Datenschutz-Grundverordnung: Analyse der verhängten Bußgelder in Europa

Wesentlicher Treiber des Anstiegs der Bußgelder waren Verfahren gegen große Tech-Unternehmen in jeweils dreistelliger Millionenhöhe. Fälle mit Rekordsummen sind nur die Spitze des Eisbergs, denn Datenschutzbehörden verfolgen Rechtsverstöße gegen die Datenschutz-Grundverordnung über alle Branchen und Unternehmensgrößen hinweg. Besonders hoch ist das Bußgeldrisiko im Business-to-Consumer-Bereich, etwa Industry & Commerce oder Media, Telecoms and Broadcasting. Für das Risikomanagement sollten Unternehmen vor allem die Rechtsgrundlagen für die Datenverarbeitung sowie die Maßnahmen zur Informationssicherheit berücksichtigen. Neben Bußgeldern können Datenschutzbehörden auch die Beschränkung oder Untersagung von Datenverarbeitungen anordnen, wie dies jüngst im Fall eines Anbieters generativer KI durch die italienische Datenschutzbehörde Garante in Rede stand.

Datenschutz-Grundverordnung vor fünf Jahren in Kraft getreten

In den letzten fünf Jahren haben europäische Datenschutzbehörden die Sanktionsmöglichkeiten der Datenschutz-Grundverordnung (DSGVO) intensiv genutzt. Das zeigt die vierte Auflage des jährlichen Reports „Enforcement-Tracker“, den die internationale Wirtschaftskanzlei CMS jetzt veröffentlicht hat. Der englischsprachige Report analysiert alle öffentlich bekannten DSGVO-Bußgeldfälle in Europa auf Grundlage der von CMS betriebenen Online-Datenbank „GDPR Enforcement Tracker“.

Weniger als zwei Monate nach Anwendbarkeit der DSGVO ab dem 25. Mai 2018, wurde in Portugal das erste Bußgeld unter dem neuen (nahezu) vollständig harmonisierten Datenschutzrecht verhängt: 400.000 Euro musste der Betreiber eines Krankenhauses wegen zu weitreichender Zugriffsmöglichkeiten auf Patientendaten zahlen. Seither sind sowohl die Anzahl der öffentlich bekannten Fälle als auch die Summe der verhängten Bußgelder stetig angestiegen. Besondere Aufmerksamkeit erregten dabei naturgemäß die Fälle mit besonders hohen Bußgeldsummen, wie die ersten Fälle mit zwei- beziehungsweise dreistelligen Millionenbeträgen: Frankreich, 50 Millionen Euro im Januar 2019 und Luxemburg, 746 Millionen Euro im Juli 2021.

Anstieg der Bußgelder auf rund 2,77 Milliarden Euro

Im aktuellen Analysezeitraum zwischen März 2022 und März 2023 sind insgesamt 545 neue Bußgeldfälle bekannt geworden. Damit stieg die Gesamtzahl der Fälle seit Ende Mai 2018 auf 1.576 an. Die Gesamtsumme aller Bußgelder beträgt rund 2,77 Milliarden Euro (plus 1,19 Milliarden Euro) und überstieg zum ersten Mal die Zwei-Milliarden-Euro-Grenze. Wesentlicher Treiber für die Steigerung der Summen waren erneut mehrere Fälle mit Bußgeldern in dreistelliger Millionenhöhe gegen „Big Tech“-Unternehmen, die in diesem Jahr von der irischen Datenschutzbehörde verhängt wurden.

Hauptauslöser für die Verhängung von DSGVO-Bußgeldern war auch in diesem Jahr die Verarbeitung personenbezogener Daten ohne hinreichende Rechtsgrundlage. In diese Kategorie fallen fünf von zehn der höchsten Geldbußen in Europa. Weitere Auslöser für Bußgelder waren das Nichteinhalten der sogenannten „Grundsätze für die Verarbeitung personenbezogener Daten“ und unzureichende Maßnahmen zur Gewährleistung der Informationssicherheit.

Unternehmen aus dem ‚Business-to-consumer‘-Umfeld rücken häufiger in den Fokus der Datenschutzbehörden. In den Branchen ‚Industry & Commerce‘ sowie ‚Media, Telecoms and Broadcasting‘ wurden jeweils 358 beziehungsweise 213 Bußgelder verhängt; insgesamt mehr als die Hälfte aller Bußgelder im aktuellen Analysezeitraum. Die höchsten und am häufigsten verhängten Bußgelder betrafen auch in diesen Branchen die Rechtsgrundlage für die Datenverarbeitung und die Maßnahmen zur Datensicherheit. Eine relevante Anzahl von Bußgeldern bezog sich auf Videoüberwachung (CCTV) in unterschiedlichen Branchen und durch Privatpersonen sowie auf unzulässige Direktwerbung.

Dynamische Sanktionspraxis bei der Datenschutz-Grundverordnung

„Zum fünften Geburtstag der DSGVO bleibt die Sanktionspraxis im Datenschutz dynamisch. Zuletzt hat das Vorgehen der italienischen Datenschutzbehörde gegen einen Anbieter generativer KI gezeigt, dass auch die behördlichen Befugnisse jenseits der Bußgelder ernst zu nehmen sind“, sagt Michael Kamps, Rechtsanwalt und Partner bei CMS Deutschland. „Wenn eine Behörde anordnet, dass die Verarbeitung personenbezogener Daten beschränkt werden muss oder ganz untersagt wird, hat dies erhebliche Auswirkungen. Bußgelder sind derzeit allerdings noch die häufigere Sanktion. Die öffentlich bekannten Fälle können Anhaltspunkte für Handlungsschwerpunkte und ‚rote Linien‘ der Behörden geben.“

Dr. Fiona Savary aus dem Team zu Enforcement Tracker von CMS Deutschland ergänzt: „Auch bei der Anwendung der Sanktionsvorschriften der DSGVO bestehen, trotz der fünfjährigen Praxiserfahrungen, nach wie vor rechtliche Unsicherheiten. In vielen Fällen wird erst der Europäische Gerichtshof abschließend entscheiden. Es lohnt sich deshalb immer, die Rechtsauffassung einer Behörde kritisch zu prüfen. Das gilt ebenso für Bußgeldbescheide. Ein tragfähiges Compliance-Konzept im Bereich Datenschutz bleibt aber unerlässlich.“ (sg)

Lesen Sie auch: Schrems-II: Verschärfte DSGVO-Regeln in Kraft