29.06.2022 – Kategorie: Geschäftsstrategie

DSGVO-Bußgelder – Rückblick auf ein Jahr der Rekorde

Zum vierten Geburtstag der europäischen Datenschutzgrundverordnung im Mai 2022 wurde der jährliche GDPR Enforcement Tracker Report mit einer Auswertung der bislang verhängten DSGVO-Bußgelder veröffentlicht. Einen Überblick über die wichtigsten Entwicklungen gibt Dr. Alexander Schmid, Rechtsanwalt bei CMS Deutschland.

Ein Blick in den GDPR Enforcement Tracker Report verrät, dass 2021 ein ganz besonderes Jahr war. Es wurden innerhalb eines Jahres nicht nur 505 neue DSGVO-Bußgelder in die zugrundeliegende Datenbank des GDPR Enforcement Tracker aufgenommen – was fast eine Verdoppelung innerhalb eines Jahres von vorher 526 Bußgeldern darstellt. Mit neuen Rekordbußgeldern gegen einzelne Unternehmen in Höhe von bis zu 746 Millionen Euro und 225 Millionen Euro erreichte der Enforcement Tracker auch in der Höhe eine neue Marke: Mittlerweile sind DSGVO-Bußgelder mit einer Gesamtsumme von rund 1,5 Milliarden Euro in der Datenbank enthalten. Diese wurden von Mitarbeitenden der Kanzlei CMS recherchiert, gelesen, ausgewertet, übersetzt und leicht verständlich zusammengefasst.

DSGVO-Bußgelder
Der aktuelle GDPR Enforcement Tracker Report zeigt einen deutlichen Anstieg der verhängten DSGVO-Bußgelder seit Juni 2021. (Bild: CMS Legal Services EEIG)

Aufsichtsbehörden entwickeln Routine beim Verhängen von Bußgeldern

Der Trend, der sich aus diesen Zahlen ableiten lässt, ist klar: Auch vier Jahre nach Inkrafttreten der DSGVO hat diese nicht an Relevanz für Unternehmen verloren und die Bußgeldpraxis der Aufsichtsbehörden der einzelnen EU-Mitgliedstaaten und der deutschen Bundesländer hat anscheinend gerade erst Betriebstemperatur angenommen. Was im Enforcement Tracker Report 2021 noch als Rekordbußgeld galt, findet im Enforcement Tracker Report 2022 gerade noch in den „Top 10“ Platz. Ein Abflachen ist derzeit nicht zu erkennen.

Auch wenn naturgemäß die einzelnen Rekordbußgelder aus den „Top 10“ zu medialem Rummel führen und die Schlagzeilen der Presse füllen, so dürfen sich Unternehmen hiervon aber nicht täuschen lassen. Diese Rekordbußgelder bilden nur die Spitze des Eisbergs ab. Zwar liegt die durchschnittliche Betrag der zum Stand des Enforcement Tracker Reports 2022 insgesamt 1.088 ausgewerteten Bußgeldern relativ hoch bei rund 1,5 Millionen Euro. Dies ist aber ebenfalls den schwindelerregenden Rekordbußgeldern gegen „Big Tech“ geschuldet, welche die durchschnittliche Höhe der Bußgelder nach oben treiben. Lässt man diese Rekordhöhe in der Betrachtung außen vor, so ist zu erkennen, dass die Aufsichtsbehörden durchaus zahlreiche Bußgelder im unteren vierstelligen Bereich verhängen oder es gar bei Ermahnungen belassen, obwohl die Gesamtanzahl der veröffentlichten Verfahren durchaus signifikant zugenommen hat.

DSGVO-Bußgelder: Spanien ist Spitzenreiter in der EU

Hinsichtlich der Anzahl der veröffentlichten DSGVO-Bußgelder ist dabei nach wie vor Spanien der Spitzenreiter, mit einigem Abstand gefolgt von Italien und Rumänien. Dies mag daran liegen, dass die Aufsichtsbehörden in Spanien generell aktiver sind und für kleinere Verstöße Bußgelder verhängen. Spanien scheint aber auch kleinere Bußgelder konsequenter zu veröffentlichen, was im Gegensatz zur strikten Veröffentlichungspraxis beispielsweise der deutschen Aufsichtsbehörden naturgemäß zu höheren Zahlen führt.

Besonders relevant zeigen sich dabei Datenverarbeitungen ohne ausreichende Rechtsgrundlage. Die DSGVO sieht vor, dass jegliche Verarbeitung personenbezogener Daten nur dann statthaft ist, wenn hierfür eine ausreichende Rechtsgrundlage besteht. Relevanteste Rechtsgrundlagen für Unternehmen der Privatwirtschaft sind dabei die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und die allgemeine Interessensabwägung (Art. 6 Abs. 1 lit. f DSGVO). Für beide Rechtsgrundlagen wurden in Vergangenheit von den Aufsichtsbehörden und der juristischen Literatur zahlreiche Grundsätze gebildet, die von Unternehmen in der Anwendung beachtet werden müssen.

Spanien liegt an der Spitze bei der Anzahl der veröffentlichten DSGVO-Bußgelder. (Bild: CMS Legal Services EEIG)

DSGVO-Bußgelder: Basis sind Grundsätze der Datenverarbeitung

Weiterhin sind die allgemeinen Datenverarbeitungsgrundsätze zu beachten. Art. 5 der DSGVO enthält einen Katalog an Grundsätzen, der für jede Datenverarbeitung – unabhängig von ihrer Rechtsgrundlage – zu beachten ist. So müssen sich Unternehmen bei Datenverarbeitungen beispielsweise an die Prinzipien der Datensparsamkeit und Erforderlichkeit halten, also nicht mehr Daten verarbeiten, als dies für den jeweiligen Zweck erforderlich ist und Daten löschen, sobald diese für den ursprünglichen Verarbeitungszweck nicht mehr benötigt werden und keine Aufbewahrungspflichten bestehen.

Daten müssen schließlich gegen unbefugte und unrechtmäßige Verarbeitung geschützt werden, was einerseits technische Maßnahmen, andererseits aber auch organisatorische Maßnahmen zum Schutz von Daten (sogenannte technische und organisatorische Maßnahmen, TOMs) erfordert. Insbesondere muss durch technische Maßnahmen sichergestellt werden, dass nur autorisierte Personen Zugriff auf Datenverarbeitungssysteme und einzelne Datensätze haben. Daten sind zudem verschlüsselt zu speichern und zu übertragen, soweit dies wegen ihrer Sensitivität und dem damit verbundenen Risiko für die betroffenen Personen angezeigt ist.

Auch KMU auf dem Radar der Aufsichtsbehörden

Zusammenfassend ist festzustellen: Auch kleinere und mittelständische Unternehmen fliegen nicht unter dem Radar der Aufsichtsbehörden. Auch wenn es diesbezügliche Bußgelder meist nicht zu medialer Präsenz schaffen. Auch in kleineren und mittelständischen Unternehmen muss der Datenschutz also ernst genommen werden. Und es sollten Compliance-Konzepte aufgestellt und konsequent durchgesetzt werden. Datenschutzbußgelder führen nicht nur zu finanziellen Einbußen, sondern können der Vertrauenswürdigkeit des betroffenen Unternehmens schaden.

CMS Legal Services Schmid
Dr. Alexander Schmid ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Deutschland. (Bild: CMS Legal Services EEIG)

Über den Autor: Dr. Alexander Schmid ist Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS in Deutschland. Er berät börsennotierte Unternehmen ebenso wie den Mittelstand zu Fragen des deutschen und europäischen IT-, Internet- und Datenschutzrechts. Seine Expertise erstreckt sich insbesondere auf die Themenfelder Digitale Geschäftsmodelle, Industrie 4.0 und IT-Outsourcing. (sg)

Lesen Sie auch: Synthetische Daten: Wie Unternehmen sensible Daten DSGVO-konform nutzen können

Aufmacherbild: WrightStudio – Adobe Stock


Teilen Sie die Meldung „DSGVO-Bußgelder – Rückblick auf ein Jahr der Rekorde“ mit Ihren Kontakten:


Scroll to Top