DSGVO: Bußgelder und Erkenntnisse

DSGVO: Bußgelder und Erkenntnisse

  • Abmahnwelle blieb aus
  • Bundesländer urteilten sehr unterschiedlich bei der DSGVO
  • EU-Ausland in der Regel härter bei Strafen

Datenschutz funktioniert: Die europäische Datenschutz-Grundverordnung trat am 24. Mai 2016 in Kraft und ist seit 25. Mai 2018 strafbewehrt gültig (wir berichteten in unserem DSGVO-Special beim Datenschutz-Podcast #Onlinegeister)

Bußgelder: Höhen der DSGVO-Bußgelder und Länder

Im internationalen Vergleich befindet sich Deutschland auf dem zweiten Platz, was die Höhe der Bußgelder angeht, aber nur im Mittelfeld, was die Anzahl an Bußgeldern anbelangt:

LandBußgelder in €Anzahl der Bußgelder
Italien57.393.000,-32
Deutschland52.986.633,-27
Frankreich51.350.000,-6
Vereinigtes Königreich42.816.000,-3
Österreich18.070.200,-8
Schweden7.085.430,-6
Spanien4.084.610,-147
Niederlande3.490.000,-6
Bulgarien3.210.690,-20
Norwegen1.038.960,-11
Übersicht der DSGVO-Bußgelder nach Land (Daten: enforcementtracker.com/?insights)

Am häufigsten wird in Spanien abgemahnt und in Italien wird es am teuersten.

DSGVO-Bußgelder in Deutschland

Aus einer Übersicht bei SocialMediaStatistik.de geht hervor geht hervor:

DSGVO: Deutschland auf Platz #2 mit höchsten Bußgeldern – DER Social-Media-Blog und Statistikpool

Europaweit ist Italien am teuersten bei DSGVO-Bußgeldern, aber in Spanien wird am häufigsten abgemahnt Deutschland mahnt seltener ab (27x im letzten Jahr), aber ist auf Platz #2 der teuersten Bußgeld-Länder Die meisten deutschen Bußgelder sind gering; doch zwei Bußgelder gegen H&M (35 Mio. Euro) und Deutsche Wohnen (14 Mio. Euro) …

Innerhalb Deutschlands wurde 2019 sehr unterschiedlich mit der DSGVO umgegangen. Die deutschen Bundesländer zeigen starke Unterschiede:

  • Nordrhein-Westfalen: 35 Bußgelder,
  • Berlin: 9 Bußgelder,
  • Rheinland-Pfalz: 8 Bußgelder,
  • Sachsen-Anhalt: 6 Bußgelder,
  • Baden-Württemberg: 5 Bußgelder,
  • Saarland: 3 Bußgelder,
  • Hamburg: 2 Bußgelder,
  • Mecklenburg-Vorpommern: 2 Bußgelder,
  • Bayern, Thüringen, Sachsen, Niedersachsen, Schleswig-Holstein, Brandenburg, Bremen, Hessen: keine Bußgelder

Am stärksten betroffen: 3 Unternehmen, welche zu je 80.000 € Bußgeld verurteilt wurden (leider sind die Namen nicht bekannt). Die N26-Bank wurde im Mai 2019 zu 50.000 € Strafzahlung verurteilt und bereits im November 2018 wurden die Betreiber hinter der Social-Media-Plattform Knuddels zu 20.000 € verurteilt.

Erkenntnisse: So wird die DSGVO angewendet

Erkenntnis #1: Abmahnwelle blieb aus

Die DSGVO hat nicht dazu geführt, dass plötzlich Anwälte und Datenschutzbehörden massenhaft abmahnen. Die befürchtete Abmahnwelle blieb aus. Das war auch weder Ziel noch Streben des Gesetzes. Vor der DSGVO gab es in der Europäischen Union zwar die Datenschutz-Richtlinie, doch diese war kaum mehr als ein netter Hinweis und außerdem von Anfang des Jahrtausends, also inzwischen herrenlos veraltet.

Die DSGVO hat den Datenschutz in Europa ins 21. Jahrhundert geholt; in eine Zeit von NSA-Affäre, Fake News & Co. wurde das höchste Zeit.

