Rückblick DSGVO-Bußgeldverfahren und Datenpannen 2020

Mit einem weiteren Bußgeldbescheid in Millionenhöhe endete das vergangene Jahr. Dem Elektronikhändler notebooksbilliger.de AG wurde im Dezember 2020 ein Bußgeldbescheid in Höhe von 10,4 Mio. Euro zugestellt. Der Vorwurf: Das Unternehmen habe Mitarbeiter mittels Videokameras überwacht.

Der Landesbeauftrage für den Datenschutz Niedersachsen machte diese Information per Pressemitteilung kund. Ein in Deutschland seltenes Ereignis. Das DSGVO-Portal hat daher bei den Behörden nachgefragt, welche Bußgelder im vergangen Jahr verhängt und wieviel Datenpannen nach Art. 33 DSGVO den Behörden gemeldet worden sind.

283 Bußgelder mit einem Gesamtbetrag in Höhe von 48,1 Mio. Euro wurden von den Behörden verhängt. Ein Anstieg zum Vorjahr um ca. 50 Prozent. Zum Jahresende 2019 wurden noch 187 Bußgelder gezählt. Mit 93 Verfahren steht die Aufsicht in Nordrhein-Westfalen an der Spitze, gefolgt von Thüringen mit 39 und Sachsen mit 30.

Höchstes Bußgeld in Hamburg

Bei der Bußgeldhöhe führt die Hamburger Datenschutzaufsichtsbehörde mit einem Bußgeld gegen H&M. Die deutsche Niederlassung des schwedischen Bekleidungsunternehmens hatte in seinem Nürnberger Service-Center hunderte Mitarbeiter bespitzelt und dafür ein Bußgeld von 35,3 Mio. Euro erhalten. Es ist damit zugleich auch das bislang höchste in Deutschland verhängte Bußgeld für Datenschutzverstöße. Platz zwei im Ranking belegt das Bußgeld gegen notebooksbillger.de, gefolgt von einem geahndeten DSGVO-Verstoß gegen die AOK Baden-Württemberg mit 1,24 Mio. Euro. Die Krankenkasse hatte Daten von mehreren hundert Gewinnspielteilnehmern für Werbemaßnahmen zweckentfremdet.

Diese Rekordbußgelder dürfen jedoch nicht darüber hinwegtäuschen, dass die überwiegende Zahl der in Bußgeldverfahren festgesetzten Beträge sich im drei- bis vierstelligen Euro-Bereich bewegt. Diese betreffen nicht die großen internationalen Konzerne, sondern kleine und mittelständische Unternehmen sowie natürliche Personen.

Auffällig bei den Umfrageergebnissen ist, dass der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), im Jahr 2020 keinen einzigen Bußgeldbescheid ausgestellt hatte. Möglicherweise wollte die Behörde zunächst das Gerichtsurteil im Bußgeldverfahren gegen die 1&1 Telekom abwarten. Für die Zumessung dieses Bußgelds kam das  Konzept der Deutschen Datenschutzkonferenz (DSK) zur Anwendung. Einige Rechtsexperten kritisierten schon vor dem Verfahren, dass sich das Berechnungsmodell vorwiegend auf den Unternehmensumsatz stützt. Am 11. November 2020 wurde die Datenschutzverletzung dem Grunde nach zwar vom Gericht bestätigt, aber die Bußgeldhöhe wurde von ursprünglichen 9,55 Mio. auf nur noch 900 Tsd. Euro deutlich reduziert. Auch die Aufsichtsbehörden in Bayern, Bremen und Schleswig-Holstein (ULD) haben im Vorjahr kein Bußgeld verhängt. Bei der einst als strengste wahrgenommene Aufsichtsbehörde ULD scheint ein Kurswechsel stattgefunden zu haben: Weder im Jahr 2019, noch im vergangen Jahr wurden Bußgeldbescheide ausgestellt.

