Das Jahr 2023 ist Vergangenheit – und es wird wieder Zeit, einen Blick auf die Bußgeldpraxis der Datenschutzaufsichtsbehörden zurückzuwerfen. Warum die Gesamtsumme aller europäischen Bußgelder vom Vorjahr deutlich übertroffen wurde und wie sich die deutschen Aufsichtsbehörden im Vergleich mit anderen EU-Staaten in puncto Bußgeldern schlagen – wir sind diesen Fragen auf den Grund gegangen.
Höhere Bußgelder als im Vorjahr
Im Jahr 2022 berichteten wir noch, dass die Gesamtsumme nicht nur die 1 Mrd. EUR überstieg, sondern diese Marke mit 1,64 Mrd. EUR um etwa 50 Prozent überboten hatte.
In diesem Jahr ist diese Zahl erneut gestiegen. Mit einer neuen Rekordsumme von 2,11 Mrd. EUR verzeichnen die europäischen Datenschutzbehörden erneut einen Zuwachs, diesmal in Höhe von ~29 %. Dabei ist zu beachten, dass wir bei der Abfrage unserer Datenbank nur Bußgelder erfassen, bei denen das Datum des Bescheids bekannt ist. Der Zeitraum der Abfrage ist der 01. Januar – 31. Dezember 2023.
In 2023 machte vor allem ein Unternehmen Schlagzeilen: Meta. Der US-amerikanische Internetkonzern, dem die sozialen Netzwerke Facebook, Instagram und Threads sowie die Instant-Messaging-Apps WhatsApp und Messenger gehören, fängt sich gleich zwei Bußgelder in Rekordhöhe ein.
Zum einen verhängte die irische Datenschutzbehörde am 12. Mai 2023 das zweithöchste Bußgeld aller Zeiten: 1,2 Mrd. EUR, wegen eines Verstoßes gegen Art. 46 Abs. 1 der DSGVO. Im Rahmen der Bereitstellung der Plattform Facebook übermittelte Meta Ireland personenbezogene Daten aus der EU/dem EWR an die Vereinigten Staaten.
Dabei wurde kein ausreichender Schutz gegen die damit verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleistet. Zuvor hatte der EuGH die Risiken einer Datenübermittlung in einem Urteil gegen Facebook bekräftigt.
Zum anderen hatte es bereits zum Jahresbeginn am 4. Januar 2023 ein Bußgeld für Meta gegeben, welches ebenfalls von der irischen Datenschutzbehörde verhängt worden war: 390 Mio EUR Strafe für einen Verstoß gegen Art. 6 DSGVO.
Die Behörde stellte fest, dass Meta Ireland nicht berechtigt war, sich auf die Rechtsgrundlage „Vertragserfüllung “(Art. 6 Abs. 1 lit. b DSGVO) im Zusammenhang mit der Bereitstellung von verhaltensbezogener Werbung als Teil seiner Facebook- und Instagram-Dienste zu berufen. Damit verstieß es gegen das geltende Datenschutzrecht.
Allein diese zwei Bußgelder lagen mit ihrer Gesamthöhe von 1,59 Mrd. EUR bereits nahe an der Vorjahressumme.
Deutsche Bußgelder
Die deutschen Datenschutzbehörden verhängten im Laufe des vergangenen Jahres nur 169 Bußgelder in einer Höhe von rund 4,33 Mio. EUR. Da sich nicht alle Behörden zur Anzahl und Höhe der Bußgelder geäußert haben, ist diese Zahl als Untergrenze zu verstehen.
Im Vergleich zum Vorjahr zeichnet sich ein kleiner Rückgang der Höhe und ein deutlicher Rückgang der Anzahl der Bußgelder ab – 2022 waren es noch 453 Bußgelder und eine Gesamthöhe von 5,8 Mio. EUR.
Mit 60 verhängten Bußgeldern stand, gemessen an der Anzahl, in diesem Jahr Sachsen an der Spitze. Dahinter liegen Bremen und Thüringen mit jeweils 32 verhängten Bußgeldern gleichauf.
Das höchste Bußgeld verhängte das Bayerische Landesamt für Datenschutzaufsicht gegen ein unbekanntes Unternehmen in siebenstelliger Höhe.
Das zweithöchste der Bußgelder aus 2023 verhängte mit 300.000 EUR die Aufsichtsbehörde aus Berlin. Die Sanktion richtete sich gegen die Kreditkartenvergabepraxis einer Berliner Bank. Das in der Pressemitteilung der Berliner Datenschutzbehörde nicht benannte Finanzinstitut hatte zur Vergabe von Kreditkarten einen Algorithmus verwendet.
