DSGVO-Bußgeld: Wie teuer kann es werden?

Wir hatten kürzlich darüber berichtet, dass die von Aufsichtsbehörden verhängten Bußgelder wegen Datenschutzverstößen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen Risikoeinschätzung: Wie hoch könnte ein Bußgeld für einen ganz konkreten Verstoß ausfallen? Diese Frage lässt sich jedoch kaum seriös beantworten, hängt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhängt wurden, das Spektrum aufzuzeigen. 

Insgesamt wurden in Deutschland seit Geltung der DSGVO 329 Bußgelder verhängt. Europaweit sind es 2.427 solcher Strafen. Ein Großteil der in Deutschland verhängten Bußgelder betrifft Fälle unerlaubter Telefonwerbung (insbesondere durch Energieversorger und Telekommunikationsanbieter). Hierfür wurden Bußgelder zwischen 5.000,00 und 300.000,00 Euro verhängt, was die Bandbreite verdeutlicht. Erschreckend viele Bußgelder mussten gegen Polizistinnen und Polizisten wegen unberechtigter Datenbankabfragen verhängt werden.

Unternehmen

Bußgeld

DSGVO-Verstoß

H&M Hennes & Mauritz Online Shop A.B. & Co. KG

35.258.708,00 Euro

Erfassung privater Informationen hunderter Mitarbeiter (“Bespitzelung”)

notebooksbilliger.de AG

10.400.000,00 Euro

Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden über mindestens zwei Jahre

BREEBAU GmbH

1.900.000,00 Euro

Verarbeitung sensibler Daten von Mietinteressenten (z.B. Körpergeruch, Frisur) ohne Rechtsgrundlage

AOK Baden-Württemberg

1.240.00,00 Euro

Nutzung der Daten von 500 Gewinnspielteilnehmern zu Werbezwecken ohne Rechtsgrundlage (hier: Einwilligung)

Hannoversche Volksbank

900.000,00 Euro

Auswertung von Kundendaten ohne Rechtsgrundlage

Unbekannt (produzierendes Gewerbe)

400.000,00 Euro

Aufzeichnung von Kundenanrufen ohne Einwilligung

Verschiedene Energieanbieter

5.000,00 bis 300.000,00 Euro

Telefonwerbung

Delivery Hero Germany GmbH

195.407,00 Euro

Mehrere Verstöße, u.a. keine Löschung ehemaliger Kundendaten, unterwünschte Werbe-E-Mails

Finanzunternehmen

80.000,00 Euro

Unsachgemäße Entsorgung personenbezogener Daten

Online-Shop-Betreiber

65.500,00 Euro

Betrieb eines Online-Shops mit veralteter, unsicherer Version von xt:Commerce

Hamburger Verkehrsverbund GmbH

20.000,00 Euro

Verspätete Meldung einer Datenpanne

Knuddels GmbH & Co. KG

20.000,00 Euro

Hackerangriff, Verlust von Daten von 330.000 Nutzern wegen unzureichender Sicherheitsvorkehrungen

Kapitalgesellschaft

18.200,00 Euro

Auskunft an Betroffene mehrmals nicht erfüllt

Unternehmen der Erwachsenenbildung

13.021,00 Euro

Fehlende Joint Controller Vereinbarung

Schwimmbad-Betreiber

12.000,00 Euro

Unerlaubte Videoüberwachung, fehlender AV-Vertrag, keine Benennung eines Datenschutzbeauftragten

Rapidata GmbH

10.000,00 Euro

Fehlende Benennung eines Datenschutzbeauftragten

Labor

7.638,00 Euro

Keine Datenschutzerklärung, unrechtmäßige Verwendung von Google Tools

Handel

1.200,00 Euro

Nichterteilung einer Auskunft

Verein

500,00 Euro

Versendung einer E-Mail an einen falschen Verteiler

Beschäftigter eines Restaurants

250,00 Euro

Nutzung von Kontaktdaten (Corona-Kontaktverfolgung) zu privaten Zwecken

 

Rechtlicher Hintergrund

Den Rahmen für die Höhe von Bußgeldern gibt Art. 83 Abs. 4 und 5 DSGVO vor: Die Höchstgrenze beträgt für schwerwiegendere Datenschutzverstöße 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatz des Unternehmens, je nach dem, welches der höhere (!) Betrag ist. Innerhalb des breiten Spektrums von null bis zu eben jener Höchstgrenze soll eine angemessene Strafe festgelegt werden. Bei der Zumessung des Betrages sind nach Art. 83 Abs. 2 Satz 2 DSGVO folgende Kriterien zu berücksichtigen:

  • Art, Schwere und Dauer des Verstoßes (insbesondere Art, Umfang, Zwecks der betreffenden Datenverarbeitung, Zahl der betroffenen Personen, Ausmaßes des Schadens);
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • etwa ergriffene Maßnahmen zur Schadensminderung;
  • Grad der Verantwortung (insbesondere technische und organisatorische Maßnahmen);
  • etwaige frühere einschlägige Verstöße des Unternehmens;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Kategorien der personenbezogenen Daten, die betroffen sind (je sensibler, desto schwerer wiegt der Verstoß);
  • Art und Weise, wie der Aufsichtsbehörde der Verstoß bekannt wurde (z.B. Selbstanzeige oder Fremdanzeige);
  • Einhaltung etwaiger vorher von der Behörde angeordneten Maßnahmen;
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren;
  • sonstige erschwerende oder mildernde Umstände (z.B. durch den Verstoß erlangte finanzielle Vorteile).

Einerseits gibt die DSGVO den Behörden also einen recht konkreten Bemessungskatalog an die Hand. Andererseits bleibt dennoch ein erheblicher Ermessensspielraum, weshalb manche Entscheidungen auf den ersten Blick willkürlich erscheinen, auch weil es allein in Deutschland 17 zuständige Aufsichtsbehörden gibt (eine für jedes Bundesland, Bayern hat sogar zwei). Die an den oben genannten Beispielen verdeutlichte Bandbreite der Beträge liegt angesichts der Vielzahl denkbarer Konstellationen und Fallgestaltungen auf der Hand. Um eine EU-weit einheitliche Bemessungspraxis herzustellen, hat der Europäische Datenschutzausschuss (EDSA) im letzten Jahr Guidelines veröffentlicht, welche eine praktische Methodik festlegen. Diese hier zu erläutern, würde den Rahmen sprengen.

 

Foto von Ibrahim Boran auf Unsplash

Countdown läuft: Umsetzungsfrist der neuen Standarddatenschutzklauseln endet

Die EU-Kommission hatte die neuen Standarddatenschutzklauseln (SCC) bereits im Juni letzten Jahres veröffentlicht. Die darin festgesetzte Frist zur Umsetzung der SCC in Altverträgen endet in wenigen Tagen. Diese sollen das europäische Datenschutzniveau für die Übertragung personenbezogener Daten in Drittländer außerhalb der EU sicherstellen.

Read more

Update: Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework

Nachdem US-Präsident Joe Biden am 07.10.2022 ein Dekret für ein neues Datenschutzabkommen zwischen den USA und der EU unterzeichnet hatte, erging nun der erwartete Angemessenheitsbeschluss der EU-Kommission. Darin stellte die Kommission fest, dass die USA ein der EU angemessenes Schutzniveau für die Datenübermittlung sicherstellen könne. Unter anderem sollen US-Unternehmen künftig verpflichtet werden, personenbezogene Daten nach der Übertragung zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind. Daneben sollen EU-Bürger bei Verstößen ihre Beschwerde gegenüber einem neu geschaffenen US-Gericht für Datenschutz erheben können. Dadurch soll ein effektiver Rechtsschutz für EU-Bürger und die sichere Übertragung von transatlantische Datenströme gefördert werden.

Der österreichische Datenschützer Max Schrems, der mit seinem Vorgehen vor dem Europäischen Gerichtshof das Privacy Shield Abkommen gekippt hatte, äußerte sich kritisch gegenüber dem Entwurf:

Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.

noyb [Datenschutzorganisation von Max Schrems] erwägt rechtliche Schritte.

 

Wie geht es weiter?

Die Kommission hat ihren Beschlussentwurf dem Europäischen Datenschutzausschuss (EDSA) vorgelegt, um seine Zustimmung einzuholen. Nach Abschluss des Verfahrens kann der endgültige Angemessenheitsbeschluss erlassen werden. Das könnte bereits im Frühjahr 2023 geschehen.

