Das Wichtigste in Kürze
- Nach zwei Jahren DS-GVO bildet sich europaweit nur langsam eine einheitliche Herangehensweise an Bußgelder aus.
- In Deutschland wurden vielfach Strafen wegen unerlaubter Telefonwerbung verhängt, aber auch alle anderen DS-GVO Verstöße wurden abgestraft.
- Die britischen Behörden verhängten besonders hohe Bußgelder vor dem Austritt.
- Die irische Behörde geht nicht effektiv gegen die Datenschutzverstöße der großen datensammelnden IT-Unternehmen vor.
- Der beste Schutz für international agierende Unternehmen ist ein holistisches Datenschutzkonzept.
In diesem Beitrag
- Wie hoch kann ein DS-GVO-Bußgeld ausfallen?
- Welche Datenschutz-Strafen gab es in der Praxis?
- Welche DS-GVO-Strafen gab es in Deutschland?
- Welche DS-GVO-Verstöße bestraft Spanien?
- Wofür werden Bußgelder im Vereinigten Königreich verhängt?
- Wie wirkt sich die Corona-Krise auf den Datenschutz aus?
- Welche Bußgeld-Trends zeichnen sich europaweit ab?
- Wie schützen sich international tätige Unternehmen vor Bußgeldern?
- Fazit
Zum zweiten Mal jährte sich Ende Mai 2020 das Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO). Besonders bekannt ist die DS-GVO für ihre hohen Bußgelder bei Datenschutzverstößen – zumindest auf dem Papier. Anlass für eine kurze Zwischenbilanz: Welche Bußgelder haben die Datenschutzbehörden in den einzelnen europäischen Ländern tatsächlich verhängt? Und lassen sich bei den Bußgeldern Trends und Muster erkennen?
Wie hoch kann ein DS-GVO-Bußgeld ausfallen?
Die Höhe von Bußgeldern regelt die DS-GVO in Artikel 83. Dabei kennt sie zwei verschiedene Szenarien, für die sich die Bezeichnung des kleinen bzw. großen Bußgelds eingebürgert hat:
- Das kleine Bußgeld nach der DS-GVO liegt bei bis zu 2 Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens oder bis zu 10 Millionen Euro, je nachdem, welcher Wert höher ist.
- Beim großen Bußgeld liegen die möglichen Strafen bei 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro, wobei erneut der höhere Betrag zählt.
Ob das kleine oder große Bußgeld angewandt wird, hängt von der Art der Datenschutzverstöße ab. Zwar handelt es sich bei den genannten Summen um Höchstgrenzen, doch allein die mögliche Höhe hat große Firmen in den vergangenen zwei Jahren das Fürchten gelehrt – kannte doch das alte Bundesdatenschutzgesetz (BDSG) derlei Bußgelder nicht.
Welche Datenschutzstrafen gab es in der Praxis?
Die Spanne der in den einzelnen EU-Mitgliedsländern verhängten Datenschutzbußgelder ist hoch: Sie reicht von 47 Euro in Polen für einen Gerichtsvollzieher, der seine Sorgfaltspflicht verletzt hatte, bis hin zu 183 Millionen Euro im Vereinigten Königreich für British Airways wegen einer Datenpanne. Mehr zu Rekord-Bußgeldern nach der DS-GVO erfahren Sie in diesem Artikel. Hier wollen wir uns exemplarisch einige Bußgelder aus drei Ländern ansehen, um sie auf Trends hin zu untersuchen.
Welche DS-GVO-Strafen gab es in Deutschland?
Eher am unteren Ende des Bußgeldspektrums in Deutschland sei hier beispielsweise der Fall einer unerlaubten Videoüberwachung in einer Gaststätte genannt. Die Aufzeichnung war nach Ansicht der Behörden nicht notwendig und erforderlich, sondern ein schwerwiegender Eingriff in die Persönlichkeitsrechte der Gäste. Dieser Verstoß brachte dem Betreiber ein Bußgeld in Höhe von 2.000 Euro ein.
Die bekanntesten und größten Bußgeldfälle nach der DS-GVO betrafen die Deutsche Wohnen mit 14,5 Millionen Euro und die 1&1 Telecom GmbH mit über 9,5 Millionen Euro. Im ersteren Fall ging es um Löschkonzepte und im zweiten Fall um technische und organisatorische Maßnahmen.