Um Abmahnungen zu vermeiden, empfehle ich unser DSGVO-Doppelspecial im Datenschutz-Podcast #Onlinegeister mit dem Thüringer Landesdatenschutzbeauftragten Dr. Lutz Hasse:

DSGVO, Teil 1: Countdown und Interview mit Thüringer Landesdatenschutzbeauftragten | Nr. 24 – #Onlinegeister

Podcast: Play in new window | Download | Embed Der Countdown läuft … nur noch wenige Tage bis zum Start der Datenschutz-Grundverordnung in Europa. Und wir haben den Thüringer Landesdatenschutzbeauftragten Lutz Hasse im Interview! Deswegen haben wir uns dazu entschieden den Podcast einen Tag früher online zu stellen.

DSGVO, Teil 2: Hörerfragen | Nr. 25 – #Onlinegeister

Podcast: Play in new window | Download | Embed Wie ab sofort immer gibt es die neue Folge einen Tag vor der regulären Ausstrahlung als Podcast: Die DSGVO ist seit einem Monat in Kraft und die von vielen erwartete Apokalypse ist ausgeblieben. Nichts destotrotz gibt es in vielen Bereichen nach wie vor Unklarheiten.

Erkenntnis #2: Unterschiedliche Umsetzung in den Ländern

Die einzelnen EU-Mitgliedsländer gehen sehr unterschiedlich vor bei der Umsetzung der DSGVO. In Deutschland selbst wurden im vergangenen Jahr 75 Bußgelder verhangen.

DSGVO: Bislang 75 Bußgelder wegen Verstößen

Die Datenschutzbeauftragten der Länder haben laut einem Medienbericht seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im vergangenen Mai in mindestens 75 Fällen Bußgelder verhängt. Die Gesamtsumme beträgt laut einer Umfrage der Welt am Sonntag 449.000 Euro. Die Zeitung hatte die Datenschutzbeauftragten der Länder befragt. 14 von 16 Bundesländern machten Angaben, Mecklenburg-Vorpommern und Thüringen nicht.

Erkenntnis #3: härtere Strafen im EU-Ausland

Im EU-Ausland ist die Situation krasser: In Portugal wurde eine Klinik mit 450.000 € abgemahnt, im Januar 2019 wurde Google in Frankreich zu 50 Mio. € verurteilt und aktuell im Vereinigten Königreich gibt es gegen den Hotelbetreiber Marriot 110 Mio. € Bußgeld und gegen British Airways 204 Mio. €.

DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott

Die britische Datenschutzaufsicht ICO (Information Commissioner’s Office) will gegen die Hotelkette Marriott wegen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld von 99,2 Millionen britischen Pfund verhängen (umgerechnet rund 110 Millionen Euro). Grund dafür ist ein Ende 2018 bekanntgewordener Hack gegen die Hotelkette, der Daten von vermutlich 339 Millionen Kunden kompromittierte.

Max. dürfen pro Fall 20 Mio. oder 4 % des globalen Brutto-Umsatzes als Bußgeld verhängt werden. Davon ist Google weit weg: Mutter Alphabet hatte 2018 einen Umsatz i.H. 136,8 Milliarden Dollar. 50 Mio. entspricht etwa 0,4 %, also nur ein Zehntel der maximalen Summe.

Fazit: DSGVO funktioniert – und Deutschland steht im Mittelfeld

Die DSGVO funktioniert – und wenn ich bedenke, wie teuer es werden könnte, sind die bisherigen Bußgelder nocht akzeptabel.

Aber es wird auch deutlich: Die Bußgelder nehmen in Höhe zu. Allerdings auch bei sehr großen Konzernen wie Marriott oder eben British Airways. Es gilt zu beobachten, wo sich die Bußgelder einpendeln. Gegen kleine und mittlere Unternehmen (KMU) wurde bislang nur moderat vorgegangen. Allerdings wird vorgegangen: In Österreich wurde selbst ein Döner-Kebab-Besitzer zu einer Strafzahlung verdonnert – in Höhe von 1.800 €.

Auch wichtig: Die Landesdatenschutzbehörden mahnen erstmal an, bevor sie abmahnen.