Zu den häufigsten Verstößen gehören Verletzungen gegen die Auskunfts- und Informationspflichten (Art. 12 bis 15 DSGVO), die unrechtmäßige Verarbeitung personenbezogener Daten (Art. 5 und 6 DSGVO) wie beispielsweise Videoüberwachung, unzulässige Datenbankabfragen sowie die Übermittlung von Daten an Dritte. Auch fehlende oder unzureichende Schutzmaßnahmen für die Datenverarbeitung (Art. 32 DSGVO) gehören zu den geahndeten Verstößen, nicht selten im Zusammenhang mit dem Versand von Dokumenten. Bei letzterem erinnert eine Entscheidung daran, dass die DSGVO auch außerhalb des Digitalen Anwendung findet: Ein Steuerberater wurde dafür abgestraft, dass er Akten in einem Parkhaus gelagert hatte. Selbst Vereine mussten kleinere Bußgelder bezahlen, weil sie ohne gültige Einwilligungen Listen von Vereinsmitgliedern in sozialen Medien veröffentlichten.

Ebenso fällt auf, dass gehäuft Vorfälle geahndet wurden, bei denen eine natürliche Person im Rahmen ihrer beruflichen Tätigkeit verarbeitete Daten zu anderen (nicht selten privaten) Zwecken missbraucht hatte. So wurden mehrere Bußgelder für unautorisierte Datenbankabfragen oder die Verwendung von Kontaktdaten für private Kontaktaufnahme verhängt, z.B. gegenüber Bediensteten der Polizei.

Mit Blick auf die COVID-19-Pandemie ist ferner die Tatsache interessant, dass mehrere Bußgelder gegen Gastronomie-Betriebe im Zusammenhang mit der Kontaktnachverfolgung verhängt worden sind. In diesem Sinne hatte die Debatte rund um Datenschutz, welche die Implementierung von Corona-Eindämmungsmaßnahmen ganzjährig begleitet hat, reale Auswirkungen – sowohl für die Betroffenen als auch die Betriebe und Lokale, die sich nun in einer für sie mitunter neuen Rolle als Datenverarbeiter wiederfinden (müssen).

Vergleich mit anderen EU-Mitgliedsstaaten

Wie unterschied sich die deutsche Bußgeldpraxis von der anderer großer EU-Staaten? In Spanien wurden im vergangenen Jahr 152 Bußgeldbescheide ausgestellt. Setzt man den Wert von 152 ins Verhältnis zur Bevölkerungszahl zwischen Deutschland und Spanien, so liegen beide Staaten relativ gleichauf; Spanien zählt ca. 36 Millionen Einwohner weniger als die Bundesrepublik. Obwohl sich auch hier die meisten Bußgelder im niedrigen Bereich bewegten, gab es zuletzt gegen die beiden Banken CAIXABANK (6 Mio. Euro) und BANCO BILBAO VIZCAYA ARGENTARIA (5 Mio. Euro) auch zwei Bußgelder in Millionenhöhe. Im Gegensatz zu den meisten Entscheidungen deutscher Datenschutzbehörden wurden in Spanien außerdem alle Bescheide veröffentlicht.

Italien hingegen fiel bei seinen 45 Bescheiden neben den mehrstelligen Millionenbußgeldern gegen die Telekommunikationsunternehmen TIM (27,8 Mio. Euro), Wind (16,7 Mio. Euro) und Vodafone Italia  (12,2 Mio. Euro) vor allem dadurch auf, dass Bußgelder auch gegen staatliche Behörden verhängt wurden. Es ergingen etwa unter anderem Bescheide gegen das italienische Innenministerium (50 Tsd. Euro) und gegen die Stadtverwaltung Roms (500 Tsd. Euro). In Frankreich wiederum wurden nur zehn Bußgelder aufgrund von DSGVO-Verstößen verhängt, darunter jedoch mitunter die höchsten der gesamten EU, die sich ferner gegen große Technologiekonzerne richteten. So wurden hohe zweistellige Millionenbußgelder gegen Google LLC (60 Mio. Euro), Google Ireland Limited (40 Mio. Euro) und Amazon Europe Core (35 Mio. Euro) verhängt.

Ausgehend davon, ist das von Wirtschaftsverbänden gezeichnete Bild, dass in Deutschland angeblich Standortnachteile aufgrund der DSGVO bestünden, bestenfalls im Vergleich mit außereuropäischen Unternehmen zu halten. Doch selbst in den USA, bislang eher als Datenschutzwüste bekannt, sind rechtliche Entwicklungen zu beobachten, die den Menschen mehr Privatheit und rechtliche Handhabe beim Schutz ihrer Privatsphäre zugestehen. Europa könnte als Vorreiter von dieser weltweiten Entwicklung profitieren.

Neuer Rekord an gemeldeten Datenpannen

Mit genau 26.057 Datenpannen gemäß Art. 33 DSGVO wurden im Jahr 2020 soviele Pannen gemeldet wie noch nie zuvor in einem Jahr. In den eineinhalb Jahren davor – seit Ablauf der Umsetzungsfrist der DSGVO am 25. Mai 2018 bis Ende 2019 wurden 21.000 Datenpannen registriert. Spitzenreiter der verzeichneten Datenpannen im vergangenen Jahr ist der BfDI mit 9.985, gefolgt von Bayern (3.794) und Baden-Württemberg (2.320). Am häufigsten wurden Vorfälle im Zusammenhang mit dem Versand von Dokumenten, Cyber-Angriffen und technischen Mängeln gemeldet.

Datenschutz wird dank DSGVO stetig ernster genommen

Die Entscheidungen scheinen allgemein einen begrüßenswerten Trend zu bestätigen: Immer mehr Bürger werden sich der Rechte an ihren Daten bewusst und nutzen die Möglichkeiten, die ihnen die DSGVO bietet, um diese einzufordern. Dies wird gerade auch anhand der Bußgelder gegen mittlere und kleine Akteure (bis hin zu Einzelpersonen) deutlich. Die Unternehmen wiederum scheinen – vor dem Hintergrund der drohenden und in vielen Fällen realisierten Bußgelder – ihre Pflichten bzgl. des Umgangs mit personenbezogenen Daten etwas ernster zu nehmen und Datenpannen verstärkt zu melden.

Ausblick

Für das laufende Jahr wird ein Bußgeld gegen den Messenger-Dienst WhatsApp erwartet. Branchenexperten rechnen mit einem Bußgeld von bis zu 50 Mio. Euro, das die zuständige irische Aufsichtsbehörde ausstellen wird. Ebenso hat die norwegische Datenschutzbehörde bereits angekündigt, ein Bußgeld in Höhe von 10 Mio. Euro gegen Grindr LLC verhängen zu wollen – eine Entscheidung hierzu fällt vermutlich noch im Februar. Auch werden erste Bußgelder wegen unzulässiger Datentransfers in den USA und anderen Drittstaaten erwartet. Mitgliedsstaaten wie Frankreich oder Spanien dürften hier Vorreiter sein. Mit Spannung wird auch das Gerichtsverfahren anlässlich des Bußgeldbescheids gegen die „Deutsche Wohnen SE„, erwartet. Die Berliner Datenschutzbehörde verhängte gegen die Wohnbaugesellschaft am 5. November 2019 ein Bußgeld in Höhe von 14,5 Mio. Euro wegen Verstößen gegen die Aufbewahrungsfristen. Die Deutsche Wohnen SE hatte gegen diesen Bescheid Klage eingereicht.

Für die kommenden Monate wird eine überarbeitete Fassung des Bußgeldkonzepts der DSK erwartet. Ursprünglich wurde diese von Behördenvertretern für den November 2020 angekündigt. Bei der Neuauflage werden sicherlich die Lehren aus dem Urteil gegen 1&1 und möglicherweise dem bevorstehenden Gerichtsurteil zum Bußgeldverfahren gegen die Deutsche Wohnen Einzug finden.

Übersicht nach Aufsichtsbehörden