DSGVO: Bußgelder in Rekordhöhe aus UK und Frankreich

Dies ist ein Gastbeitrag von Dr. René Sandor und Philipp Quiel

Unternehmen drohen bei Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) Bußgelder in Millionenhöhe – bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Die Verordnung gilt inzwischen seit über einem Jahr. Zeit, eine erste Bilanz zu ziehen: Wie sieht die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa aus? Was sollten Unternehmen über die bisher ergangenen Sanktionen wissen und welche Lehren können sie daraus ziehen?

Hohe Bußgelder aus Großbritannien und Frankreich

Die Fluggesellschaft British Airways soll wegen gestohlener Kundendaten umgerechnet mehr als 200 Millionen Euro Bußgeld zahlen – das gab die britische Datenschutzaufsichtsbehörde ICO kürzlich bekannt. Das ist seit Gültigkeit der DSGVO die EU-weit mit Abstand höchste Geldbuße. Danach folgt das ebenfalls vom ICO geforderte Bußgeld über 110 Millionen Euro gegen die Hotelkette Marriott. Zuvor sorgte das aus Frankreich gegen Google ergangene Bußgeld über 50 Millionen Euro für Aufsehen. Diese Bußgelder in Rekordhöhe trafen Großunternehmen und fielen unter anderem deswegen so hoch aus – die Bußgeldhöhe bemisst sich auch am Umsatz.

Andere Bußgelder zeigen, dass auch mittelständische Unternehmen Adressaten von empfindlichen Sanktionen sein können:

  • Niederlande: Bußgeld in Höhe von 460.000 Euro für unzureichende Datenschutz-Maßnahmen eines Krankenhauses. Dieses hatte nicht sichergestellt, dass nur solche Mitarbeiter Zugriff auf Patientenakten haben, die dies für ihre Arbeit benötigen.
  • Dänemark: Geldbuße von rund 200.000 Euro, weil das betroffene Unternehmen für die CRM-Datenbank kein Löschkonzept eingesetzt hat und bei einer anderen Kundendatenbank die vom Unternehmen vorgesehenen Löschfristen nicht eingehalten wurden.
  • Polen: Strafzahlung von rund 220.000 Euro für die unterbliebene Information zur Datenverarbeitung der Personen, zu denen das betroffene Unternehmen Daten aus einem öffentlichen Register abgerufen und danach für einen eigenen Geschäftszweck verwendet hat. Es gab zwar einen Datenschutzhinweis auf der Webseite, allerdings konnten die betroffenen Personen nicht wissen, dass das Unternehmen Informationen über sie verwendete.

Eine Liste mit öffentlich bekannten Bußgeldern ist unter enforcementtracker.com abrufbar.

Bußgelder aus Deutschland

Derzeit sind aus Deutschland insgesamt 101 DSGVO-Bußgelder öffentlich bekannt. In Deutschland hat jedes Bundesland eine Behörde, die für die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben durch Unternehmen und Einzelpersonen zuständig ist. Jede dieser 16 Behörden kann Geldstrafen verhängen. In acht Bundesländern gab es bisher Bußgelder. Aus den anderen Bundesländern sind keine bekannt. Wer glaubt, dass eine europaweit einheitlich geltende Verordnung innerhalb eines Landes weitestgehend gleich durchgesetzt wird, täuscht sich. Ein Blick auf die Anzahl und Höhe der Bußgelder, nach Bundesländern geordnet, offenbart eine sehr unterschiedliche Vorgehensweise der Landesdatenschutzaufsichtsbehörden.

Bekannt gewordene DSGVO-Strafen in Deutschland


Behörde Durchschnitt je Bußgeld Gesamtanzahl Gesamtsumme 
1. Baden-Württemberg EUR 25.550 8 EUR 204.400
2. Rheinland-Pfalz EUR 13.778 9 EUR 124.000
3. Hamburg EUR 8.500 3 EUR 25.500
4. Berlin EUR 5.867 18 EUR 105.600
5. Sachsen-Anhalt EUR 2.000 1 EUR 2.000
6. Nordrhein-Westfalen EUR 433 36 EUR 15.600
7. Saarland EUR 197 3 EUR 590
8. Thüringen unbekannt 23 unbekannt (lediglich EUR 32.000 bekannt)

Trotz der eher geringen Anzahl von acht bekannt gewordenen Bußgeldern aus Baden-Württemberg, wurde hier mit 204.400 Euro beinahe die Hälfte der bekannten Gesamtsumme an Geldbußen verhängt. Damit erklärt sich auch der mit 25.550 Euro verhältnismäßig hohe Bußgeld-Durchschnitt in diesem Bundesland. Auffallend aktiv zeigt sich die Bußgeldstelle in Nordrhein-Westfahlen – sie hat bereits 36 Bußgelder erlassen. Diese sind mit durchschnittlich 433 Euro und einer Gesamtsumme von insgesamt 15.600 Euro jedoch vergleichsweise gering ausgefallen. Das Gleiche gilt für das Saarland. Hier teilen sich insgesamt 590 Euro auf drei Fälle auf, sodass der Durchschnitt 197 Euro beträgt.

Was Unternehmen jetzt umgesetzt haben müssen

Dr. René Sandor ist Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS Deutschland

In einigen Fällen sind Verstöße gegen Datenschutzrecht leicht erkennbar, in anderen Fällen muss die Behörde genauer prüfen, ob ein sanktionswürdiges Verhalten vorliegt. Vor allem Beschwerden von Kunden, Lieferanten und Mitarbeitern gegenüber Aufsichtsbehörden können relativ schnell zu einer Überprüfung der gemeldeten Unternehmen führen. Unternehmen sollten daher in der Lage sein, die Betroffenenrechte rechtskonform zu erfüllen: Jeder, der mit einem Auskunftsersuchen, einem Verlangen auf Löschung oder Sperrung, Widerruf der Einwilligung, Widerspruch oder einem Verlangen auf Berichtigung konfrontiert ist, sollte dies ernst nehmen. Auch die Informationspflichten gegenüber Kunden, Lieferanten und Mitarbeitern sollten in eine Routine übergegangen sein. Wer derzeitig Ersuchen zum Datenschutz ignoriert, betroffene Personen nicht über die Datenverarbeitung informiert oder immer noch keinen Datenschutzbeauftragten bestellt hat, kann nicht mehr auf die Gnade der Aufsichtsbehörden setzen.

Verwendung von Informationen aus einer Data Breach Meldung

Jeder, der unrechtmäßig Daten verarbeitet hat, und dadurch ein Risiko für die Rechte des Betroffenen begründet hat, muss gegenüber der Datenschutzaufsichtsbehörde eine Meldung über diese Datenpanne erstatten. Da viele seit Gültigkeit der DSGVO für Datenschutz sensibilisiert sind, bekamen Datenschutzaufsichtsbehörden eine solch große Masse an Datenschutzverletzungen gemeldet wie noch nie. Aufgrund der hohen Anzahl an Meldungen und begrenzter Kapazität sind die Behörden derzeitig wohl nicht in der Lage, jede Meldung im Detail zu prüfen oder gar nach jeder Meldung ein Verfahren einzuleiten.

Mit Blick auf Bußgelder aus anderen Mitgliedstaaten fällt jedoch auf, dass einige auf gemeldete Datenschutzverstöße zurückgehen. Hierzu zählen auch die Rekordbußgelder aus UK. Das deutsche Bundesdatenschutzgesetz sieht vor, dass Informationen, die bei der Meldung eines Datenschutzverstoßes mitgeteilt werden, nicht in einem Bußgeldverfahren gegen die meldende Organisation verwendet werden dürfen. Hintergrund ist der Rechtsgrundsatz, dass es verboten ist, jemanden zur Selbstbezichtigung zu verpflichten. Dies gilt im Grundsatz auch für Unternehmen. Gäbe es dieses Verbot nicht, müssten Unternehmen sich entweder selbst eines sanktionierbaren Datenschutzverstoßes bezichtigen oder gegen die Meldepflichten verstoßen, um einer Geldbuße zu entgehen.

Auffassung anderer Behörden

Philipp Quiel ist Consultant/Research Associate bei CMS.

Unternehmen sehen sich mit unterschiedlichen Handlungsempfehlungen und Orientierungshilfen verschiedener Datenschutzaufsichtsbehörden konfrontiert. Bei abweichenden Meinungen von Behörden innerhalb Deutschlands und der EU ist dies zugleich Nachteil und Vorteil. Nachteilig, weil es viel Zeit kostet, zu überblicken, welche Behörde welche Ansicht vertritt. Ein Vorteil, da man kein Bußgeld befürchten muss, wenn man nachweisen kann, dass man sich entsprechend einer öffentlich verfügbaren Handlungsempfehlung oder Orientierungshilfe einer Behörde verhalten hat. Hintergrund ist, dass jemand, der nachweislich einer Behördenmeinung gefolgt ist, nicht vorsätzlich oder fahrlässig gehandelt hat. Das sieht auch der Landesbeauftragte für Datenschutz und Informationsfreiheit aus Baden-Württemberg so; andere Landesbehörden haben sich dazu noch nicht öffentlich geäußert. Sehr gute Argumente sprechen dafür, dass Unternehmen der Auffassung einer Behörde folgen können, ohne ein Bußgeld befürchten zu müssen, wenn sie den Grund für ihr Vorgehen nachweisen können.

Nicht in Panik verfallen, aber Hausaufgaben machen!

Unternehmen sollten sich nicht durch Panikmache oder Hysterie steuern lassen. Dennoch sollten sie die Basics der datenschutzrechtlichen Vorgaben sicher beherrschen. Die bisherige Bußgeldpraxis der Datenschutzbehörden können Unternehmen als Schulung verstehen: Insbesondere die Themen Datensicherheit, Umsetzung von Betroffenenrechten und Informationsrechte sollten ganz oben auf der To-Do-Liste im Unternehmen stehen. Auf diese Weise lassen sich hohe Bußgelder und ein öffentlicher Reputationsverlust vermeiden.

Dr. René Sandor ist Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS Deutschland. Philipp Quiel ist Consultant/Research Associate bei CMS. Beide sind im Bereich Datenschutzrecht tätig.

2 Kommentare

Kommentare sind deaktiviert.