Die 2018 eingeführte Europäische Datenschutzgrundverordnung (DSGVO) hat sich zu einem scharfen Schwert entwickelt. Die nationalen Aufsichtsbehörden verhängen immer mehr und auch zunehmend hohe Bußgelder gegen Unternehmen, die gegen die Vorgaben zum Schutz personenbezogener Daten verstoßen. Das war nicht immer so. In der Vor-DSGVO-Ära fielen die Bußgelder gemäß vergleichsweise niedrig aus. Einige Unternehmen nahmen daher lieber das Bußgeldrisiko in Kauf, als in den Datenschutz zu investieren. Das hat sich komplett geändert: Ein ganzheitliches Datenschutzkonzept ist für Unternehmen heute ein Muss und ähnlich wertvoll wie einst eine Lebensversicherung.
Das Wichtigste in Kürze
- Häufigkeit und Höhe von Bußgeldern nehmen europaweit zu.
- Ein Bußgeld ist nur eine von vielen möglichen Negativfolgen bei Verstößen gegen die Vorschriften zum Schutz personenbezogener Daten.
- Nicht für jede Datenpanne wird auch ein Bußgeld verhängt. Haftung und Höhe des Bußgeldes hängen von verschiedenen Kriterien ab.
- Im Hinblick auf die Haftung empfiehlt sich ein externer Datenschutzbeauftragter.
- Unternehmen können ihr Bußgeldrisiko systematisch minimieren.
In diesem Beitrag
- Welche DSGVO Bußgelder und Konsequenzen drohen bei einem Datenschutzverstoß?
- Wie haben sich die DSGVO Bußgelder zuletzt entwickelt?
- Welches sind die häufigsten DSGVO Verstöße und Haftungsgründe?
- Ziehen Datenpannen immer ein DSGVO Bußgeld nach sich?
- Welche Kriterien sind für Fragen der Haftung und die Höhe des Bußgeldes entscheidend?
- Wie gehen Behörden beim Festlegen der DSGVO Bußgelder vor?
- So senken Sie Ihr Haftungsrisiko und vermeiden Bußgelder
- Datenschutz Haftung: Wer ist eigentlich verantwortlich?
- Fazit: DSGVO Bußgelder lassen sich weitestgehend vermeiden
Welche DSGVO Bußgelder und Konsequenzen drohen bei einem Datenschutzverstoß?
In den Artikeln 83 und 84 verpflichtet die DSGVO die zuständigen nationalen Aufsichtsbehörden in der EU dazu, mit Sanktionen gegen Datenschutzverstöße vorzugehen. Auch den Strafrahmen hat der europäische Gesetzgeber definiert. Den Unternehmen und Organisationen, die gegen die Regelungen der DSGVO verstoßen, drohen Bußgelder in Höhe von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Gesamtjahresumsatzes, den das Unternehmen im vorherigen Geschäftsjahr weltweit erwirtschaftet hat. Als Bemessungsgrundlage wird der jeweils höhere Betrag herangezogen.
Ein Bußgeld ist jedoch nur eine von vielen Sanktionen, mit denen Unternehmen bei einem Datenschutzverstoß rechnen müssen. Hinzu kommen weitere Negativfolgen mit zum Teil erheblichen Auswirkungen. Massive Imageverluste zum Beispiel: Wer die personenbezogenen Daten seiner Kunden nicht schützt, verliert im schlimmsten Fall jedes Vertrauen und damit die eigene Geschäftsgrundlage. Betroffene Kunden oder Beschäftigte könnten zudem auf Schadenersatz klagen. Je nach Art des Datenschutzverstoßes sind auch Klagen wegen unlauteren Wettbewerbs zu erwarten. Zudem kann es sein, dass die Aufsichtsbehörde die Verarbeitung von personenbezogen Daten so lange einschränkt oder untersagt, bis das Unternehmen alle Datenschutzvorgaben erfüllt.
Wie haben sich die DSGVO Bußgelder zuletzt entwickelt?
Bei Anzahl und Höhe der verhängten Bußgelder gehen die Trends europaweit klar nach oben. Das bestätigt schon ein Blick auf die Zahlen: Waren es 2020 in der gesamten EU gerade mal Bußgelder in Höhe von 306,3 Millionen Euro, so wurden bereits in den ersten drei Monaten des Jahres 2022 Bußgelder in Höhe von 308,8 Millionen Euro verhängt. Auch die Rekordsummen erreichen in beide Richtungen immer neue Extreme. So lag das geringste in den ersten drei Monaten des Jahres 2022 verhängte Bußgeld bei gerade mal 27 Euro.