Weniger bekannt ist der drittgrößte Fall: Hier wurde ein Bußgeld von 300.000 Euro gegen ein Callcenter verhängt – wegen unerlaubter Werbeanrufe. Bei den Aufsichtsbehörden waren zuvor rund 1.400 Beschwerden zu genau diesem Callcenter eingegangen. Das Thema unzulässige Telefonwerbung taucht in den Top 10 der deutschen DS-GVO-Strafen noch vier weitere Male auf: Die betroffenen Unternehmen waren Vodafone mit 100.000 Euro, die E wie Einfach GmbH mit 140.000 Euro, Sky Deutschland mit 250.000 Euro und 300.000 Euro gegen die ENERGYsparks GmbH.
Bei den aus Verbrauchersicht so nervigen Werbeanrufen greifen die DS-GVO und das Gesetz gegen den unlauteren Wettbewerb (UWG) ineinander. Reagieren die deutschen Behörden besonders sensibel auf das Thema, oder hat Deutschland ein größeres Problem mit Telefonwerbung als seine Nachbarstaaten? Genau lässt sich das nicht sagen, doch bei den Unternehmen ist die Botschaft angekommen: Die Behörden greifen bei Werbeanrufen durch.
Bestraft Spanien DS-GVO-Verstöße anders?
Bei den Bußgeldern in Spanien fällt auf, dass zwar in der Breite viel bestraft wird (z. B. 900 Euro für die fehlende Datenschutzerklärung auf der Website eines kleinen Elektronikanbieters), die Behörden sich aber bei der Höhe der verhängten Bußgelder bislang zurückhalten. Das bis zum heutigen Tage höchste Strafe, die bisher verhängt wurde, betrug 250.000 Euro. Bezahlen musste die spanische Profi-Fußball-Liga, deren App Nutzer über Positionsdaten und aktiviertes Mikrofon ausspionierte.
Als wiederkehrendes Thema finden sich bei spanischen DS-GVO-Bußen unzureichende technische und organisatorische Maßnahme (TOM).
Wofür werden Bußgelder im Vereinigten Königreich verhängt?
Jenseits der spektakulären Fälle British Airways mit 183 Millionen und Marriott International mit 110 Millionen Eurowaren auch in Großbritannien unzureichende TOMs Anlass für zahlreiche DS-GVO-Bußgelder. Ein sechsstelliges Bußgeld zahlen musste die Fluglinie Cathay Pacific, der schwerwiegende Mängel bei technischen und organisatorischen Maßnahmen vorgeworfen wurden. So fehlte eine Firewall und es wurden Anbieter genutzt, die keine Security-Patches zur Verfügung stellten.
Häufig wurden im Vereinigten Königreich umfangreiche Datenpannen geahndet. Die betroffenen Unternehmen waren DSG Retail Ltd, The Carphone Warehouse Ltd und Doorstep Dispensaree Ltd. Beim Pharmaunternehmen Doorstep Dispensaree Ltd wurden Dokumente mit personenbezogenen Daten unsachgemäß und frei zugänglich aufbewahrt. The Carphone Warehouse Ltd. musste rund 450.000 Euro bezahlen – bei einem Hackerangriff wurden die Kundendaten von 3 Millionen Nutzern gestohlen.
Wie wirkt sich die Coronakrise auf den Datenschutz aus?
Überschattet wurde das zweijährige DS-GVO-Jubiläum vom Ausbruch der Corona-Pandemie. Gerade in Deutschland ließ sich – mehr als in anderen europäischen Ländern – der Eindruck gewinnen, dass sich die Aufsichtsbehörden aus diesem Anlass beim Verhängen von Bußgeldern stark zurückhielten. Hatte die Gesundheit Priorität vor dem Datenschutz gewonnen?
An Gültigkeit hat die DS-GVO zumindest durch Covid-19 nicht eingebüßt, und mit dem Coronavirus kamen neue Datenschutzthemen auf: Hier ging es um die Einführung einer Corona-App, aber auch um Detailfragen wie die Gestaltung von Gästelisten in Gastronomie und bei Friseurbetrieben. Die kurz andauernde relative Zurückhaltung deutscher Behörden bei Bußgeldern ist im europäischen Vergleich eher ein Einzelfall, und keinesfalls sollte Corona als Freibrief für Datenschutzverstöße verstanden werden.
Welche Bußgeldtrends zeichnen sich europaweit ab?
Der europäische Vergleich von Datenschutzbußgeldern zeigt, dass sich das Thema zwei Jahre nach Inkrafttreten der DS-GVO noch entwickelt, klare Strukturen sind erst im Entstehen begriffen. Während die Bußgelder etwa in Großbritannien besonders hoch ausfallen, verhängen Spaniens Behörden nach absoluter Anzahl mehr Bußgelder als ihre Kollegen in anderen Staaten.
Irland ist innerhalb der EU für seine laxe Datenschutzpraktiken bekannt und kritisiert. Wir hoffen, dass die Behörde hier bald mit größerer Ernsthaftigkeit durchgreife wird, auch wenn davon bisher wenig zu erkennen ist. Besonders die in Irland ansässigen den großen Datenkraken (Facebook, Google, PayPal, Twitter, Apple, eBay, etc.) sind bisher relativ glimpflich davongekommen. Dabei ist die DS-GVO gerade vor dem Hintergrund ihrer Übergriffe geschaffen worden. Irland muss handeln. Geschieht das nicht, sollten die Europäer stellvertretend durchgreifen, wenn die irischen Behörden untätig sind.
Auch wenn wir durchaus gesehen haben, dass die einzelnen Datenschutzbehörden in ihrer Arbeit individuelle Schwerpunkte setzen: Voreilige Rückschlüsse, nach denen Behörden in bestimmten Ländern nur bestimmte DS-GVO-Verstöße ahnden, verbieten sich. Es ist hoffentlich davon auszugehen, dass die kommenden Jahre eine europaweite Harmonisierung der Bußgeldpraktiken mit sich bringen werden.
Wie schützen sich international tätige Unternehmen vor Bußgeldern?
Den besten Schutz vor Bußgeldern nach der DS-GVO stellt länder- wie branchenübergreifend ein holistisches Datenschutzkonzept dar. Was ist damit gemeint?
Es ist aufschlussreich, die Arbeit der Datenschutzbehörden in den einzelnen europäischen Ländern zu vergleichen, und zweifellos lassen sich Trends feststellen. Doch es bleibt festzuhalten, dass alle Bestandteile der DS-GVO in allen Ländern geltendes Recht sind – und entsprechend auch alle Verstöße geahndet werden können. TOMs, Werbeanrufe, fehlende Datenschutzerklärungen und Cookie-Banner, Verarbeitung ohne Einwilligung – die Liste der möglichen Verstöße ist lang.
Ebenso sind alle Unternehmensbereiche vom Datenschutz betroffen und müssen auditiert werden. Bei der Personalabteilung ist wichtig, wie mit Bewerberdaten umgegangen wird und ob die Personaldaten sicher sind. Ganz hohe Priorität muss auch dem IT-Bereich eingeräumt werden. Verschlüsselungstechniken, Security Patches oder Serverraumsicherheit: Hier gibt es datenschutzrechtliche Feinheiten, die viele Unternehmen nicht kennen oder befolgen. Letztlich ist auch das Thema von internationalen Datentransfer nach dem Schrems II Urteil ganz neu zu begutachten.
Es bietet sich daher an, das Thema Datenschutz an einen externen Beauftragten zu vergeben.
Der Vorteil ist, dass dieser eine unabhängige Position gegenüber der Geschäftsleitung hat. Ein interner Datenschutzbeauftragter kann demgegenüber keine völlig neutrale Position beziehen, da er sich in einem Weisungsverhältnis zur Unternehmensleitung befindet.
Fazit
Im europäischen Vergleich fällt auf, dass Bußgelder bisher nicht harmonisiert sind. Allerdings fällt auch auf, dass die meisten Länder Verfehlungen in allen datenschutzrechtlichen Bereichen ahnden. Die größte Diskrepanz besteht in der Höhe und Stringenz der Bußgelder. Irland und die meisten anderen europäischen Länder könnten von England lernen, dass hohe Bußgelder bei internationalen Unternehmen wirksam sind.
Doch Bußgelder sind nur die sichtbare Spitze des Datenschutzeisbergs. Sie sind das Thema, über das geredet wird. Datenschutzrechtliche Belange interessieren auch die Öffentlichkeit zusehends: Wenn bekannt wird, dass bei einem Unternehmen die Daten nicht sicher sind, wird es schwer, dem Wettbewerb standzuhalten. Ohne das Vertrauen der Kunden lassen sich keine Geschäfte tätigen. Der Datenschutz muss daher bei jeder Maßnahme im Unternehmen von Anfang an ganzheitlich mitgedacht werden.
Sie fragen sich, wie teuer eine Datenpanne für Sie werden könnte?
Berechnen Sie Ihre zu erwartende Bußgeldhöhe schnell und unkompliziert:
