Seitdem die europ\u00e4ische Datenschutz-Grundverordnung (DSGVO) im Mai 2018 eingef\u00fchrt wurde, sind Datenschutzverst\u00f6\u00dfe und darauffolgende Bu\u00dfgeldbescheide ein Dauerthema. Doch auch drei Jahre nach Einf\u00fchrung der DSGVO zeigt sich, dass nicht alles datenschutzkonform l\u00e4uft. Dementsprechend werden Bu\u00dfgeldbescheide verteilt \u2013 und zwar im Jahr 2020 mit steigenden Tendenzen, sowohl, was die Anzahl angeht, als auch die H\u00f6he der Bu\u00dfgelder. Im heutigen Beitrag zeigen wir Ihnen einige Verst\u00f6\u00dfe und Strafen auf, blicken darauf, wie sich DSGVO-Bu\u00dfgelder zusammensetzen, und pl\u00e4dieren f\u00fcr ein einheitliches, gemeinsames weiteres Vorgehen in Hinblick auf den Datenschutz.<\/p>\n
Seit 2018 ist die DSGVO europaweit in Kraft getreten \u2013 jedoch wurden noch nie so viele Bu\u00dfgelder in Folge von Verst\u00f6\u00dfen gegen die DSGVO verh\u00e4ngt wie im Jahre 2020. Das Handelsblatt<\/a> hatte unter den Datenschutzbeauftragten der L\u00e4nder und des Bundes nachgefragt: rund 48 Millionen Euro wurden demnach deutschlandweit an Bu\u00dfgeldern f\u00e4llig. Wurden im Jahr 2019 noch 187 Verst\u00f6\u00dfe gez\u00e4hlt, stieg diese Zahl in 2020 auf 301 \u2013 das entspricht einem Anstieg von knapp 60 Prozent!<\/p>\n Mit 35,3 Millionen Euro hatte es den schwedischen Modeh\u00e4ndler H&M erwischt \u2013 bislang das h\u00f6chste verh\u00e4ngte DSGVO-Bu\u00dfgeld in 2020. An seinem N\u00fcrnberger Standort soll das Unternehmen das Privatleben von hunderten Mitarbeitern ausspioniert haben, wie der Hamburgische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit, Johannes Caspar, in einer Pressemeldung<\/a> erkl\u00e4rte.<\/p>\n H&M sowie Google sind Gro\u00dfkonzerne, doch nicht nur diese traf es: Das Gros der im drei- bis f\u00fcnfstelligen Bereich liegenden DSGVO-Sanktionen in 2020 wurde gegen kleine und mittlere Unternehmen sowie Vereine und Soloselbstst\u00e4ndige verh\u00e4ngt. Gestiegen sind nicht nur Anzahl und H\u00f6he der DSGVO-Bu\u00dfgelder, sondern auch die Zahl der Datenpannen, die laut dem Handelsblatt-Bericht in 2020 auf mehr als 26.000 gestiegen sei.<\/p>\n Der bisherige Spitzenreiter bei DSGVO-Verst\u00f6\u00dfen ist Google: 50 Millionen Euro Strafe verh\u00e4ngte die franz\u00f6sische Datenschutzbeh\u00f6rde Commission Nationale de l\u2018Informatique et des Libert\u00e9s (CNIL) aufgrund der irref\u00fchrenden Art und Weise, wie der Suchmaschinenriese \u00fcber seine Nutzung personenbezogener Daten informierte. Diese Strafe wurde jedoch bereits 2019 verh\u00e4ngt, sodass H&M den Bu\u00dfgeldrekord f\u00fcr 2020 innehat. Doch auch Streaminganbieter wie Amazon oder Netflix sind mit diversen Vergehen aufgefallen. Im Folgenden werfen wir einen detaillierteren Blick auf einige nennenswerten in 2020 verh\u00e4ngten DSGVO-Strafen:<\/p>\n Wie bereits dargelegt, hat die Hamburger Aufsichtsbeh\u00f6rde eine DSGVO-Strafe in H\u00f6he von 35,3 Millionen Euro gegen H&M verh\u00e4ngt. Was war geschehen? Seit 2014, eventuell auch noch l\u00e4nger, hat der Konzern private Lebensumst\u00e4nde der Mitarbeitenden nicht nur erfasst, sondern auch auf einem Netzlaufwerk gespeichert. Kamen Mitarbeitende nach Urlaub oder Krankheit zur\u00fcck in den Betrieb, f\u00fchrte man einen \u201eWelcome back-Talk\u201c durch. Informationen, die hierbei ans Tageslicht kamen \u2013 mitunter Krankheitssymptome sowie Diagnosen \u2013 wurden aufgezeichnet und gespeichert.