DSGVO-Strafen: Häufigkeit und Höhen

Im Jahr 2018 hat der europäische Gesetzgeber mit der Datenschutz-Grundverordnung (DSGVO) das gesetzliche Fundament für den Datenschutz in der EU gelegt. Heute dient es bereits als Vorbild für andere Rechtsordnungen weltweit. Die im Gesetz vorgesehenen DSGVO-Strafen können durchaus hoch ausfallen. Wie dies jedoch in der Praxis aussieht, ist weit weniger transparent.

DSGVO-Strafen: Neue Regeln für Unternehmen

Auf dem europäischen Markt tätige Unternehmen, unabhängig von Größe und Branche, wurde mit der DSGVO die Pflicht aufgebürdet, ihre internen Prozesse an die weitreichenden Anforderungen der DSGVO anzupassen. Selbst für Großkonzerne hat sich das als eine zeit- und mittelaufwändige Herausforderung dargestellt. Ganz zu schweigen von kleinen und mittleren Unternehmen. 

Die DSGVO sieht strenge Strafen für Vergehen vor, die als prozentualer Anteil des weltweiten Umsatzes berechnet werden und bei großen Unternehmen auch Millionenhöhe erreichen können.

Trendwende bei den Strafen

Anfangs schienen die europäischen Datenschutzbehörden auf Information und Kooperation statt Abmahnungen und Bußgelder zu setzen – was zu einer gewissen Entspannung in vielen Unternehmen führte. Allerdings zeigt die Bilanz der verhängten Bußgelder nach viereinhalb Jahren DSGVO einen Umbruch bei der Durchsetzung.

Anzahl der verhängten DSGVO-Strafen (kumuliert) laut GDPR Enforcement Tracker

Höhe der verhängten DSGVO-Strafen (kumuliert) laut GDPR Enforcement Tracker

Diese statistischen Daten spiegeln die öffentlich bekannten Fälle wider. Allerdings laufen die meisten Verfahren der Datenschutzbehörden hinter geschlossenen Türen ab, sodass die tatsächliche Anzahl der verhängten Bußgelder weitgehend unbekannt bleibt.

Darstellung nach Vorbild von CMS Legal

Mehr Meldungen, mehr DSGVO-Strafen

Nach einer aktuellen Studie von DLA Piper wurden den europäischen Datenschutzbehörden allein im Jahr 2021 mehr als 130.000 Verstöße gegen den Schutz personenbezogener Daten gemeldet – im Durchschnitt 356 Meldungen pro Tag, ein Anstieg um 8 % gegenüber dem Durchschnitt von 331 Meldungen pro Tag im Jahr 2020. Der Trend, dass die Zahl der täglich gemeldeten Datenschutzverletzungen in Europa zunimmt, hat sich auch im vergangenen Jahr fortgesetzt, das dritte Jahr in Folge.

Als logische Konsequenz haben sich die DSGVO-Strafen laut der Studie fast um das Siebenfache im Vergleich zum vorigen Jahr erhöht und die Milliardenmarke erreicht. 

DSGVO-Strafen: Deutschland im Spitzenfeld

Im nationalen Vergleich nimmt Deutschland den Spitzenplatz bei der Zahl der gemeldeten Datenschutzverstöße ein und liegt mit 35 Millionen Euro auch unter den Ländern mit den höchsten verhängten Einzelbußgeldern.

Wie es sich aus den veröffentlichten Entscheidungen von Datenschutzbehörden ergibt, wird die unzureichende Rechtsgrundlage für die Datenverarbeitung und die Missachtung der allgemeinen Datenschutzprinzipien am häufigsten geahndet. 

Der dritthäufigste Grund für die Verhängung von Bußgeldern sind unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit – eine Datenschutzverletzung, die im Lichte des “Schrems II”-Urteils des EuGH die Aufmerksamkeit einer Reihe von Aufsichtsbehörden (Österreich, Frankreich, Italien, Dänemark) auf sich gezogen hat.

Die Datenschutzbehörden in der Europäischen Union haben in den vergangenen Jahren die Europäische Datenschutz-Grundverordnung (DSGVO) immer häufiger durchgesetzt. Die Gesamtzahl der in diesem Zeitraum in der Union verhängten Bußgelder ist jedoch nach wie vor undurchsichtig, da viele Entscheidungen nicht veröffentlicht werden. Wir haben das Thema bereits in einem separaten Blogbeitrag behandelt.

Was die maximale Höhe der verhängten Bußgelder angeht, bietet die Datenschutz-Grundverordnung drakonische Regelungen. Viele Business Leader, Datenschutzbeauftragte und Marketer fragen sich jedoch, wie sich dies in der Praxis auswirkt. Wovon hängt die Höhe der Geldbußen ab, die von den Datenschutzbehörden verhängt werden, wenn Unternehmen gegen die Verordnung verstoßen?

So hoch können DSGVO-Strafen sein

Die europäische Datenschutz-Grundverordnung (DSGVO) ermöglicht es den europäischen Datenschutzbehörden (DSB), Unternehmen mit Geldbußen von bis zu vier Prozent ihres Jahresumsatzes zu belegen, wenn diese gegen die Anforderungen der Verordnung für die Erhebung, Verarbeitung und Nutzung von Daten verstoßen.

Die Festsetzung der verhängten Strafhöhe bleibt den Datenschutzbehörden dabei aber selbst überlassen. Artikel 83 der DSGVO gibt hierfür lediglich einen Rahmen vor, der bei der Strafbemessung herangezogen und berücksichtigt werden soll. Gemäß diesem müssen die DSB vor allem sicherstellen, dass die im Rahmen der DSGVO verhängten Bußgelder wirksam, verhältnismäßig und abschreckend sind. Es hat sich weiters gezeigt, dass sich die Datenschutzbehörden bei der Festlegung der Strafhöhe, insbesondere bei hohen Geldbußen, an den Leitlinien des EuGHs orientieren.

Demnach sollten höhere Strafen verhängt werden, wenn eine oder mehrere der folgenden vier Bedingungen erfüllt sind:

Erstens, wenn die Zahl der betroffenen Personen und der daraus resultierende Schaden dies rechtfertigen.

Zweitens kann die Datenschutzbehörde, wenn in einem bestimmten Fall mehrere Verstöße begangen wurden, eine höhere Geldbuße verhängen und/oder Abhilfemaßnahmen vorschreiben.

Drittens ist der Verschuldensgrad bei der Bemessung von Geldstrafen heranzuziehen. In den Leitlinien heißt es dazu beispielsweise, dass vorsätzliches Verhalten seitens des für die Verarbeitung Verantwortlichen oder das Versäumnis, geeignete Präventivmaßnahmen zu ergreifen, bei der Bewertung der Höhe der Geldbuße durch die Datenschutzbehörde eine Rolle spielen.

Viertens stellt aber auch die Dauer des Verstoßes einen ausschlaggebenden Faktor dar.

Zwei Stufen für DSGVO-Strafen

Die DSGVO sieht darüber hinaus ein zweistufiges Bußgeldsystem vor, welches Aufschluss darüber gibt, welche Elemente der DSGVO die EU für besonders wichtig hält und welche die höchsten Bußgelder verdienen.

Die erste Stufe gilt für Verstöße gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter; der Zertifizierungsstelle und der Überwachungsstelle und ist auf 10.000.000 Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Wert höher ist) begrenzt.

Die zweite Stufe ist auf 20.000.000 Euro oder 4 Prozent des weltweiten Jahresumsatzes begrenzt und umfasst Verstöße gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung; die Rechte der betroffenen Person; die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation; etc.

Bemerkenswert ist hierbei vor allem, dass bisher etwa nur gegen die Hälfte aller 42 Artikel der DSGVO, die zu Sanktionen führen können, Geldbußen verhängt wurden und die Höchstgrenze dabei noch nicht erreicht wurde.

Interpretationsspielraum bei der Strafhöhe

Darüber hinaus enthalten aber viele Artikel der DSGVO Anforderungen, die Auslegungssache sind. So werden beispielsweise in Artikel 5 die Grundsätze für die Verarbeitung personenbezogener Daten aufgeführt: Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.

Verstöße gegen diese Grundsätze können die höchsten nach der Verordnung zulässigen Geldbußen nach sich ziehen (Stufe 2), aber mehrere dieser hochrangigen Grundsätze, welche die wichtigsten Säulen der DSGVO darstellen, können von den Datenschutzbehörden sehr unterschiedlich ausgelegt werden. Die Verordnung enthält dafür kaum konkrete Angaben, so dass zur Beantwortung dieser Fragen auf die Rechtsprechung zurückgegriffen werden muss.

Abschließend lässt sich festhalten, dass den DSB bei der Festlegung der konkreten Strafhöhe ein weiter Interpretations- und Anwendungsspielraum zukommt, dem ein bewegliches System der oben genannten Kriterien zugrunde liegt. Nichtsdestotrotz hat sich in den vergangenen Jahren jedoch klar gezeigt, dass sowohl die Anzahl als auch die Höhe der verhängten Strafen kontinuierlich gestiegen ist und ein Abreißen davon nicht zu erwarten ist.

Die wichtigsten Links: 

DSGVO-Strafen können Unternehmen mit dem richtigen Tracking ganz leicht vermeiden.

Für weiterführende Informationen, wie Sie DSGVO-Strafen vermeiden können, empfehlen wir diesen umfassenden Leitfaden von DataGuard: DSGVO Bußgeld und Haftung – Vermeiden Sie unnötige Strafen

Quellen:
DLA Piper Studie zu DSGVO-Bußgeldern |  GDPR Enforcement Tracker Report | enforcementtracker.com  | DLA Piper GDPR fines and data breach survey