Zahlen musste diese symbolische Summe eine öffentliche Bildungseinrichtung in Ungarn, weil sie auf ihrem YouTube-Kanal minderjährige Schülerinnen und Schüler ohne datenschutzrechtliche Rechtsgrundlage zeigte. Die ungarische Datenschutzbehörde stellte in diesem Zusammenhang sowohl Verstöße gegen die Grundsätze der Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung fest, als auch eine Verletzung der Informationspflicht auf Seiten des Bußgeldempfängers und verlangte das Ergreifen geeigneter Maßnahmen. Die Bildungseinrichtung kam dieser Aufforderung jedoch nicht fristgerecht nach. Folge war das Bußgeld.
Alles andere als symbolisch war dagegen das im Juli 2021 gegen Amazon Europa in Luxemburg verhängte Bußgeld in Höhe von 746 Millionen Euro. Es ist die aktuell höchste Strafe in der Geschichte der DSGVO. Vorangegangen waren eine Beschwerde und eine damit verbundene Sammelklage von rund 10.000 Verbrauchern, die sich gegen ein Werbe-Targeting ohne erfolgte Einwilligung richtet. Amazon bestreitet die Vorwürfe und wehrt sich.
Welches sind die häufigsten DSGVO Verstöße und Haftungsgründe?
Pauschal lässt sich dies nach vier Jahren DSGVO gar nicht mehr sagen. Zu den Klassikern gehören aber ohne Zweifel folgende Versäumnisse und Vorkommnisse:
- Lücken in der IT-Security: Viele Datenschutzverletzungen und Bußgelder gehen auf Datenpannen und fehlende IT-Sicherheitsmaßnahmen zurück.
- Unrechtmäßige Datenerhebung: Kein Kavaliersdelikt, aber dennoch recht häufig sind Datenerhebungen ohne Rechtsgrundlage.
- Missachten von Löschfristen und fehlende Datenminimierung: Unternehmen dürfen Daten laut DSGVO weder in beliebigem Umfang noch auf unbestimmte Zeit erheben und aufbewahren. Beides geschieht dennoch relativ häufig.
- Unzureichende Datenschutzerklärungen: In diesen müssen Unternehmen und Organisationen insbesondere ihrer Informationspflicht zum Datenschutz nachkommen. Dies erfolgt im Sinne der DSGVO nicht immer hinreichend.
Neben diesen Klassikern gibt es zahlreiche weitere Datenschutzverstöße, die von den Aufsichtsbehörden inzwischen konsequent mit Bußgeldern geahndet werden. Darunter finden sich auch kuriose Fälle und solche, die zeigen, dass sich Unternehmen selbst mit vermeintlich cleveren Winkelzügen nicht aus der Verantwortung ziehen können.
Ein Beispiel dafür ist der Fall der spanischen Caixabank S.A.
Kunden des Finanzinstituts hatten sich bei der Aufsichtsbehörde über das Einwilligungsmanagement der Bank beschwert. Bei der Nutzung ihres Online-Accounts wurden die Kunden aufgefordert, allen gelisteten und bereits vorangekreuzten Arten der Datennutzung zuzustimmen. Wer etwa der Übermittlung seiner Daten an Dritte oder dem Newsletterbezug aktiv nicht zustimmte, bekam eine monatliche Gebühr in Höhe von 5 Euro in Rechnung gestellt. Die Freiwilligkeit der Einwilligung war nach Auffassung der Behörde damit nicht mehr gegeben. Diese verhängte im Februar 2022 daher ein Bußgeld in Höhe von 2 Millionen Euro.
Ziehen Datenpannen immer ein Bußgeld nach sich?
Die Antwort lautet Nein. Datenpannen können passieren – selbst, wenn ein Unternehmen alle denkbaren Vorkehrungen zum Schutz personenbezogener Daten getroffen und entsprechende Maßnahmen konsequent umgesetzt hat. Dies ist auch den Aufsichtsbehörden bewusst. Deshalb prüfen Sie jeden gemeldeten Datenschutz-Vorfall sorgsam und ermitteln, ob und in welchem Umfang die Verantwortlichen haftbar zu machen sind. Die Zahlen belegen dies: So wurden den Landesdatenschutzbehörden in Deutschland 2021 insgesamt 13.890 Datenpannen gemäß Artikel 33 DSGVO gemeldet. Im gleichen Zeitraum stellten die Behörden jedoch nur 373 Bußgeldbescheide aus, zum Teil allerdings in schmerzlichen Höhen – der mit gut 900.000 Euro höchste Bescheid ging an den Energieversorger Vattenfall. In Österreich wurden bei der zuständigen Datenschutzbehörde im Jahr 2021 insgesamt 1131 Fälle von Sicherheitsverletzungen erledigt.
