Worum geht's?
Die Datenschutzbehörden machen bei Geldstrafen ernst: Ob VW, TikTok oder Uber - Strafen von mehreren Millionen Euro sind schon lange keine Seltenheit mehr. Die französische Datenschutzbehörde verhängte beispielsweise gegen Google ein DSGVO-Bußgeld in Höhe von 50 Millionen Euro. Und auch mittlere und kleine Unternehmen sind betroffen. So musste zum Beispiel Delivery Hero knapp 200.000 Euro Bußgeld in Deutschland zahlen. Aber wofür drohen eigentlich Geldbußen von den Datenschutzaufsichtsbehörden? Ahnden die Datenschutzbehörden wirklich jeden Verstoß gegen den Datenschutz? Und wie hoch können die Geldstrafen laut Datenschutz-Grundverordnung ausfallen? Gibt es einen allgemeingültigen Bußgeldkatalog?
1. DSGVO Bußgelder: Die Behörden zögern nicht lang
Sie bereiteten sich nicht auf die Datenschutzgrundverordnung (DSGVO) vor? An einigen Stellen hapert es noch? Die Ämter für Datenschutz folgen dem Grundsatz „Gnade vor Recht“ nicht mehr. Dass Deutschland alles andere als zimperlich ist, wenn es um das Vorgehen gegen die DSGVO-Verstöße geht, zeigt die Studie GDPR fines and data breach survey 2022 von DLA Piper. So wurden im europaweiten Vergleich in Deutschland die meisten Datenschutzverletzungen gemeldet.
Obwohl die Umsetzungsfrist der Regelungen laut Datenschutz im Mai 2018 ablief, sind unzählige Unternehmen noch immer nicht 100% DSGVO-konform. Deshalb müssen Sie jetzt rechtlich fit sein und Verstöße gegen den Datenschutz vermeiden. In unserem Artikel lesen Sie mehr zu DSGVO-Abmahnungen und was Sie dagegen tun können.
VORSICHT
Fragen Sie bei den Aufsichtsbehörden besser nicht um Rat. Ein Unternehmen ersuchte die Behörde für Datenschutz im Mai 2018 um Hilfe und erhielt statt einer Antwort eine Geldbuße in Höhe von 5.000 Euro. Größere Unternehmen müssen bei Datenschutzverstößen mit wesentlich höheren Strafen rechnen: Gegen Meta wurde ein Bußgeld von 1,2 Milliarden Euro verhängt und auch auf Apple soll sogar eine Strafe von 8 Milliarden Euro zukommen.
Ein DSGVO-Bußgeld wird zusätzlich zur Anordnung, den Verstoß zu unterlassen, verhängt. Zusätzlich bekommen die verantwortlichen Unternehmen eine Anweisung, die Missstände innerhalb einer gewissen Frist anzupassen.
2. Verhängte Bußgelder: Die wichtigsten Fälle
Wie hoch Bußgelder für Datenschutzverstöße tatsächlich werden können, sehen Sie anhand dieser Tabelle. Die wichtigsten Fälle von Land zu Land und je nach Geldbußen werden wir ab sofort fortlaufend für Sie als Überblick ergänzen.
Wann? | Gegen wen? | Wie hoch? | Warum? | Vorschrift? |
Dezember 2024 | Meta Platforms Ireland Ltd. | 251 Mio. Euro | Sicherheitslücke, bei der Unbefugte Zugriff auf 29 Mio. Nutzerkonten auf Facebook hatten, 3 Mio. davon in der EU. | Art. 25 Abs. 1 und 2, Art. 33 Abs. 3 und 5 DSGVO |
November 2024 | Ministerium für Klimakrise und Katastophenschutz in Griechenland | 50.000 Euro | Mangelhafte Kooperation mit den Datenschutzbehörden, keine Ernennung eines Datenschutzbeauftragten und fehlerhafte Sicherheitsmaßnahmen für die Datenverarbeitung | Art. 5 Abs. 1 lit a, c, f, Art. 12, Art. 25, Art. 30, Art. 31, Art. 32 Abs. 1 und 2 DSGVO |
Oktober 2024 | LinkedIn Ireland Unlimited Company | 310 Mio. Euro | Verbreitung von personenbezogenen Daten zur Verhaltensanalyse und Schaltung von Werbung ohne Einwilligung der Nutzer | Art. 5 Abs. 1 lit. a, Art. 6, Art. 6 Abs. 1 lit. a, b und f, Art. 13 Abs. 1 lit. c und Art. 14 Abs. 1 lit. c DSGVO |