<\/p>\n Doch nicht nur das, sondern auch der \u201eBuschfunk\u201c wurde daf\u00fcr ausgenutzt, weitere Informationen \u00fcber Mitarbeitende zu erlangen. So wurden auch famili\u00e4re Schwierigkeiten oder religi\u00f6se \u00dcberzeugungen gespeichert. Das Datenmaterial nutzte man mitunter daf\u00fcr, die Arbeitsleistungen der Mitarbeitenden bewerten und auf Basis dieser Informationen Besch\u00e4ftigungsentscheidungen treffen zu k\u00f6nnen.<\/p>\n In Italien musste die Aufsichtsbeh\u00f6rde aktiv werden, weil DSGVO-Verst\u00f6\u00dfe bei TIM (Telecom Italia) festgestellt wurden: Obwohl betroffene Personen nicht eingewilligt hatten oder sogar ins \u00f6ffentliche Einspruchregister eingetragen waren, wurden unerw\u00fcnschte kommerzielle Mitteilungen versandt. Beanstandet wurden au\u00dferdem Unregelm\u00e4\u00dfigkeiten bei der Datenverarbeitung im Kontext mit Wettbewerben. Apps, die das Telekommunikationsunternehmen bereitgestellt hatte, enthielten falsche und\/ oder intransparente Informationen zur Verarbeitung von Daten. Weiter setzte TIM auf Einwilligungsmethoden, die die DSGVO gar nicht vorsieht \u2013 und die deshalb ung\u00fcltig sind.<\/p>\n Die Telecom Italia setzte Papierformulare, die f\u00fcr eine bestimmte Zustimmung vorgesehen waren, auch f\u00fcr andere Zwecke ein \u2013 etwa f\u00fcr die Zustimmung zum Marketing. Weiter stellten die italienischen Beh\u00f6rden fest, dass Daten l\u00e4nger als notwendig aufbewahrt wurden, sodass der Telekommunikationskonzern auch gegen L\u00f6schfristen verstie\u00df. F\u00fcr all diese Verst\u00f6\u00dfe wurde eine DSGVO-Strafe in H\u00f6he von 27,8 Millionen Euro verh\u00e4ngt.<\/p>\n Im November 2018 wurde ein Cybervorfall der Marriott International Inc. bekannt, bei der 339 Millionen Gastaufzeichnungen betroffen waren. Circa 30 Millionen der Betroffenen kommen aus dem EWR, davon rund 7 Millionen aus Gro\u00dfbritannien. Die britische Datenschutzbeh\u00f6rde, das Information Commissioner\u2019s Office (ICO), verh\u00e4ngte Ende Oktober 2020 eine DSGVO-Strafe in H\u00f6he von ca. 20,4 Millionen Euro.<\/p>\n Anfangs hatte man der Hotelkette eine Bu\u00dfgeldh\u00f6he von 110 Millionen Euro in Aussicht gestellt. Da es sich jedoch um den ersten Versto\u00df handelte, weil sich Marriott ohne Einschr\u00e4nkungen an den Untersuchungen beteiligte und weil betroffene Personen umgehend von der Hotelkette benachrichtigt wurden, setzte die Aufsichtsbeh\u00f6rde die Strafh\u00f6he herab.<\/p>\n Nicht nur hierzulande, sondern europaweit stiegen die DSGVO-Bu\u00dfgelder, wie ein Report der international t\u00e4tigen Wirtschaftskanzlei DLA Piper<\/a> aufzeigt. Demzufolge wurden im Jahr 2020 in allen 27 EU-Mitgliedsstaaten sowie Norwegen, Gro\u00dfbritannien, Liechtenstein und Island DSGVO-Bu\u00dfgelder in H\u00f6he von 158,5 Millionen Euro verh\u00e4ngt. Verglichen mit den 20 Monaten davor entspricht dies einer Steigerung von ann\u00e4hernd 40 Prozent.<\/p>\n Offenbar gehen die Datenschutzbeh\u00f6rden in Italien und Deutschland deutlicher gegen Datenschutzs\u00fcnder vor: Beide L\u00e4nder verh\u00e4ngten jeweils \u00fcber 69 Millionen Euro und lassen Frankreich mit 54 Millionen Euro damit auf Platz 3 zur\u00fcck, gefolgt von Gro\u00dfbritannien mit rund 44 Millionen Euro an Strafen gegen DSGVO-S\u00fcnden. Spaniens Aufsichtsbeh\u00f6rden liegen mit rund 14,5 Millionen Euro auf Platz 5.<\/p>\n In der eigentlich bitterernsten DSGVO-Welt gibt es jedoch auch Kurioses: So sparte sich \u00d6sterreichs Post mal eben 20 Millionen Euro Datenschutzstrafe, weil ein Formfehler vorlag. Die \u00d6sterreichische Post verdient seit Jahren Geld mit Datenhandel und bis Anfang 2019 geh\u00f6rten dazu auch Angaben \u00fcber etwaige Affinit\u00e4ten zu politischen Parteien. Die \u00d6sterreicherinnen und \u00d6sterreicher hatten dem jedoch nie zugestimmt, sodass die Datenschutzbeh\u00f6rde die Geldstrafe verh\u00e4ngte.<\/p>\n Die Post wandte sich ans Bundesverwaltungsgericht \u2013 und dieses entdeckte einen Formfehler, der dazu f\u00fchrte, dass die 20 Millionen hohe DSGVO-Strafe nicht vollzogen wurde: In ihrem Bescheid hatte die Datenschutzbeh\u00f6rde keinen bestimmten Menschen benannt, der f\u00fcr die Datenverarbeitung zust\u00e4ndig war. Eine nachtr\u00e4gliche Korrektur des Strafbescheids lie\u00df das Bundesverwaltungsgericht nicht zu.<\/p>\n Ein nicht minder kurioser Fall ereignete sich am Landgericht L\u00fcneburg, welches selbst einen DSGVO-Versto\u00df zu verhandeln hatte. Im Rahmen dieser Verhandlung unterlief dem Landgericht L\u00fcneburg selbst eine Datenpanne: Man hatte die Namen und Adressen in dem Urteil nicht korrekt geschw\u00e4rzt \u2013 sie waren online einsehbar. Das Landgericht wurde \u00fcber einen Privatkontakt eines Mitarbeitenden auf die Panne hingewiesen, nachdem das falsch geschw\u00e4rzte Urteil schon zwei Tage online stand.<\/p>\n Es gibt Aktionen, die sich strafmildernd auswirken k\u00f6nnen, wie der Fall Marriott zeigte, bei dem das Bu\u00dfgeld durch die Mitarbeit der Hotelkette wesentlich gesenkt wurde. Die DSGVO gibt hier gewisse Handlungsspielr\u00e4ume, jedoch existieren Kriterien, die die Datenschutzbeh\u00f6rden innerhalb eines f\u00fcnfstufigen Prozesses ermitteln m\u00fcssen:<\/p>\n Oben genanntes Bu\u00dfgeldkonzept wurde von der Datenschutzkonferenz als Zusammenschluss aller Datenschutzaufsichtsbeh\u00f6rden hier (PDF)<\/a> im Oktober 2019 ver\u00f6ffentlicht.<\/p>\n Von Anfang an wurde kommuniziert, dass die DSGVO mit nie dagewesenen Bu\u00dfgeldh\u00f6hen jonglieren wird, um eine hohe Abschreckungswirkung zu erreichen. Art. 83 DSGVO<\/a> regelt die DSGVO-Sanktionen und verlangt bei Verst\u00f6\u00dfen gegen die DSGVO Geldbu\u00dfen von bis zu 10 Millionen Euro bzw. bis zu 2 Prozent des weltweiten Jahresumsatzes. In besonders schweren F\u00e4llen k\u00f6nnen bis zu 20 Millionen Euro Geldbu\u00dfe bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes verh\u00e4ngt werden.<\/p>\n Die dreij\u00e4hrige DSGVO-Praxis, die Europa nun fast schon hinter sich hat, zeigen aber auch, dass Klagen immer mal wieder daf\u00fcr sorgen k\u00f6nnen, dass anfangs verh\u00e4ngte Strafen reduziert werden. So war es etwa beim Versto\u00df gegen die DSGVO von British Airways: Im Juli 2019 hie\u00df es, die Fluggesellschaft m\u00fcsse rund 183 Millionen Euro DSGVO-Strafe zahlen. Cyberkriminellen war es gelungen, eine Fake-Website aufzuziehen und Kunden von der British Airways-Site auf die betr\u00fcgerische Version umzuleiten. Die Angreifer sammelten so Kundendaten \u2013 rund 500.000 Betroffene gab es. Das Unternehmen hatte Sicherheitsvorkehrungen schleifen lassen, wie die nachfolgenden Ermittlungen ergaben. Nachdem die Fluggesellschaft gegen die DSGVO-Strafe geklagt hatte, wurde das Strafma\u00df auf rund 22 Millionen Euro reduziert.<\/p>\n Eine \u00dcbersicht s\u00e4mtlicher europ\u00e4ischen Bu\u00dfgelder wird von CMS Legal Services EEIG im Enforcement Tracker<\/a> ver\u00f6ffentlicht.<\/p>\n Knapp drei Jahre gibt es die DSGVO und noch nie wurden so viele und so hohe Strafen wie in 2020 verh\u00e4ngt. Das zeigt: Die Schonfrist f\u00fcr die Unternehmen ist sp\u00e4testens jetzt definitiv abgelaufen. Es gibt keine Ausreden mehr \u2013 Sie sind in der Pflicht, Ihre Organisation auf Datenschutz zu trimmen.<\/p>\n Die Strafen, die die DSGVO f\u00fcr Datens\u00fcnder bereith\u00e4lt, sind gigantisch hoch \u2013 gerade f\u00fcr kleine und mittelst\u00e4ndische Unternehmen k\u00f6nnen die Strafen existenzvernichtend sein. Bei Google mit einem Jahresumsatz von 182,53 Milliarden US-Dollar in 2020 (Quelle: Statista<\/a>) fallen 50 Millionen Euro Strafe kaum ins Gewicht \u2013 fraglich, ob diese Strafe \u00fcberhaupt einen Effekt bei dem Suchmaschinenriesen hatte. KMU hingegen m\u00fcssen bereits bei weit kleineren Bu\u00dfgeldern um ihr Fortbestehen f\u00fcrchten. Wenn Sie Unterst\u00fctzung dabei suchen, Ihre Organisation DSGVO-konform zu gestalten, helfen wir, die PSW Consulting, Ihnen gerne! Informationen rund um unsere Beratung zur DSGVO finden Sie auf unserer Website<\/a>. Gerne k\u00f6nnen Sie auch direkt Kontakt zu unseren Datenschutz-Experten<\/a> aufnehmen.<\/p>\nDSGVO: Verst\u00f6\u00dfe und Strafen aus 2020 im \u00dcberblick<\/h2>\n
H&M verst\u00f6\u00dft gegen DSGVO<\/h3>\n
TIM ignoriert Betroffenenrechte<\/h3>\n
Marriott zahlt geringere DSGVO-Strafe<\/h3>\n
DSGVO-Strafen steigen europaweit<\/h2>\n
DSGVO treibt zuweilen besondere Bl\u00fcten<\/h3>\n
DSGVO-Strafen: Wie setzen sich Bu\u00dfgelder zusammen?<\/h2>\n
\n
DSGVO: Einheitliches Vorgehen w\u00e4re w\u00fcnschenswert<\/h2>\n