Richter Hammer Waage Justiz

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Das Wichtigste in Kürze

  • Nach zwei Jahren DS-GVO bildet sich europaweit nur langsam eine einheitliche Herangehensweise an Bußgelder aus.
  • In Deutschland wurden vielfach Strafen wegen unerlaubter Telefonwerbung verhängt, aber auch alle anderen DS-GVO Verstöße wurden abgestraft.
  • Die britischen Behörden verhängten besonders hohe Bußgelder vor dem Austritt.
  • Die irische Behörde geht nicht effektiv gegen die Datenschutzverstöße der großen datensammelnden IT-Unternehmen vor.
  • Der beste Schutz für international agierende Unternehmen ist ein holistisches Datenschutzkonzept.

In diesem Beitrag

Zum zweiten Mal jährte sich Ende Mai 2020 das Inkrafttreten der europäischen Datenschutz-Grundverordnung (DS-GVO). Besonders bekannt ist die DS-GVO für ihre hohen Bußgelder bei Datenschutzverstößen – zumindest auf dem Papier. Anlass für eine kurze Zwischenbilanz: Welche Bußgelder haben die Datenschutzbehörden in den einzelnen europäischen Ländern tatsächlich verhängt? Und lassen sich bei den Bußgeldern Trends und Muster erkennen?

Wie hoch kann ein DS-GVO-Bußgeld ausfallen?

Die Höhe von Bußgeldern regelt die DS-GVO in Artikel 83. Dabei kennt sie zwei verschiedene Szenarien, für die sich die Bezeichnung des kleinen bzw. großen Bußgelds eingebürgert hat:

  • Das kleine Bußgeld nach der DS-GVO liegt bei bis zu 2 Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens oder bis zu 10 Millionen Euro, je nachdem, welcher Wert höher ist.
  • Beim großen Bußgeld liegen die möglichen Strafen bei 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro, wobei erneut der höhere Betrag zählt.

Ob das kleine oder große Bußgeld angewandt wird, hängt von der Art der Datenschutzverstöße ab. Zwar handelt es sich bei den genannten Summen um Höchstgrenzen, doch allein die mögliche Höhe hat große Firmen in den vergangenen zwei Jahren das Fürchten gelehrt – kannte doch das alte Bundesdatenschutzgesetz (BDSG) derlei Bußgelder nicht.

Welche Datenschutzstrafen gab es in der Praxis?

Die Spanne der in den einzelnen EU-Mitgliedsländern verhängten Datenschutzbußgelder ist hoch: Sie reicht von 47 Euro in Polen für einen Gerichtsvollzieher, der seine Sorgfaltspflicht verletzt hatte, bis hin zu 183 Millionen Euro im Vereinigten Königreich für British Airways wegen einer Datenpanne. Mehr zu Rekord-Bußgeldern nach der DS-GVO erfahren Sie in diesem Artikel. Hier wollen wir uns exemplarisch einige Bußgelder aus drei Ländern ansehen, um sie auf Trends hin zu untersuchen.

Welche DS-GVO-Strafen gab es in Deutschland?

Eher am unteren Ende des Bußgeldspektrums in Deutschland sei hier beispielsweise der Fall einer unerlaubten Videoüberwachung in einer Gaststätte genannt. Die Aufzeichnung war nach Ansicht der Behörden nicht notwendig und erforderlich, sondern ein schwerwiegender Eingriff in die Persönlichkeitsrechte der Gäste. Dieser Verstoß brachte dem Betreiber ein Bußgeld in Höhe von 2.000 Euro ein.

Überwachungskamer in Gaststätte führt zu Bußgeld für Betreiber

Die bekanntesten und größten Bußgeldfälle nach der DS-GVO betrafen die Deutsche Wohnen mit 14,5 Millionen Euro und die 1&1 Telecom GmbH mit über 9,5 Millionen Euro. Im ersteren Fall ging es um Löschkonzepte und im zweiten Fall um technische und organisatorische Maßnahmen.

Weniger bekannt ist der drittgrößte Fall: Hier wurde ein Bußgeld von 300.000 Euro gegen ein Callcenter verhängt – wegen unerlaubter Werbeanrufe. Bei den Aufsichtsbehörden waren zuvor rund 1.400 Beschwerden zu genau diesem Callcenter eingegangen. Das Thema unzulässige Telefonwerbung taucht in den Top 10 der deutschen DS-GVO-Strafen noch vier weitere Male auf: Die betroffenen Unternehmen waren Vodafone mit 100.000 Euro, die E wie Einfach GmbH mit 140.000 Euro, Sky Deutschland mit 250.000 Euro und 300.000 Euro gegen die ENERGYsparks GmbH.

