DSGVO-Bußgeld: Wie teuer kann es werden?
Wir hatten kürzlich darüber berichtet, dass die von Aufsichtsbehörden verhängten Bußgelder wegen Datenschutzverstößen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen Risikoeinschätzung: Wie hoch könnte ein Bußgeld für einen ganz konkreten Verstoß ausfallen? Diese Frage lässt sich jedoch kaum seriös beantworten, hängt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhängt wurden, das Spektrum aufzuzeigen.
Insgesamt wurden in Deutschland seit Geltung der DSGVO 329 Bußgelder verhängt. Europaweit sind es 2.427 solcher Strafen. Ein Großteil der in Deutschland verhängten Bußgelder betrifft Fälle unerlaubter Telefonwerbung (insbesondere durch Energieversorger und Telekommunikationsanbieter). Hierfür wurden Bußgelder zwischen 5.000,00 und 300.000,00 Euro verhängt, was die Bandbreite verdeutlicht. Erschreckend viele Bußgelder mussten gegen Polizistinnen und Polizisten wegen unberechtigter Datenbankabfragen verhängt werden.
Unternehmen Bußgeld DSGVO-Verstoß
H&M Hennes & Mauritz Online Shop A.B. & Co. KG
35.258.708,00 Euro
Erfassung privater Informationen hunderter Mitarbeiter (“Bespitzelung”)
notebooksbilliger.de AG
10.400.000,00 Euro
Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden über mindestens zwei Jahre
BREEBAU GmbH
1.900.000,00 Euro
Verarbeitung sensibler Daten von Mietinteressenten (z.B. Körpergeruch, Frisur) ohne Rechtsgrundlage
AOK Baden-Württemberg
1.240.00,00 Euro
Nutzung der Daten von 500 Gewinnspielteilnehmern zu Werbezwecken ohne Rechtsgrundlage (hier: Einwilligung)
Hannoversche Volksbank
900.000,00 Euro
Auswertung von Kundendaten ohne Rechtsgrundlage
Unbekannt (produzierendes Gewerbe)
400.000,00 Euro
Aufzeichnung von Kundenanrufen ohne Einwilligung
Verschiedene Energieanbieter
5.000,00 bis 300.000,00 Euro
Telefonwerbung
Delivery Hero Germany GmbH
195.407,00 Euro
Mehrere Verstöße, u.a. keine Löschung ehemaliger Kundendaten, unterwünschte Werbe-E-Mails
Finanzunternehmen
80.000,00 Euro
Unsachgemäße Entsorgung personenbezogener Daten
Online-Shop-Betreiber
65.500,00 Euro
Betrieb eines Online-Shops mit veralteter, unsicherer Version von xt:Commerce
Hamburger Verkehrsverbund GmbH
20.000,00 Euro
Verspätete Meldung einer Datenpanne
Knuddels GmbH & Co. KG
20.000,00 Euro
Hackerangriff, Verlust von Daten von 330.000 Nutzern wegen unzureichender Sicherheitsvorkehrungen
Kapitalgesellschaft
18.200,00 Euro
Auskunft an Betroffene mehrmals nicht erfüllt
Unternehmen der Erwachsenenbildung
13.021,00 Euro
Fehlende Joint Controller Vereinbarung
Schwimmbad-Betreiber
12.000,00 Euro
Unerlaubte Videoüberwachung, fehlender AV-Vertrag, keine Benennung eines Datenschutzbeauftragten
Rapidata GmbH
10.000,00 Euro
Fehlende Benennung eines Datenschutzbeauftragten
Labor
7.638,00 Euro
Keine Datenschutzerklärung, unrechtmäßige Verwendung von Google Tools
Handel
1.200,00 Euro
Nichterteilung einer Auskunft
Verein
500,00 Euro
Versendung einer E-Mail an einen falschen Verteiler
Beschäftigter eines Restaurants
250,00 Euro
Nutzung von Kontaktdaten (Corona-Kontaktverfolgung) zu privaten Zwecken
Rechtlicher Hintergrund
Den Rahmen für die Höhe von Bußgeldern gibt Art. 83 Abs. 4 und 5 DSGVO vor: Die Höchstgrenze beträgt für schwerwiegendere Datenschutzverstöße 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatz des Unternehmens, je nach dem, welches der höhere (!) Betrag ist. Innerhalb des breiten Spektrums von null bis zu eben jener Höchstgrenze soll eine angemessene Strafe festgelegt werden. Bei der Zumessung des Betrages sind nach Art. 83 Abs. 2 Satz 2 DSGVO folgende Kriterien zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes (insbesondere Art, Umfang, Zwecks der betreffenden Datenverarbeitung, Zahl der betroffenen Personen, Ausmaßes des Schadens);
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
- etwa ergriffene Maßnahmen zur Schadensminderung;
- Grad der Verantwortung (insbesondere technische und organisatorische Maßnahmen);
- etwaige frühere einschlägige Verstöße des Unternehmens;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Kategorien der personenbezogenen Daten, die betroffen sind (je sensibler, desto schwerer wiegt der Verstoß);
- Art und Weise, wie der Aufsichtsbehörde der Verstoß bekannt wurde (z.B. Selbstanzeige oder Fremdanzeige);
- Einhaltung etwaiger vorher von der Behörde angeordneten Maßnahmen;
- Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren;
- sonstige erschwerende oder mildernde Umstände (z.B. durch den Verstoß erlangte finanzielle Vorteile).
Einerseits gibt die DSGVO den Behörden also einen recht konkreten Bemessungskatalog an die Hand. Andererseits bleibt dennoch ein erheblicher Ermessensspielraum, weshalb manche Entscheidungen auf den ersten Blick willkürlich erscheinen, auch weil es allein in Deutschland 17 zuständige Aufsichtsbehörden gibt (eine für jedes Bundesland, Bayern hat sogar zwei). Die an den oben genannten Beispielen verdeutlichte Bandbreite der Beträge liegt angesichts der Vielzahl denkbarer Konstellationen und Fallgestaltungen auf der Hand. Um eine EU-weit einheitliche Bemessungspraxis herzustellen, hat der Europäische Datenschutzausschuss (EDSA) im letzten Jahr Guidelines veröffentlicht, welche eine praktische Methodik festlegen. Diese hier zu erläutern, würde den Rahmen sprengen.
Foto von Ibrahim Boran auf Unsplash