 

Photo by Conny Schneider on Unsplash

 

Update: Google äußert sich zu Google Fonts

Anfang diesen Jahres hatte das Landgericht München I einem Internetnutzer Schadensersatz zugesprochen, weil seine Daten durch die externe Einbindung von Google Fonts an Google Server in den USA übermittelt wurden (wir hatten berichtet). Dieses Urteil nahmen einige zum Anlass, ein lukratives Geschäft mit Abmahnungen gegenüber Website-Betreibern zu machen, die Google Fonts einsetzen. Zwischenzeitlich rollte eine regelrechte Abmahnwelle über Deutschland und Österreich. Bis heute wenden sich Unternehmen an uns, die Post von Abmahnanwälten erhalten haben.

Nun äußert sich endlich auch der Tech-Gigant Google selbst in einem Blogbeitrag zu der Problematik.

In Anbetracht der jüngsten Ereignisse und der Medienberichterstattung über Google Fonts halten wir es für notwendig, die folgende Erklärung abzugeben:

[…] Google respektiert die Privatsphäre des Einzelnen. Die Google Fonts-Web-API ist so konzipiert, dass die Erfassung, Speicherung und Verwendung von Daten auf das beschränkt wird, was für die effiziente Bereitstellung von Schriftarten und für Nutzungsstatistiken erforderlich ist. Diese Daten werden sicher und getrennt von anderen Daten aufbewahrt. Google verwendet die von Google Fonts gesammelten Informationen nicht für andere Zwecke und insbesondere nicht für die Erstellung von Profilen von Endnutzern oder für Werbung. Außerdem ist die Tatsache, dass die Server von Google notwendigerweise IP-Adressen erhalten, um Schriftarten zu übertragen, keine Besonderheit von Google und entspricht der Funktionsweise des Internets.

Wenig überraschend verteidigt Google das eigene Geschäftsmodell und stellt die IP-Übermittlung als rein technisch notwendigen Vorgang dar. An der rechtlichen Würdigung dürfte dieses Argument jedoch in einem hypothetischen Gerichtsverfahren wenig ändern, schlichtweg weil es eine einfache, datensparsame Alternative gibt: die lokale Speicherung der Schriftart.

Auf der anderen Seite: Was heißt “lokal”? Kein Unternehmen hostet seine Website auf eigenen Servern im Keller, sondern bei kommerziellen Hosting-Providern. Dazu kommt: Websites sind heute nicht mehr statische html-Skripte. Stattdessen sind sie aus einer Vielzahl verschiedener Inhalte unterschiedlichster Art von verschiedenen Anbietern zusammengesetzt (Fotos, Videos, Landkarten, Animationen, Chatfunktionen etc.). Dieser Content wird in aller Regel von externen Diensten bereitgestellt, sodass beim Aufruf fast jeder Website Datenverbindungen zu mehreren externen Servern aufgebaut werden. Wo läuft die Grenze zwischen “guten” und “bösen” Dienstleitern? Welche Datenverbindungen sind erforderlich und welche nicht? Es stellt sich hier die grundsätzliche Frage: Was für ein Internet möchten wir? Welche Antwort die Politik und Gesetzgebung mittelfristig auf diese Frage findet, bleibt abzuwarten.

 

Photo by Brett Jordan on Unsplash

Licht am Ende des Tunnels? Neues Datenschutzabkommen zwischen EU und USA wird konkreter 

Nach bereits zwei gescheiterten Abkommen zwischen den USA und der EU soll nun das neue Datenschutzabkommen „Trans-Atlantic Data Privacy Framework“ wieder für mehr Rechtssicherheit beim transatlantischen Datentransfer sorgen. Dadurch soll sichergestellt werden, dass die Übermittlung von personenbezogenen Daten aus der EU in die USA auf einem angemessenen (sprich: europäischen) Schutzniveau erfolgen soll. Ob das neue Regelwerk wirklich geeignet ist, den Unternehmen die Unsicherheit beim Datentransfer zu nehmen und insbesondere ob das Abkommen einer Prüfung durch den EuGH standhalten wird, bleibt bisher noch offen. Read more

Schluss mit Cookie-Bannern?

Unser Alltag im Internet ist geprägt von Cookies. Bei jedem Besuch einer Webseite wird der Nutzer mit Einwilligungsanfragen belästigt. Deshalb befürchten Webseitenbetreiber, dass durch das Einbinden des Consent-Management-Tools die Nutzer durch die Banner abgeschreckt werden und der Traffic auf der Internetseite zurück geht. Darauf reagiert der BMDV nun mit seinem Entwurf einer „Einwilligungsverwaltungs-Verordnung“.

Read more