Welche Kriterien sind für Fragen der Haftung und die Höhe des Bußgeldes entscheidend?
Bei der Frage, ob und in welcher Höhe ein Bußgeld festzusetzen ist, haben Aufsichtsbehörden gemäß DSGVO einen großen Ermessensspielraum. Berücksichtigt werden insbesondere folgende Kriterien:
- Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von Ihnen erlittenen Schadens
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- jegliche getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortung im Hinblick auf die technischen und organisatorischen Maßnahmen
- frühere Verstöße gegen Datenschutz
- Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Kategorien personenbezogener Daten, die von den Verstoß betroffen sind
- Art und Weise, wie der Verstoß bekannt gemacht wurde (insbesondere Selbstanzeige)
- die Einhaltung früher angeordneter Maßnahmen
- jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste
Wie gehen Behörden beim Festlegen der DSGVO Bußgelder vor?
Art und Umfang der Sanktionen sowie das Vorgehen beim Festlegen der Bußgelder sind national geregelt. Zahlreiche Entscheidungen zu den bis jetzt verhängten Strafen wurden von den jeweiligen Unternehmen angefochten und sind noch nicht rechtskräftig.
Der Europäische Datenschutzausschuss hat bereits im Jahr 2017 Richtlinien zur Anwendung und Festsetzung von Bußgeldern veröffentlicht, um zur Vereinheitlichung in Europa beizutragen. Leider gibt es bis dato keine finale Version. Damit bleibt eine verlässliche europaweite Blickweise auf die Verhängung von Strafen noch abzuwarten.
So senken Sie Ihr Haftungsrisiko und vermeiden Bußgelder
- Setzen Sie auf die Einführung eines Datenschutzmanagements.
- Durch interne Schulungen sensibilisieren Sie Mitarbeiter für den Datenschutz.
- Informieren Sie transparent über Ihren Umgang mit personenbezogenen Daten.
- Holen Sie sich - wenn notwendig - die korrekten Einwilligungen der Nutzer ein, um ihre Daten zu verwenden.
- Beachten Sie die Grundsätze zur Verarbeitung von Daten.
- Setzen Sie Privacy by Design und Privacy by Default um.
- IT-Security hilft dabei vor kostspieligen Datenpannen zu schützen.
- Treffen Sie technische organisatorische Maßnahmen (TOM).
- Implementieren Sie das Recht auf Vergessen und beachten Sie die Löschfristen.
- Binden Sie Ihren Datenschutzbeauftragten rechtzeitig ein.
Datenschutz Haftung: Wer ist eigentlich verantwortlich?
Mögliche Bußgelder und Schadenersatzforderungen richten sich gegen das verantwortliche Unternehmen. Je nach Unternehmensform also gegen natürliche Personen wie die Inhaber eines Unternehmens oder deren Geschäftsführer und Vorstände. Auch diese können unter Umständen bei DSGVO-Verstößen persönlich und mit ihrem Privatvermögen haften, da sie laut Aufgabenbeschreibung für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich sind. Bei schuldhaftem Verhalten eines Mitarbeitenden können die Regressmöglichkeiten durch das Arbeitnehmerschutzgesetz begrenzt sein. Gleiches gilt auch im Hinblick auf einen internen Datenschutzbeauftragten. Trifft dieser fehlerhafte Entscheidungen oder versäumt es, nötige Maßnahmen zu ergreifen, gelten dennoch die Begrenzungen der Arbeitnehmerhaftung.
Fazit: DSGVO Bußgelder lassen sich weitestgehend vermeiden
Mit einem maßgeschneiderten Datenschutzmanagement und einem externen Datenschutzbeauftragten wie DataGuard können Unternehmen ihr DSGVO Bußgeldrisiko reduzieren. Empfehlenswert ist dies angesichts empfindlicher Bußgeldhöhen ebenso wie im Hinblick auf mögliche Schadenersatzforderungen oder andere nachteilige Folgen. Denn datenschutzrechtliche Belange interessieren die Öffentlichkeit zusehends: Wenn bekannt wird, dass Daten bei einem Unternehmen nicht sicher sind, wird es schwer, dem Wettbewerb standzuhalten. Ohne das Vertrauen der Kunden lassen sich keine Geschäfte tätigen. Der Datenschutz muss daher bei jeder Maßnahme im Unternehmen von Anfang an ganzheitlich mitgedacht werden.
Gerne stehen wir Ihnen bei der Umsetzung der DSGVO zur Seite und helfen Ihnen dabei, Bußgelder zu vermeiden. Die erste Beratung ist dabei kostenlos.