September 2024 | CEGEDIM SANTÉ (Frankreich) | 800.000 Euro | Wiederholte Verarbeitung und Weiterleitung von nicht anonymisierten personenbezogenen Gesundheitsdaten an Kunden | Art. 5 Abs. 1 lit. a, Art. 66 Abs. 2 und 3 DSGVO |
August 2024 | Apoteket AB (Schweden) | 3,2 Mio. Euro | Implementierung des Meta-Pixels auf der Website ohne Einwilligung der Nutzer | Art. 32 Abs. 1 DSGVO |
Juli 2024 | Vodafone (Spanien) | 200.000 Euro | Keine Antwort auf behördliche Informationsanfragen | Art. 58 Abs. 1 DSGVO |
Juni 2024 | italienisches Energieunternehmen (Eni Plenitude SpA Società Benefit) | 6,4 Mio. Euro | Werbeanrufe ohne Einwilligung | Art. 5 Abs. 1 lit a, d, f, Art. 5 Abs. 2, Art. 6, Art. 24, Art. 25, Art. 28 DSGVO |
Mai 2024 | tschechisches Unternehmen Avast Software und Avast Limited | 14 Mio. Euro | Übermittlung von 100 Mio. Kundendaten ohne Genehmigung an Schwesterunternehmen | Art. 6 Abs. 1, Art. 13 Abs. 1 DSGVO |
April 2024 | kroatischer Glücksspiel- und Wettbetreiber | 51.000 Euro | u. a. setzen von Cookies ohne Information und Einwilligung der Nutzer | Art. 6 Abs. 1 lit. a, Art. 7, Art. 13 Abs. 1 und 2 DSGVO |
März 2024 | norwegische Arbeits- und Sozialbehörde | 1.730.627 Euro | Magelhafte technische und organisatiorische Maßnahmen - 12 Verstöße | Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1, 2 und 4 DSGVO |
Februar 2024 | spanische Bank Caixabank, S.A. | 5 Mio. Euro | Unbefugte Übermittlung einer Kundenrechnung an eine dritte Person | Art. 5 Abs. 1 lit. f, Art. 25, Art. 32 DSGVO |
Januar 2024 | Uber BV und Uber Technologies Inc. | 10 Mio. Euro | Fahrern wird es erschwert, ihre Datenschutzrechte auszuüben | Art. 12 Abs. 1 und 2, Art. 13 Abs. 1 und 2, Art. 15 Abs. 1 lit. d DSGVO |
Dezember 2023 | Offene Universität Zypern | 45.000 Euro | Mangelnde Sicherheitsvorkehrungen gegen Cyberangriff | Art. 5 und Art. 32 DSGVO |
November 2023 | Norwegische Arbeits- und Wohlfahrtsverwaltung | 1,7 Mio. Euro | Fehlende Schutzmaßnahmen für Verarbeitung personenbezogener Daten bei der Behörde für Sozialleistungen | Art. 5 Abs. 2, Art. 24 Abs. 1 und 2, Art. 32 Abs. 1, 2 und 4 DSGVO |
Oktober 2023 | H&M Hennes & Mauritz (schwedisches Modeunternehmen) | 30.265 Euro | unrechtmäßiger Versand von Newslettern nach Abmeldung und Widerspruch von sechs Betroffenen | Art. 6 Abs. 1, Art. 12 Abs. 2, 3 und Art. 21 Abs. 3 DSGVO |
September 2023 | TikTok Technology Limited | 345 Mio. Euro | Verstöße im Umgang mit Daten Minderjähriger wegen standardmäßiger öffentlicher Profile der minderjährigen Nutzer | Art. 25, Abs. 1 und 2, Art. 5 Abs. 1 lit. a, c, f, Art. 24. Abs. 1, Art. 12 Abs. 1, Art. 13 Abs. 1 lit. e DSGVO |
August 2023 | Humboldt Forum Service GmbH (deutsches Unternehmen) | 215.000 Euro | Verwendung von sensiblen Daten, um die Weiterbeschäftigung von Mitarbeitern einzuschätzen | Art. 9 Abs. 1 und Art. 6 DSGVO |
Juli 2023 | Tele2 Sverige Aktiebolag (schwedischer Mobilfunkanbieter) | 1.016.475 Euro | Unrechtmäßiger Datentransfern in die USA durch den Einsatz von Google Analytics | Art. 44 DSGVO |
Juni 2023 | Criteo (französisches Online-Marketing-Unternehmen) | 40 Mio. Euro | Verarbeitung von personenbezogenen Nutzerdaten ohne Einwilligung der Kunden | Art. 12, 13, 15 Abs. 1, Art. 7 Abs. 3, Art. 17 Abs. 1, Art. 26 DSGVO |
Mai 2023 | Meta Platforms Ireland Limited | 1.2 Mrd. Euro | Von der Social-Media-Plattform Facebook wurden personenbezogene Daten aus der EU/dem EWR an die USA übermittelt | Art. 46 Abs. 1 DSGVO |
April 2023 | Fitnesscenter-Kette SATS (Norwegen) | 858.590 Euro | Betroffenenrechte wurden nicht ordnungsgemäß umgesetzt | Art. 5 Abs. 1 lit a und e, Art. 6 Abs.1, Art. 12, Art. 13, Art. 15, Art. 17 DSGVO |
März 2023 | Region Venetien (Italien) | 100.000 Euro | Listen von ungeimpftem Gesundheitspersonal wurden unzulässiger Weise weitergegeben | Art. 5 und 6 DSGVO |
Februar 2023 | Digitale US-amerikanische Gesundheitsplattform GoodRX Holdings Inc. | 1.391.982 Euro | Unzulässige Weitergabe von sensiblen persönlichen Gesundheitsdaten an Werbeunternehmen | |
Januar 2023 | Meta Platforms Ireland Limited | 390.000.000 Euro | Vertragserfüllung bietet keine Rechtsgrundlage für personalisierte Werbung | Art. 6 DSGVO |
3. Bußgelder nach der DSGVO: Wie hoch können diese sein?
Wie hoch ein DSGVO Bußgeld ist, entscheiden die Landesbeauftragten der Aufsichtsbehörden im Einzelfall. Der Bußgeldrahmen ist schwindelerregend hoch und in Art. 83 DSGVO festgehalten. Der Art. 83 DSGVO berücksichtigt bei der Höhe von Geldbußen, was für eine Datenschutzverletzung vorliegt.
Einen expliziten Bußgeldkatalog gibt es nicht. Allerdings haben wir anhand der Vorgaben der Datenschutzkonferenz einen Bußgeldrechner erstellt. Die konkreten Berechnungen sind im Detail komplexer, allerdings bietet Ihnen der Bußgeldrechner eine erste Einschätzung für die mögliche Höhe von DSGVO-Bußgeldern.
Verletzt ein Unternehmen seine Zertifizierungs- oder Überwachungspflichten oder bestimmte Vorschriften laut Datenschutz, ist eine Buße von bis zu 10 Mio. Euro möglich. Die Aufsichtsbehörden verhängen alternativ eine Strafe von bis zu zwei Prozent des weltweiten Jahresumsatzes.
Für Firmen ist vor allem wichtig, dass die entsprechenden technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten getroffen werden. Andernfalls werden Betriebe schnell zur Kasse gebeten.
Sie verhängen immer den höheren Betrag. Missachtet ein Betrieb eine Anweisung einer Aufsichtsbehörde, sind die Geldbußen doppelt so hoch. Für Verstöße sind Strafen von bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes sind auch in anderen Situationen möglich. Eine Datenschutzverletzung ist zum Beispiel der Fall, wenn ein Unternehmen schwerwiegende Rechtsverstöße begeht. Diese sind in Art. 83 Absatz 5 DSGVO aufgelistet.
Höhe der Bußgelder je nach Art der Verstöße
Beispiel: Ein Unternehmen stellt einen Datenschutzbeauftragten ein. Dieser muss die Mitarbeiter im Unternehmen über die DSGVO und die damit verbundenen Pflichten aufklären. Führt der Betrieb keine internen Schulungen durch, sind Geldbußen gemäß DSGVO von bis zu zehn Mio. Euro fällig. Viel schwerwiegender ist es aber, wenn eine Firma gegen ihre gesetzlichen Informationspflichten verstößt. Veröffentlicht es keine Datenschutzerklärung, beträgt die Geldbuße bis zu 20 Mio. Euro.
Das Beispiel verdeutlicht, dass sich die Sanktionen und die Höhe der Geldbuße nach der Art der Datenschutzverstöße richtet. Viele Datenschutzverletzungen wenden Sie durch einfache Maßnahme ab. Die Kosten für eine Rechtsberatung sind hier vergleichsweise gering. Entdecken die Ämter für Datenschutz eine Datenschutzverletzung, ist eine Strafe oft unausweichlich.
Wonach bemisst sich die Höhe der Bußgelder laut Datenschutz-Grundverordnung?
Die Strafen bei Verstößen gegen die DSGVO müssen verhältnismäßig sein. Die Ämter für Datenschutz sehen sich jeden Datenschutzverstoß gesondert an und bewerten dann, wie schwerwiegend dieser ist.
-
Wie schwer ist die Datenschutzverstoß und wie lange hielt diese an?
-
Wie viele Personen betrifft die Datenschutzverstoß?
-
Welcher Schaden entstand?
-
Handelte das Unternehmen absichtlich?
-
Dämmte der Betrieb den Schaden ein?
-
Liegen mehrere Verstöße gegen den Datenschutz vor?
-
Handelt es sich um einen Wiederholungstäter?
-
War der Datenschutzbeauftragte des Unternehmens kooperativ?
-
Verschleierte die Firma den Datenschutzverstoß?
-
Gibt es mildernde Umstände?
Bei Verstößen richtet sich die Höhe des Bußgeldes nach diesen Fragen. Verstoßen Sie gegen die Datenschutzgesetze, handeln Sie am besten schnell. Betreiben Sie Schadensbegrenzung und beurteilen Sie anhand der oben aufgeworfenen Fragen, wie Sie am besten vorgehen.
4. Zahlreiche Beschwerden gegen Streaming-Anbieter
Der Datenschutzaktivist Max Schrems forderte von namhaften Streaming-Anbietern Auskünfte nach der DSGVO ein. Die betroffenen Betriebe verletzten ihre dahingehenden Auskunftspflichten. Der renommierte Aktivist für Datenschutz reichte daraufhin gegen alle Anbieter 2019 Beschwerden ein. Darunter befinden sich die Unternehmen YouTube, Spotify, Netflix, Amazon Prime und Apple Music. Aus diesen Beschwerden ergaben sich hohe Bußgelder für die Streaming-Giganten. Gegen Spotify wurde 2023 beispielsweise eine Strafe in Höhe von 5 Millionen Euro verhängt.
Die Bußgeldverfahren nach der DSGVO richten sich aber nicht nur gegen die Großen der Branche – es sind auch zahlreiche Beschwerden gegen mittelständische und kleine Firmen anhängig. Sie müssen sich nicht nur auf eine Geldbuße, sondern auch auf andere Strafen einstellen.
5. Diese Unternehmen sind bereits betroffen
Diese Betriebe bereiteten sich nicht gut genug auf die DSGVO vor. Deshalb verhängten die Ämter für Datenschutz Bußen gegen die Betroffenen.
notebooksbilliger.de: 10,4 Millionen Euro
Dem niedersächsischen Elektronikhändler notebooksbilliger.de wurde von der Landesbeauftragten für Datenschutz (LfD) Barbara Thiel ein Bußgeld von 10,4 Mio. Euro verhängt.
Als Grund dafür gab sie an, dass das Unternehmen, ohne eine dafür vorliegende Rechtsgrundlage, über einen Zeitraum von mindestens zwei Jahren seine Mitarbeiter per Video überwacht hat. Die Kameraüberwachung erstreckte sich über die Arbeitsplätze, Lager und Aufenthaltsbereiche.
Auch Kunden der notebooksbillger.de-Filiale in Hannover waren von der Überwachung betroffen. Die Videokameras wären dort auf Sitzgelegenheiten im Verkaufsraum gerichtet gewesen.
WUSSTEN SIE'S`?
Gemäß Art. 6 DSGVO unterliegt die Erfassung und Speicherung von Videoaufnahmen strengen Regeln. Dazu zählt, dass ein berechtigtes Interesse daran bestehen und ein Verarbeitungszweck festgelegt werden muss. Dazu zählt beispielsweise der Schutz von Eigentum oder der Gesundheit von Mitarbeitern sowie die Beweismittelerhebung zur Durchsetzung zivilrechtlicher Ansprüche.
Google: 50 Millionen Euro
Den Internetgiganten Google erwischte es eiskalt. Die französische Datenschutzbehörde CNIL verhängte ihr erstes Bußgeld gegen Google. Dieses betrug 50 Mio. Euro und sanktionierte einen rechtswidrigen Einrichtungsprozess auf dem Betriebssystem Android.
Die Behörde für Datenschutz bemängelte, dass Nutzer des Betriebssystems Android essenzielle Datenschutzinformationen nicht oder nur schwer einsehen können. So könnten sie nur schwer herausfinden, wie lange Google die Nutzerdaten speichert und wie es diese weiterverarbeitet.
Außerdem sei es nicht rechtskonform, wie der Nutzer der Erstellung eines Accounts bei Google zustimmen müsse. Auch das Einstellungsmenü für personalisierte Werbung sei rechtswidrig. Hier seien individuelle Einstellungsmöglichkeiten umständlich versteckt.
Delivery Hero: fast 200.00 Euro
Das Berliner Unternehmen muss wegen nicht gelöschter Kundendatensätzen und unzulässigen Werbemails ein Bußgeld von 195.407 Euro zahlen. Das ist das höchste Bußgeld gegen einen Betrieb in Deutschland, das wegen Datenschutzverstößen nach der DSGVO bisher rechtskräftig verhängt wurde.
Kolibri Image: 5.000 Euro
Das Unternehmen Kolibri Image ersuchte den Hamburger Landesbeauftragten im Mai 2018 um Rat. Die kleine Firma bat einen ihrer Dienstleister mehrfach um einen Vertrag zur Auftragsverarbeitung, bekam diesen aber nicht.
Sie war ratlos und fragte nach, wie sie nun vorgehen solle. Der Landesbeauftragte antwortete, dass beide Seiten zu solch einem Vertragsschluss verpflichtet seien. Kolibri Image müsse den Vertrag deshalb selbst absenden und dürfe den Dienstleister erst nach Vertragsschluss beauftragen.
Der Landesbeauftragte versendete am 17.12.2018 einen Bußgeldbescheid von 5.000 Euro zuzüglich 250 Euro Gebühren. Er begründete den Bescheid gegenüber dem Betrieb mit einem Verstoß gegen Art. 83 Absatz 4 DSGVO. Der Grundsatz „Fragen kostet nichts“, traf hier nicht zu.
Knuddels: 20.000 Euro
Auch das Chatportal Knuddels musste ein DSGVO Bußgeld zahlen. Der Betreiber der Plattform informierte seine überwiegend jungen Kunden im September 2018 erstmalig über eine Datenpanne. Auf einer Filesharing-Seite veröffentlichten Nutzer über 800.000 E-Mail-Adressen, die aus der Datendank von Knuddels stammen.
Die Betreiber fanden die Ursache schnell heraus: Die Nutzerdaten lagen unverschlüsselt und im Klartext auf einem älteren Server. Knuddels reagierte umgehend und verbesserte sofort die IT-Sicherheit im Unternehmen.
Die baden-württembergische Datenschutzbehörde lobte den Betreiber für sein vorbildliches Verhalten. Deshalb war das Bußgeld mit 20.000 Euro vergleichsweise gering.
Kliniken
Eine Klinik musste ein DSGVO Bußgeld zahlen, da es einen Schwerbehindertenausweis versehentlich an einen falschen Patienten aushändigte.
Banken
Die Datenschutzbehörden verhängten Sanktionen gegen verschiedene Banken. Dort konnten Bankkunden beim Online-Banking die Kontoauszüge anderer Personen einsehen.
Onlineshops
Auch viele Onlineshops mussten bereits Sanktionen zahlen. Beispielsweise, weil Hacker unbefugt Daten ihrer Kunden kopierten.
Feuerwehr
Eine Feuerwehrzentrale in Bremen zeichnete sämtliche Telefonate mit Personen auf. Dies ist aber nur bei Notrufen erlaubt. Darauf reagierten die Behörden mit einem Bußgeld.
Videoüberwachung
Unternehmen, die Videokameras nutzen, erhielten schon oft Sanktionen. Diese müssen ihre Kameras DSGVO-konform ausrichten.
Arbeitsrecht
Die DSGVO wirkt sich auch auf das Arbeitsrecht aus. Richten Sie Bewerbungsprozesse unbedingt nach den Vorgaben der Datenschutz-Grundverordnung und der BDSG aus. Holen Sie als Arbeitgeber für die Datenverarbeitung immer eine Einwilligung der Bewerber ein.
6. Checkliste
- Bestellen Sie einen Datenschutzbeauftragten oder einen Anwalt.
- Richten Sie sämtliche Prozesse im Unternehmen nach der DSGVO aus.
- Nutzen Sie ein Datenschutz-Management-System, um Ihre Datenverarbeitungsprozesse zu dokumentieren und zu verwalten.
- Holen Sie für eine Datenverarbeitung immer eine Einwilligung ein.
- Melden Sie Datenschutzverletzungen schnellstmöglich.
7. Die fünf wichtigsten Fragen zur DSGVO und Bußgeldern
Alles, was Sie wissen müssen