendig aufbewahrt wurden, sodass der Telekommunikationskonzern auch gegen Löschfristen verstieß. Für all diese Verstöße wurde eine DSGVO-Strafe in Höhe von 27,8 Millionen Euro verhängt.

Marriott zahlt geringere DSGVO-Strafe

Im November 2018 wurde ein Cybervorfall der Marriott International Inc. bekannt, bei der 339 Millionen Gastaufzeichnungen betroffen waren. Circa 30 Millionen der Betroffenen kommen aus dem EWR, davon rund 7 Millionen aus Großbritannien. Die britische Datenschutzbehörde, das Information Commissioner’s Office (ICO), verhängte Ende Oktober 2020 eine DSGVO-Strafe in Höhe von ca. 20,4 Millionen Euro.

Anfangs hatte man der Hotelkette eine Bußgeldhöhe von 110 Millionen Euro in Aussicht gestellt. Da es sich jedoch um den ersten Verstoß handelte, weil sich Marriott ohne Einschränkungen an den Untersuchungen beteiligte und weil betroffene Personen umgehend von der Hotelkette benachrichtigt wurden, setzte die Aufsichtsbehörde die Strafhöhe herab.

DSGVO-Strafen steigen europaweit

Nicht nur hierzulande, sondern europaweit stiegen die DSGVO-Bußgelder, wie ein Report der international tätigen Wirtschaftskanzlei DLA Piper aufzeigt. Demzufolge wurden im Jahr 2020 in allen 27 EU-Mitgliedsstaaten sowie Norwegen, Großbritannien, Liechtenstein und Island DSGVO-Bußgelder in Höhe von 158,5 Millionen Euro verhängt. Verglichen mit den 20 Monaten davor entspricht dies einer Steigerung von annähernd 40 Prozent.

Offenbar gehen die Datenschutzbehörden in Italien und Deutschland deutlicher gegen Datenschutzsünder vor: Beide Länder verhängten jeweils über 69 Millionen Euro und lassen Frankreich mit 54 Millionen Euro damit auf Platz 3 zurück, gefolgt von Großbritannien mit rund 44 Millionen Euro an Strafen gegen DSGVO-Sünden. Spaniens Aufsichtsbehörden liegen mit rund 14,5 Millionen Euro auf Platz 5.

DSGVO treibt zuweilen besondere Blüten

In der eigentlich bitterernsten DSGVO-Welt gibt es jedoch auch Kurioses: So sparte sich Österreichs Post mal eben 20 Millionen Euro Datenschutzstrafe, weil ein Formfehler vorlag. Die Österreichische Post verdient seit Jahren Geld mit Datenhandel und bis Anfang 2019 gehörten dazu auch Angaben über etwaige Affinitäten zu politischen Parteien. Die Österreicherinnen und Österreicher hatten dem jedoch nie zugestimmt, sodass die Datenschutzbehörde die Geldstrafe verhängte.

Die Post wandte sich ans Bundesverwaltungsgericht – und dieses entdeckte einen Formfehler, der dazu führte, dass die 20 Millionen hohe DSGVO-Strafe nicht vollzogen wurde: In ihrem Bescheid hatte die Datenschutzbehörde keinen bestimmten Menschen benannt, der für die Datenverarbeitung zuständig war. Eine nachträgliche Korrektur des Strafbescheids ließ das Bundesverwaltungsgericht nicht zu.

Ein nicht minder kurioser Fall ereignete sich am Landgericht Lüneburg, welches selbst einen DSGVO-Verstoß zu verhandeln hatte. Im Rahmen dieser Verhandlung unterlief dem Landgericht Lüneburg selbst eine Datenpanne: Man hatte die Namen und Adressen in dem Urteil nicht korrekt geschwärzt – sie waren online einsehbar. Das Landgericht wurde über einen Privatkontakt eines Mitarbeitenden auf die Panne hingewiesen, nachdem das falsch geschwärzte Urteil schon zwei Tage online stand.

DSGVO-Strafen: Wie setzen sich Bußgelder zusammen?

Es gibt Aktionen, die sich strafmildernd auswirken können, wie der Fall Marriott zeigte, bei dem das Bußgeld durch die Mitarbeit der Hotelkette wesentlich gesenkt wurde. Die DSGVO gibt hier gewisse Handlungsspielräume, jedoch existieren Kriterien, die die Datenschutzbehörden innerhalb eines fünfstufigen Prozesses ermitteln müssen:

• Größenklasse: Zu Beginn wird das Unternehmen in eine Größenklasse kategorisiert. Mit Kleinstunternehmen, kleinen, mittleren sowie Großunternehmen existieren vier dieser Klassen.
• Mittlerer Jahresumsatz: Im zweiten Schritt ermittelt die Datenschutzbehörde den mittleren Jahresumsatz der Untergruppe der jeweiligen Größenklasse.
• Grundwert: Nun kann ein wirtschaftlicher Grundwert kalkuliert werden, der einem Tagessatz entspricht.
• Schwere des Tatbestandes: Der so ermittelte Grundwert wird mit einem Faktor multipliziert, der die Schwere des Tatbestands einordnen soll. Die Faktoren 1 – 2 werden bei leichten formellen Verstößen greifen, Faktor 12 oder höher bei äußerst schweren Verstößen mit materiellem Schaden.
• Weitere Umstände: Im fünften und letzten Schritt soll der nun ermittelte Wert weiter angepasst werden – anhand täterbezogener oder bislang noch unberücksichtigter Umstände. Dieser Schritt ist notwendig, um zu verhindern, dass Unternehmen durch zu hohe Bußgelder zahlungsunfähig werden.

Oben genanntes Bußgeldkonzept wurde von der Datenschutzkonferenz als Zusammenschluss aller Datenschutzaufsichtsbehörden hier (PDF) im Oktober 2019 veröffentlicht.

Von Anfang an wurde kommuniziert, dass die DSGVO mit nie dagewesenen Bußgeldhöhen jonglieren wird, um eine hohe Abschreckungswirkung zu erreichen. Art. 83 DSGVO regelt die DSGVO-Sanktionen und verlangt bei Verstößen gegen die DSGVO Geldbußen von bis zu 10 Millionen Euro bzw. bis zu 2 Prozent des weltweiten Jahresumsatzes. In besonders schweren Fällen können bis zu 20 Millionen Euro Geldbuße bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes verhängt werden.

Die dreijährige DSGVO-Praxis, die Europa nun fast schon hinter sich hat, zeigen aber auch, dass Klagen immer mal wieder dafür sorgen können, dass anfangs verhängte Strafen reduziert werden. So war es etwa beim Verstoß gegen die DSGVO von British Airways: Im Juli 2019 hieß es, die Fluggesellschaft müsse rund 183 Millionen Euro DSGVO-Strafe zahlen. Cyberkriminellen war es gelungen, eine Fake-Website aufzuziehen und Kunden von der British Airways-Site auf die betrügerische Version umzuleiten. Die Angreifer sammelten so Kundendaten – rund 500.000 Betroffene gab es. Das Unternehmen hatte Sicherheitsvorkehrungen schleifen lassen, wie die nachfolgenden Ermittlungen ergaben. Nachdem die Fluggesellschaft gegen die DSGVO-Strafe geklagt hatte, wurde das Strafmaß auf rund 22 Millionen Euro reduziert.

Eine Übersicht sämtlicher europäischen Bußgelder wird von CMS Legal Services EEIG im Enforcement Tracker veröffentlicht.

DSGVO: Einheitliches Vorgehen wäre wünschenswert

Knapp drei Jahre gibt es die DSGVO und noch nie wurden so viele und so hohe Strafen wie in 2020 verhängt. Das zeigt: Die Schonfrist für die Unternehmen ist spätestens jetzt definitiv abgelaufen. Es gibt keine Ausreden mehr – Sie sind in der Pflicht, Ihre Organisation auf Datenschutz zu trimmen.

Die Strafen, die die DSGVO für Datensünder bereithält, sind gigantisch hoch – gerade für kleine und mittelständische Unternehmen können die Strafen existenzvernichtend sein. Bei Google mit einem Jahresumsatz von 182,53 Milliarden US-Dollar in 2020 (Quelle: Statista) fallen 50 Millionen Euro Strafe kaum ins Gewicht – fraglich, ob diese Strafe überhaupt einen Effekt bei dem Suchmaschinenriesen hatte. KMU hingegen müssen bereits bei weit kleineren Bußgeldern um ihr Fortbestehen fürchten. Wenn Sie Unterstützung dabei suchen, Ihre Organisation DSGVO-konform zu gestalten, helfen wir, die PSW Consulting, Ihnen gerne! Informationen rund um unsere Beratung zur DSGVO finden Sie auf unserer Website. Gerne können Sie auch direkt Kontakt zu unseren Datenschutz-Experten aufnehmen.

Ziel der DSGVO war es eigentlich, den Datenschutz in Europa zu vereinheitlichen. Zum zweijährigen Geburtstag der DSGVO haben wir über nach wie vor bestehende Irrungen und Wirrungen berichtet. Leider hat sich ein gutes Jahr später noch nicht viel geändert: Es fehlt an einer europaweit einheitlichen Strategie. Selbst in der Bundesrepublik herrscht bei 18 Datenschutzbehörden kein einheitlicher Konsens. Das ist nicht nur für Betroffene ärgerlich, sondern insbesondere für Unternehmen verwirrend, die versuchen, die Vorgaben der DSGVO umzusetzen. Es bleibt für die Zukunft zu hoffen, dass sich in der Bundesrepublik, aber auch europaweit ein einheitliches Vorgehen durchsetzt: Gemeinsam zu verbessertem Datenschutz.