Wir hatten kürzlich darüber berichtet, dass die von Aufsichtsbehörden verhängten Bußgelder wegen Datenschutzverstößen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen Risikoeinschätzung: Wie hoch könnte ein Bußgeld für einen ganz konkreten Verstoß ausfallen? Diese Frage lässt sich jedoch kaum seriös beantworten, hängt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhängt wurden, das Spektrum aufzuzeigen.
Insgesamt wurden in Deutschland seit Geltung der DSGVO 329 Bußgelder verhängt. Europaweit sind es 2.427 solcher Strafen. Ein Großteil der in Deutschland verhängten Bußgelder betrifft Fälle unerlaubter Telefonwerbung (insbesondere durch Energieversorger und Telekommunikationsanbieter). Hierfür wurden Bußgelder zwischen 5.000,00 und 300.000,00 Euro verhängt, was die Bandbreite verdeutlicht. Erschreckend viele Bußgelder mussten gegen Polizistinnen und Polizisten wegen unberechtigter Datenbankabfragen verhängt werden.
H&M Hennes & Mauritz Online Shop A.B. & Co. KG
Erfassung privater Informationen hunderter Mitarbeiter (“Bespitzelung”)
Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden über mindestens zwei Jahre
Verarbeitung sensibler Daten von Mietinteressenten (z.B. Körpergeruch, Frisur) ohne Rechtsgrundlage
Nutzung der Daten von 500 Gewinnspielteilnehmern zu Werbezwecken ohne Rechtsgrundlage (hier: Einwilligung)
Auswertung von Kundendaten ohne Rechtsgrundlage
Unbekannt (produzierendes Gewerbe)
Aufzeichnung von Kundenanrufen ohne Einwilligung
Verschiedene Energieanbieter
5.000,00 bis 300.000,00 Euro
Delivery Hero Germany GmbH
Mehrere Verstöße, u.a. keine Löschung ehemaliger Kundendaten, unterwünschte Werbe-E-Mails
Unsachgemäße Entsorgung personenbezogener Daten
Betrieb eines Online-Shops mit veralteter, unsicherer Version von xt:Commerce
Hamburger Verkehrsverbund GmbH
Verspätete Meldung einer Datenpanne
Hackerangriff, Verlust von Daten von 330.000 Nutzern wegen unzureichender Sicherheitsvorkehrungen
Auskunft an Betroffene mehrmals nicht erfüllt
Unternehmen der Erwachsenenbildung
Fehlende Joint Controller Vereinbarung
Unerlaubte Videoüberwachung, fehlender AV-Vertrag, keine Benennung eines Datenschutzbeauftragten
Fehlende Benennung eines Datenschutzbeauftragten
Keine Datenschutzerklärung, unrechtmäßige Verwendung von Google Tools
Nichterteilung einer Auskunft
Versendung einer E-Mail an einen falschen Verteiler
Beschäftigter eines Restaurants
Nutzung von Kontaktdaten (Corona-Kontaktverfolgung) zu privaten Zwecken
Den Rahmen für die Höhe von Bußgeldern gibt Art. 83 Abs. 4 und 5 DSGVO vor: Die Höchstgrenze beträgt für schwerwiegendere Datenschutzverstöße 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatz des Unternehmens, je nach dem, welches der höhere (!) Betrag ist. Innerhalb des breiten Spektrums von null bis zu eben jener Höchstgrenze soll eine angemessene Strafe festgelegt werden. Bei der Zumessung des Betrages sind nach Art. 83 Abs. 2 Satz 2 DSGVO folgende Kriterien zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes (insbesondere Art, Umfang, Zwecks der betreffenden Datenverarbeitung, Zahl der betroffenen Personen, Ausmaßes des Schadens);
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
- etwa ergriffene Maßnahmen zur Schadensminderung;
- Grad der Verantwortung (insbesondere technische und organisatorische Maßnahmen);
- etwaige frühere einschlägige Verstöße des Unternehmens;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Kategorien der personenbezogenen Daten, die betroffen sind (je sensibler, desto schwerer wiegt der Verstoß);
- Art und Weise, wie der Aufsichtsbehörde der Verstoß bekannt wurde (z.B. Selbstanzeige oder Fremdanzeige);
- Einhaltung etwaiger vorher von der Behörde angeordneten Maßnahmen;
- Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren;
- sonstige erschwerende oder mildernde Umstände (z.B. durch den Verstoß erlangte finanzielle Vorteile).
Einerseits gibt die DSGVO den Behörden also einen recht konkreten Bemessungskatalog an die Hand. Andererseits bleibt dennoch ein erheblicher Ermessensspielraum, weshalb manche Entscheidungen auf den ersten Blick willkürlich erscheinen, auch weil es allein in Deutschland 17 zuständige Aufsichtsbehörden gibt (eine für jedes Bundesland, Bayern hat sogar zwei). Die an den oben genannten Beispielen verdeutlichte Bandbreite der Beträge liegt angesichts der Vielzahl denkbarer Konstellationen und Fallgestaltungen auf der Hand. Um eine EU-weit einheitliche Bemessungspraxis herzustellen, hat der Europäische Datenschutzausschuss (EDSA) im letzten Jahr Guidelines veröffentlicht, welche eine praktische Methodik festlegen. Diese hier zu erläutern, würde den Rahmen sprengen.
Foto von Ibrahim Boran auf Unsplash