Die jährliche Umfrage zu DSGVO-Bußgeldern von dsgvo-portal.de, dem führenden Berichtsmedium über Bußgelder im Umfeld des Datenschutzes und der DSGVO, hat für das Jahr 2021 eine im Vergleich zum Vorjahr ernüchternde Bilanz ergeben. Obwohl die Anzahl der Verfahren um knapp 24 Prozent gestiegen ist, wurden im Jahr 2021 von deutschen Aufsichtsbehörden insgesamt nur noch 2,1 Millionen Euro an Geldstrafen verhängt. Im Vorjahr lag die Summe noch bei 48,2 Millionen Euro.
Die höchste Sanktion im Zusammenhang mit Datenschutz-Verletzungen in 2021 verhängte die Aufsichtsbehörde Hamburg mit 901.000 Euro gegen den Energieversorger Vattenfall wegen des missbräuchlichen Abgleichs der Daten von Neukunden und früheren Kunden im Rahmen eines Bonus-Programms.
Auch die Zahl der in Deutschland gemeldeten Datenpannen ging von mehr als 26.000 Fällen im Jahr 2020 auf knapp 14.000 für das Jahr 2021 zurück.
Die Gesamtzahl an Bußgeldern, welche die deutschen Landesdatenschutzbehörden in 2021 verhängt haben, beträgt 373 – das bedeutet gegenüber dem Vorjahr eine Steigerung um 89 Verfahren. Spitzenreiter sind Thüringen mit 72 Fällen gefolgt von Nordrhein-Westfalen mit 57, Niedersachsen mit 42, Sachsen mit 38 und Hessen mit 29 Vorkommnissen. Bayern (im nicht-öffentlichen Bereich) und Mecklenburg-Vorpommern haben leider keine Angaben gemacht. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat wie bereits im Vorjahr keine Bußgelder verhängt.
Müde Behörden oder gestiegenes Datenschutzniveau in Unternehmen?
Will man die Zahlen direkt miteinander in Beziehung zu setzen, so müssen einige zusätzliche Informationen berücksichtigt werden, um das Bild nicht zu verzerren: Anders als im Jahr 2020 mit seinen „Big Blocks“ gegen H&M (33,5 Mio. Euro) sowie notebooksbilliger.de (10,4 Mio. Euro) gab es im Jahr 2021 kein einziges Datenschutz-bezogenes Bußgeld über einer Million Euro.
Die Mehrheit der Geldstrafen bewegte sich im drei- bis vierstelligen Bereich und betraf dabei neben Privatpersonen eine Vielzahl von kleinen Unternehmen. Wie der Datenschutz- und IT-Sicherheitsexperte Martin Holzhofer erklärte, bemessen sich die Bußgelder unter anderem an der Umsatzhöhe, so dass auch ein nominell kleiner Betrag für ein derartiges Unternehmen sehr wohl spürbar sein könne. Die Zurückhaltung der Behörden, hohe Bußgelder auszusprechen, könnte ihre Ursache in der uneinheitlichen Rechtsprechung haben. So wurde das Verfahren mit über 14,5 Millionen Euro Bußgeld gegen die Deutsche Wohnen SE vom Landgericht Berlin eingestellt. Die Richter erklärten, dass Bußgelder gegen juristische Personen nur dann rechtmäßig sind, wenn einer Leitungsperson oder gesetzlichen Vertretern der Datenschutzverstoß nachgewiesen werden kann. Der Fall wurde dem Europäischen Gerichtshof vorgelegt. Aus Sicht der Behörden erscheint ein Abwarten der Gerichtsentscheidung nachvollziehbar, damit sich nicht weitere Millionenbußgelder in Luft auflösen.
„Ein deutlich gestiegenes Datenschutzniveau hingegen ist nicht anzunehmen“, weiß Martin Holzhofer aus praktischen Erfahrungen. „Viele Unternehmen haben noch einen langen Weg zur Umsetzung der DSGVO vor sich. Auch die sich immer dynamischer entwickelnden Geschäftsprozesse, die mit einer gestiegenen Anzahl an internationalen Dienstleistern einhergehen, stellen die Unternehmen bei Compliance mit der DSGVO vor große Herausforderungen.“
Vergleich zu anderen europäischen Ländern
Mit Blick auf diese Entwicklung in Deutschland lohnt sich ein Vergleich mit anderen EU-Staaten. Bringt es Deutschland pro einer Million Einwohner auf 4,5 Bußgeldverfahren im Zusammenhang mit der DSGVO, so liegt dieser Wert mit 5,1 in Spanien deutlich höher. Zudem wurden 2021 allein in Spanien sechs Bußgelder zwischen 1 und 8,15 Millionen Euro verhängt.
In Italien wurden in 2021 sieben Bußgelder zwischen 800.000 Euro und 26.5 Millionen Euro wegen Datenschutzverletzungen ausgesprochen.
Frankreich verhängte in 2021 fünf Strafen im Zusammenhang mit der DSGVO mit Beträgen zwischen 1 Million Euro und 90 Millionen Euro.
In Summe haben die EU-Datenschutzbehörden im Jahr 2021 Bußgelder in der Rekordhöhe von einer Milliarde Euro verhängt.
Im Vergleich zu den europäischen Nachbarn erscheint der Spielraum bei der Bußgeldzumessung in Deutschland bei weitem noch nicht ausgeschöpft.
Ursachen von Datenschutzverletzungen
Bei den Ursachen für bußgeldbewehrte Datenschutzverletzungen zeigen sich drei Schwerpunkte: Verstöße gegen die Auskunfts- und Informationspflichten (Art. 12 bis 15 DSGVO), die unrechtmäßige Verarbeitung personenbezogener Daten, wie z.B. durch Videoüberwachung oder unzulässige Datenbankabfragen, sowie Übermittlung von Daten an Dritte (Art. 5 und 6 DSGVO) und fehlende bzw. unzureichende Schutzmaßnahmen der Datenverarbeitungssysteme. „Der überwiegende Teil der Datenschutzverstöße und der daraus folgenden Bußgelder und Rufschäden wäre mit wenig Aufwand vermeidbar gewesen“, kommentiert Martin Holzhofer. „Wirksame Schutzmaßnahmen und gut gemachte Schulungen, die das Datenschutzwissen in die Köpfe der Mitarbeiter bringen, müssen nicht immer teuer sein.“
Über dsgvo-portal.de:
Das DSGVO-Portal ist ein Onlineservice rund um die Datenschutzgrundverordnung (DSGVO). Das Portal bietet die umfangreichste Datenbank EU-weit publizierter Verstöße gegen die DSGVO und anderer Datenschutzgesetze. Darüber hinaus liefert der Dienst Rechtstexte, Bußgeldrechner sowie Services und Beratung. Ab April 2022 stehen die Kategorien Sicherheitsvorfälle (weltweit) und Gerichtsentscheidungen (Deutschland) im Zusammenhang mit Datenschutz-Verletzungen zur Verfügung.