Bei den aus Verbrauchersicht so nervigen Werbeanrufen greifen die DS-GVO und das Gesetz gegen den unlauteren Wettbewerb (UWG) ineinander. Reagieren die deutschen Behörden besonders sensibel auf das Thema, oder hat Deutschland ein größeres Problem mit Telefonwerbung als seine Nachbarstaaten? Genau lässt sich das nicht sagen, doch bei den Unternehmen ist die Botschaft angekommen: Die Behörden greifen bei Werbeanrufen durch.

Bestraft Spanien DS-GVO-Verstöße anders?

Bei den Bußgeldern in Spanien fällt auf, dass zwar in der Breite viel bestraft wird (z. B. 900 Euro für die fehlende Datenschutzerklärung auf der Website eines kleinen Elektronikanbieters), die Behörden sich aber bei der Höhe der verhängten Bußgelder bislang zurückhalten. Das bis zum heutigen Tage höchste Strafe, die bisher verhängt wurde, betrug 250.000 Euro. Bezahlen musste die spanische Profi-Fußball-Liga, deren App Nutzer über Positionsdaten und aktiviertes Mikrofon ausspionierte.

Als wiederkehrendes Thema finden sich bei spanischen DS-GVO-Bußen unzureichende technische und organisatorische Maßnahme (TOM).

Wofür werden Bußgelder im Vereinigten Königreich verhängt?

Jenseits der spektakulären Fälle British Airways mit 183 Millionen und Marriott International mit 110 Millionen Eurowaren auch in Großbritannien unzureichende TOMs Anlass für zahlreiche DS-GVO-Bußgelder. Ein sechsstelliges Bußgeld zahlen musste die Fluglinie Cathay Pacific, der schwerwiegende Mängel bei technischen und organisatorischen Maßnahmen vorgeworfen wurden. So fehlte eine Firewall und es wurden Anbieter genutzt, die keine Security-Patches zur Verfügung stellten.

Häufig wurden im Vereinigten Königreich umfangreiche Datenpannen geahndet. Die betroffenen Unternehmen waren DSG Retail Ltd, The Carphone Warehouse Ltd und Doorstep Dispensaree Ltd. Beim Pharmaunternehmen Doorstep Dispensaree Ltd wurden Dokumente mit personenbezogenen Daten unsachgemäß und frei zugänglich aufbewahrt. The Carphone Warehouse Ltd. musste rund 450.000 Euro bezahlen – bei einem Hackerangriff wurden die Kundendaten von 3 Millionen Nutzern gestohlen.

Wie wirkt sich die Coronakrise auf den Datenschutz aus?

Überschattet wurde das zweijährige DS-GVO-Jubiläum vom Ausbruch der Corona-Pandemie. Gerade in Deutschland ließ sich – mehr als in anderen europäischen Ländern – der Eindruck gewinnen, dass sich die Aufsichtsbehörden aus diesem Anlass beim Verhängen von Bußgeldern stark zurückhielten. Hatte die Gesundheit Priorität vor dem Datenschutz gewonnen?

An Gültigkeit hat die DS-GVO zumindest durch Covid-19 nicht eingebüßt, und mit dem Coronavirus kamen neue Datenschutzthemen auf: Hier ging es um die Einführung einer Corona-App, aber auch um Detailfragen wie die Gestaltung von Gästelisten in Gastronomie und bei Friseurbetrieben. Die kurz andauernde relative Zurückhaltung deutscher Behörden bei Bußgeldern ist im europäischen Vergleich eher ein Einzelfall, und keinesfalls sollte Corona als Freibrief für Datenschutzverstöße verstanden werden.

Welche Bußgeldtrends zeichnen sich europaweit ab?

Der europäische Vergleich von Datenschutzbußgeldern zeigt, dass sich das Thema zwei Jahre nach Inkrafttreten der DS-GVO noch entwickelt, klare Strukturen sind erst im Entstehen begriffen. Während die Bußgelder etwa in Großbritannien besonders hoch ausfallen, verhängen Spaniens Behörden nach absoluter Anzahl mehr Bußgelder als ihre Kollegen in anderen Staaten.

Irland ist innerhalb der EU für seine laxe Datenschutzpraktiken bekannt und kritisiert. Wir hoffen, dass die Behörde hier bald mit größerer Ernsthaftigkeit durchgreife wird, auch wenn davon bisher wenig zu erkennen ist. Besonders die in Irland ansässigen den großen Datenkraken (Facebook, Google, PayPal, Twitter, Apple, eBay, etc.) sind bisher relativ glimpflich davongekommen. Dabei ist die DS-GVO gerade vor dem Hintergrund ihrer Übergriffe geschaffen worden. Irland muss handeln. Geschieht das nicht, sollten die Europäer stellvertretend durchgreifen, wenn die irischen Behörden untätig sind.

Auch wenn wir durchaus gesehen haben, dass die einzelnen Datenschutzbehörden in ihrer Arbeit individuelle Schwerpunkte setzen: Voreilige Rückschlüsse, nach denen Behörden in bestimmten Ländern nur bestimmte DS-GVO-Verstöße ahnden, verbieten sich. Es ist hoffentlich davon auszugehen, dass die kommenden Jahre eine europaweite Harmonisierung der Bußgeldpraktiken mit sich bringen werden.

Wie schützen sich international tätige Unternehmen vor Bußgeldern?

Den besten Schutz vor Bußgeldern nach der DS-GVO stellt länder- wie branchenübergreifend ein holistisches Datenschutzkonzept dar. Was ist damit gemeint?

Es ist aufschlussreich, die Arbeit der Datenschutzbehörden in den einzelnen europäischen Ländern zu vergleichen, und zweifellos lassen sich Trends feststellen. Doch es bleibt festzuhalten, dass alle Bestandteile der DS-GVO in allen Ländern geltendes Recht sind – und entsprechend auch alle Verstöße geahndet werden können. TOMs, Werbeanrufe, fehlende Datenschutzerklärungen und Cookie-Banner, Verarbeitung ohne Einwilligung – die Liste der möglichen Verstöße ist lang.

Ebenso sind alle Unternehmensbereiche vom Datenschutz betroffen und müssen auditiert werden. Bei der Personalabteilung ist wichtig, wie mit Bewerberdaten umgegangen wird und ob die Personaldaten sicher sind.Ganz hohe Priorität muss auch dem IT-Bereich eingeräumt werden. Verschlüsselungstechniken, Security Patches oder Serverraumsicherheit: Hier gibt es datenschutzrechtliche Feinheiten, die viele Unternehmen nicht kennen oder befolgen. Letztlich ist auch das Thema von internationalen Datentransfer nach dem Schrems II Urteil ganz neu zu begutachten.

Es bietet sich daher an, das Thema Datenschutz an einen externen Beauftragten zu vergeben.

Der Vorteil ist, dass dieser eine unabhängige Position gegenüber der Geschäftsleitung hat. Ein interner Datenschutzbeauftragter kann demgegenüber keine völlig neutrale Position beziehen, da er sich in einem Weisungsverhältnis zur Unternehmensleitung befindet.

Fazit

Im europäischen Vergleich fällt auf, dass Bußgelder bisher nicht harmonisiert sind. Allerdings fällt auch auf, dass die meisten Länder Verfehlungen in allen datenschutzrechtlichen Bereichen ahnden. Die größte Diskrepanz besteht in der Höhe und Stringenz der Bußgelder. Irland und die meisten anderen europäischen Länder könnten von England lernen, dass hohe Bußgelder bei internationalen Unternehmen wirksam sind.

Doch Bußgelder sind nur die sichtbare Spitze des Datenschutzeisbergs. Sie sind das Thema, über das geredet wird. Datenschutzrechtliche Belange interessieren auch die Öffentlichkeit zusehends: Wenn bekannt wird, dass bei einem Unternehmen die Daten nicht sicher sind, wird es schwer, dem Wettbewerb standzuhalten. Ohne das Vertrauen der Kunden lassen sich keine Geschäfte tätigen. Der Datenschutz muss daher bei jeder Maßnahme im Unternehmen von Anfang an ganzheitlich mitgedacht werden.

Über den Autor

Dr. Niels Beisinghoff

Bevor Dr. Niels Beisinghoff Legal Counsel bei DataGuard wurde, arbeitete er jeweils fünf Jahre als Unternehmensberater und als Startup-Unternehmer. Obwohl der Volljurist erst bei DataGuard tiefer in den Datenschutz eintauchte, liefern seine Studienjahre erste Hinweise auf seinen späteren Berufsweg: „Datenschutz ist für mich ein Menschenrecht, das nun endlich mithilfe der DSGVO durchsetzbar wurde. Ich habe meine Doktorarbeit über die Durchsetzung von Menschenrechten gegenüber Firmen geschrieben.“ Heute unterstützt er internationale Unternehmen aus Branchen wie Logistik, Industrie und E-Mobility. Seine Freizeit verbringt er am liebsten mit Familie und Freunden. Übrigens unterhielt er als Kind die größte Sammlung an Auto-Stecknadeln in der näheren Region. Gern hätten wir einen Blick darauf geworfen, wenn sie nicht jemand aus seinem Keller entwendet hätte …

Weitere Beiträge von Dr. Niels Beisinghoff

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service