Dieser beruhte auf diversen Informationen, die Antragsteller in einem Online-Formular auf dessen Website eingeben mussten. Ein Betroffener hatte sich bei der Datenschutzbehörde über den Vorgang beschwert, nachdem sein Antrag trotz eines guten Schufa-Scores und eines regelmäßig hohen Einkommens ohne besondere Begründung abgelehnt wurde.
Platz drei im Ranking belegte 2023 ebenfalls ein Bußgeld aus Berlin – diesmal gegen die Humboldt Forum Service GmbH. In dem Unternehmen wurde tabellarisch eine Übersicht über alle Beschäftigten in der Probezeit erstellt, wobei die Weiterbeschäftigung von mehreren Personen offen als „kritisch“ oder „sehr kritisch“ eingestuft wurde. Als Gründe wurden sensible personenbezogene Daten, wie Inanspruchnahme einer Psychotherapie oder Interesse an der Gründung eines Betriebsrates, aufgeführt.
Außerdem bemängelte die Behörde die fehlende Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste und dass diese im Verarbeitungsverzeichnis nicht erwähnt wurden sowie die verspätete Meldung einer Datenpanne. Die Verstöße summierten sich schlussendlich zu einem Bußgeld in Höhe von 215.000 EUR.
Bußgelder der Bundesnetzagentur
In diesem Jahr haben wir neben den deutschen Datenschutzbehörden auch bei der Bundesnetzagentur nachgefragt. Zwar verhängt diese Behörde keine Bußgelder nach der DSGVO, jedoch betreffen die Bußgelder oft datenschutzrelevante Themen, wie unerlaubte Kontaktaufnahme zu Werbezwecken.
2023 verhängte die BNetzA acht Bußgelder mit einer Gesamthöhe von 1,43 Mio. EUR. Die meisten Fälle drehten sich um sogenannte Cold Calls, bei denen Verbraucherinnen und Verbraucher mit unerlaubten Werbeanrufen konfrontiert werden. Diese Anrufe stellen gemäß § 7 Abs. 2 Nr. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) eine unzumutbare Belästigung dar. Solche Belästigungen können gemäß § 20 Abs.1 Nr. 1 sowie Absätze 2 und 3 UWG von der Bundesnetzagentur als Ordnungswidrigkeit mit einem Bußgeld von bis zu 300.000 Euro geahndet werden.
Vergleich mit anderen EU-Staaten
Wie auch in den vergangenen Jahren haben wir die Tätigkeit der deutschen Behörden mit der Bußgeldpraxis anderer großer EU-Staaten verglichen. Auch dieses Jahr haben wir dafür Frankreich, Spanien und Italien betrachtet.
Frankreich
Die Französische Datenschutzbehörde CNIL verzeichnet im Jahr 2023 einen Zuwachs im Vergleich zum Vorjahr. Waren es 2022 nur 14 Bußgelder, so ist diese Zahl in 2023 auf 42 Sanktionen angewachsen. Der Gesamtwert der Sanktionen betrug dabei 89.179.500 EUR.
Interessant: 24 dieser Verfahren sind im Rahmen des vereinfachten Sanktionsverfahren beschlossen worden. Sie werden ohne eine große Beratung und ohne öffentliche Sitzung bearbeitet, sind im Fall von Bußgeldern bei 20.000 EUR gedeckelt und dürfen nicht öffentlich gemacht werden. Zu ihrer Höhe äußerte sich die CNIL trotzdem in ihrem Jahresbericht – 229.500 EUR betrug die Gesamthöhe dieser Sanktionen.
Doch abseits der vereinfachten Sanktionsverfahren gab es definitiv Highlights. So erhielt Criteo ein Bußgeld über 40 Mio. EUR – Amazon France Logistique kassierte 32 Mio. EUR, Yahoo EMEA Limited 10 Mio. EUR, Voodoo 3 Mio. EUR und TikTok zum Anfang des Jahres 2,5 Mio. EUR.
Besonders relevant waren 2023 die Bußgelder, welche aufgrund von unzulässiger Werbung verhängt wurden. Die Behörde machte deutlich, dass Werbung, ungeachtet ihrer Art, ob als elektronische Nachricht oder als gezielter Hinweis, erst nach Zustimmung der betroffenen Person angezeigt werden darf.
Spanien
Die spanische Datenschutzbehörde folgte ihrem in den Vorjahren begonnenen Trend und verhängte 2023 insgesamt 309 Bußgelder mit einer Gesamthöhe von 9.345.760 EUR. Auch in 2023 bestand der Großteil der verhängten Bußgelder der spanischen Behörde aus kleineren Summen im niedrigen vier- oder fünfstelligen Bereich.
Einige Ausnahmen gab es aber doch: So kassierte Openbank ein 2,5 Mio. EUR Bußgeld, da Kunden aufgefordert worden waren, sensible Bankdaten ungesichert per E-Mail an das Unternehmen zu schicken. Gegen die Banco Bilbao Vizcaya Argentaria verhängte die Behörde 800.000 EUR, nachdem die Bank einer Karten-Sperrungsanfrage nicht nachgekommen war.
Italien
Die Sanktionstätigkeit der italienischen Datenschutzbehörde lag in 2023 mit 124 verhängten Bußgeldern etwas hinter dem Vorjahr. Mit 25.057.100 EUR liegt die Behörde dafür im europäischen Vergleich auf dem dritten Platz, nur in Frankreich und Irland waren die Bußgelder dieses Jahr höher.
Maßgeblich verantwortlich war beispielsweise das 10 Mio. EUR Bußgeld gegen Axpo Italia – der Energieversorger hatte über ein Netzwerk von etwa 280 Verkäufern von Tür zu Tür neue Verträge abgeschlossen. Bei diesen Aktionen wurden keine angemessenen Kontrollmechanismen zur Überprüfung der eingetragenen Daten angewendet.
Das Telekommunikationsunternehmen TIM kassierte ein Bußgeld über ~7,6 Mio. EUR, nachdem sich die Beschwerden über unerwünschte Werbeanrufe häuften – manche Opfer wurden teils fünfmal am Tag mit unerwünschten Anrufen bombardiert.
Auch Edison Energia fiel durch wiederholte Werbeanrufe auf, woraufhin die Behörde dem Unternehmen ein Verbot von Telefonwerbung sowie ein Bußgeld in Höhe von 2,45 Mio. EUR aussprach.
Ergebnis des Vergleichs
Im direkten Vergleich zu anderen großen EU-Staaten fallen die deutschen Aufsichtsbehörden dieses Jahr erneut zurück und folgen dem Vorjahrestrend mit rückläufigen Zahlen im europäischen Vergleich. Spektakuläre Bußgelder gegen große Konzerne, wie im vergangenen Jahr, sind rar.
Datenpannen
Im Jahr 2023 erreicht die Zahl der gemäß Art. 33 DSGVO an die deutschen Aufsichtsbehörden gemeldeten Datenpannen mit 13.581 einen Tiefpunkt. Mit einem deutlichen Rückgang im Vergleich zum Vorjahr (21.170), und selbst weniger als 2021 (knapp 13.900) stellt 2023 die neue Untergrenze dar.
Da zum Zeitpunkt der Veröffentlichung dieses Artikels nicht von allen Aufsichtsbehörden Statistiken zu gemeldeten Datenpannen vorlagen, wird der Artikel bei Nachmeldung entsprechend überarbeitet.
Baden-Württemberg verzeichnete 2023 die meisten Pannen (2.913), gefolgt von Bayern (2.753) und Nordrhein-Westfalen (2.039). Der Großteil der Datenpannen stand mit Hackerangriffen, Datenverlust, Falschversand von Dokumenten oder technischen Mängeln im Zusammenhang.
Das Interesse und der Beratungsbedarf in Sachen DSGVO scheinen wieder etwas geringer geworden zu sein, als noch zum Start der DSGVO oder dem etwas turbulenteren Jahr 2022.
Gerichtsentscheidungen
Mit der Veröffentlichung unserer neuen Gerichtsentscheidungsdatenbank möchten wir die Gelegenheit nutzen, ihnen auch über die besonderen Entscheidungen dieses Jahres zu berichten.
So machte beispielsweise der EuGH zum Ende des Jahres Schlagzeilen: Mit der Grundsatzentscheidung C-340/21 wurde ein Grundstein für effektive Schadensersatzansprüche gegenüber Unternehmen gelegt. Der EuGH stellte fest, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten einen immateriellen Schaden darstellen kann. Die Position der Opfer von Sicherheitsvorfällen bei Unternehmen wurde dadurch massiv gestärkt.
Auch die Entscheidung Az. C-807/21 des EuGH gegen Deutsche Wohnen sorgte für Spannung. So klärte der EuGH endlich die Grundsatzfrage der Zurechnung von Fehlverhalten bei juristischen Personen bei der Verhängung von Sanktionen nach Art. 83 DS-GVO. Für die Bußgelder hat diese Gerichtsentscheidung eine direkte Auswirkung. Mehrfach wurde durch die Datenschutzbehörden darauf verwiesen, dass mit der EuGH-Entscheidung einige Verfahren gegen Unternehmen ihren Abschluss finden werden. Mehr dazu im Ausblick!
Nicht zuletzt war die Entscheidung des EuGH im Verfahren C-683/21 wegweisend. Demnach kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden. Es sei denn, dieser Auftragsverarbeiter hat Daten für eigene Zwecke verarbeitet oder ist von der ursprünglichen Vereinbarung stark abgewichen.
Die Welle an Klagen gegen Facebook nach dem Data-Scraping-Vorfall nahm ebenfalls nicht ab. Für Verfahren wie vor dem Landgericht Münster, 017 O 344-22, könnte die EuGH Entscheidung ebenfalls bereits realistische Folgen haben, da der bisher pauschal verneinte Tatbestand des „konkret erlittenen, kausalen Schadens“ nun doch greifen könnte.
Um über neue Gerichtsentscheidungen auf dem Laufenden zu bleiben, oder ältere Verfahren zu durchstöbern, werfen Sie gerne einen Blick in unsere neue Datenbank!
Ausblick
Bereits 2022 hatte uns mit dem Fall Clearview AI das Verhältnis von DSGVO und künstlicher Intelligenz beschäftigt, und auch 2023 änderte sich daran nichts. Die rasante Entwicklung von KI stellte die europäischen Datenschutzbehörden vor neue Fragen und Probleme. So wurde beispielsweise ChatGPT von der italienischen Datenschutzbehörde für eine gewisse Zeit gesperrt – aktuell stehen eine erneute Sperre und ein Bußgeld im Raum. Es bleibt abzuwarten, ob der Datenschutz durch den Einsatz künstlicher Intelligenz in ausreichendem Maß gewahrt werden kann.
Die Datenschutzbehörden haben 2023 in diversen Ländern der unerlaubten Telefon- und Internetwerbung den Kampf angesagt. Die großen Bußgelder in Frankreich und Italien geben einen Ausblick, was uns 2024 erwarten wird – die Grenzen im Bereich der Werbung werden noch einmal deutlicher gezogen und es ist von weiteren Bußgeldern auszugehen.
Aber auch in Deutschland wird das Jahr 2024 spannend. So ist zu erwarten, dass es aufgrund diverser Sicherheitsvorfälle im Jahr 2023 zu Bußgeldern kommen wird. Da wäre beispielsweise die Ransomware-Attacke auf die Hotelkette Motel One, bei der es Hackern der Gruppe ALPHV gelang, Zugriff auf 24 Millionen Dateien im Umfang von 6 TB zu erhalten.
Über 5 TB dieser Daten wurde bislang im Darknet verkauft, was ein massives Problem darstellt – die veröffentlichten Daten beinhalten wohl Millionen an privaten Rechnungsadressen, Geburtsdaten als auch nahezu lückenlose Listen der Übernachtungen der letzten Jahre.
Aufgrund der vom EuGH geklärten Frage der Zurechnung von Datenschutzverstößen zu juristischen Personen gehen wir von einem deutlichen Anstieg der Bußgeldverfahren in Deutschland aus. Insbesondere dürften sich die Behörden wieder an hohe Bußgelder wagen und noch laufende Verfahren mit mehr Rechtssicherheit zum Abschluss bringen. Die wachsende Zahl an Cyberangriffen wird auch für Nachschub bei den Bußgeldfällen sorgen.
Übersicht nach Aufsichtsbehörden
Die Tabelle umfasst die uns von den Aufsichtsbehörden übermittelten Bußgelder. Bei Nachreichungen der Behörden wird sie entsprechend aktualisiert.
| Aufsichtsbehörde | Bußgelder | Gesamt in € | Datenpannen |
|---|---|---|---|
| Baden-Württemberg | 11 | 15.800 | 2.913 |
| Bayern (nicht-öffentl. Bereich) | n.a. | 3.800.000 | 2.753 |
| Bayern (öffentl. Bereich) | 0 | 0 | n.a. |
| Berlin | n.a. | n.a. | 1.129 |
| BfDI | 0 | 0 | n.a. |
| Brandenburg | 10 | 13.900 | 495 |
| Bremen | 32 | 147.465 | 176 |
| Hamburg | 8 | 86.480 | 925 |
| Hessen | n.a. | n.a. | n.a. |
| Mecklenburg-Vorpommern | n.a. | n.a. | n.a. |
| Niedersachsen | n.a. | n.a. | n.a. |
| Nordrhein-Westfalen | n.a. | n.a. | 2039 |
| Rheinland-Pfalz | 8 | 6.630 | 678 |
| Saarland | 8 | 208.375 | 727 |
| Sachsen | 60 | 28.090 | 949 |
| Sachsen-Anhalt | n.a. | n.a. | n.a. |
| Schleswig-Holstein | 0 | 0 | 498 |
| Thüringen | 32 | 31.490 | 299 |
| Gesamt | 169 | 4.338.191 | 13.581 |
Fachartikel
Studien
Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden
AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert
Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle
Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %
Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen
Whitepaper
Unter4Ohren
Datenklassifizierung: Sicherheit, Konformität und Kontrolle
Die Rolle der KI in der IT-Sicherheit
CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft
WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand
