Lineback Aktuell

Analyse DSGVO-Bußgelder

von Sarah Weiß, 22.04.2022

Seit knapp 5 Jahren gilt die DSGVO und seit ca. 3 Jahren ist die Übergangsschonfrist zur Umsetzung für die Verantwortlichen vorbei. Zeit, sich einmal die europäische Praxis der Bußgelder anzusehen. Die europäische Praxis? Nun ja, grundsätzlich gilt die DSGVO wegen des Marktortprinzips ja weltweit für jeden Verantwortlichen, der in der EU Waren oder Dienstleistungen anbietet. Dennoch trifft es natürlich vorwiegend die EU-Mitgliedsstaaten.

Innerhalb der EU-Staaten fällt auf, dass einige Länder wenige und niedrige Bußgelder verhängen, andere zwar vielleicht zahlenmäßig nicht vorne liegen, jedoch hohe Bußgelder verhängen – hier sticht die französische CNIL mit (hohen) Bußgeldern gegen große Datenverarbeiter (Google, Facebook, Amazon) heraus; in den Niederlanden ergehen die höchsten Bußgelder dagegen gegen staatliche Stellen, wie etwa das Finanzministerium.

In Summe zeigt diese Liste, dass es nicht ratsam scheint, das Thema Datenschutz zu vernachlässigen. Dabei sollte man einigen Themen besondere Aufmerksamkeit schenken: Informationspflichten, Betroffenenersuchen (hier v. a. Auskunftsersuchen), Datenlöschung, TOMs – gerade für große Portale gab es die höchsten Bußgelder für den Einsatz von Trackingtechnologien entgegen dem EuGH-Urteil zu deren Nutzung.

Auf der Bußgeldliste tauchen (bislang) zwei außereuropäische Länder auf: Die USA mit 4 Bußgeldern, deren Höhe von ca. 194000 € (Verstoß gegen die Offenlegungspflicht von Daten bei einem Identiätsdiebstahl) bis ca. 4,5 Milliarden (Verstoß gegen frühere FTC-Datenschutzanordnungen und FTC-Gesetz) reicht und Kolumbien mit einem Bußgeld von knapp 85000 € gegen eine Bank wg. unerlaubter Verwendung personenbezogener Daten zu Marketingzwecken.

Die eine Gesamtübersicht, in der alle Bußgelder dokumentiert sind, kennen wir nicht, deshalb haben wir einige Datenbanken durchpflügt und kamen auf zwischen 1000 und 2000 dokumentierten Bußgeldern. Auffällig ist, dass die Anlässe für Bußgelder sich zwar immer wieder wiederholen, jedoch auch sehr vielfältig sind. Weiterhin fällt aus, dass sich sowohl die Zahlen als auch die Höhe der Bußgelder deutlich unterscheidet (nein, es gibt keinen linearen Zusammenhang zwischen Einwohnerzahl und Anzahl der Bußgelder), vielmehr spielt da oft das nationale Recht hinein, das mal Bußgelder nur gegen natürliche, mal (auch) gegen juristische Personen zulässt, Unterschiede in der Zahl und der Höhe der Bußgelder können auch historisch bedingt sein. Daher haben wir hier unsere eigene Übersicht zusammengestellt, die keinen Anspruch auf Vollständigkeit erhebt – die Reihenfolge folgt in etwa der alphabetischen Reihenfolge der Länderkürzel:

Österreich: 19 Bußgelder von 0 € (wegen unerlaubter Datensammlung und Verkauf an Parteien – Verfahren wg. prozessualer Hindernisse eingestellt) bis 9,5 Mio. € (mangelnde Möglichkeit, Datenschutzfragen per Mail zu stellen); einige Bußgelder ergingen auch gegen Privatpersonen, die anderer Leute Daten etwa auf ihrem Social-Media-Profil veröffentlicht hatten

Belgien: 40 Bußgelder von 1000 € (eines gegen eine Grundschule wegen Umfrage von unter 13-Jährigen ohne Einwilligung der Eltern; eines wegen ausbleibender Reaktion auf Widerspruch und Löschanforderung i. V. mit mangelnder Kooperation mit der Aufsichtsbehörde; eines wegen wiederholter postalischer Direktwerbung trotz mehrfachen Widerspruchs) bis 600000 € (gg. Google wg. Verweigerung der Löschung eines Eintrags in der Suchmaschinendatenbank)

Bulgarien: 41 Bußgelder von 51 € (ausbleibendes Löschen von Fotos auf Website) bis ca. 2,6 Mio. € (aufgrund unzureichender TOMs möglicher Zugriff auf über 5 Mio. personenbezogene Daten)

Deutschland: 76 Bußgelder 50 € (gg. Gastronom, der offene Liste zur Kontaktdatenerfassung COVID.-19 verwendete) bis ca. 35 Mio. (Bespitzelung hunderter Mitarbeiter)

Frankreich: 35 Bußgelder von 3000 € (etwa wg. mangelnder Kooperation mit Aufsichtsbehörde; wg. Nichtbearbeitung von Datenschutzanfragen, mangelnder Kooperation und Nichtvorhandensein VVT; wg. ungeschützt möglichem Zugriff auf Patientendaten) bis 90 Mio. € (gg. Google wegen nicht vorhandener Möglichkeit, Cookies auf www.google.fr und www.youtube.com ebenso einfach abzulehnen wie sie anzunehmen)

Italien: 206 Bußgelder von 1000 € (keine Hinweisschilder zur Videoüberwachung; Veröffentlichung Bewerberdaten auf Website; Aushang der Kündigung des Personalmanagers auf schwarzem Brett des Supermarktes) bis knapp 28 Mio. € (zahlreiche Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOMs)

Luxemburg: 24 Bußgelder von 1000 € (unvollständiges Nachkommen einer Löschanfrage) bis 746 Mio. € (gg. Amazon wg. Verstößen im Zusammenhang mit Anzeige von Werbung und Weitergabe von Daten an Dritte)

Niederlande: 20 Bußgelder von 7500 € (unterlassene Meldung einer Datenpanne) bis 3,7 Mio. € (gg. Niederländische Steuer- und Zollbehörde wg. schwerwiegender Datenschutzverstöße bei jahrelang unrechtmäßig geführter Liste mit Hinweisen auf Steuerbetrug)

Dänemark: 19 Bußgelder von knapp 7000 € (wg. fehlender Verschlüsselung eines gestohlenen Computers, auf dem Daten von 1.600 Angestellten gespeichert waren) bis 1,3 Mio. € (keine dokumentierten Regelungen zu Speichern und Löschen personenbezogener Daten in über 400 Systemen)

Irland: 15 Bußgelder von 1500 € (Werbeanrufe und Versand von E-Mail- und SMS-Werbung ohne Einwilligung der Betroffenen) bis 225 Mio. € (gg. WhatsApp Ireland wg. Verletzung der Informationspflichten, insbesondere bzgl. Datenübermittlung an andere Facebook-Unternehmen)

Griechenland: 66 Bußgelder von 1000 € (Nichtnachkommen einer Auskunftsanfrage eines Betroffenen) bis 5,85 Mio. € (wg. Verletzung der Informationspflicht, fehlerhafter Datenschutzfolgenabschätzung und Anonymisierung, kein AVV)

Portugal: 6 Bußgelder von 2000 € (Verstoß gegen Informationspflichten bei Videoüberwachungsanlage) bis 1,25 Mio. € (gg. Stadtverwaltung Lissabon wg. unrechtmäßiger Übermittlung der Daten von Demonstrationsteilnehmern an städtische Behörden und Dritte)

Spanien: 518 Bußgelder von 300 € (Erfassung öffentlicher Straße durch Videoüberwachungskamera) bis 8,15 Mio. € (wg. anhaltender Werbenachrichten und -anrufe ohne Einwilligung und trotz Eintrags in Robinson-Liste)

Finnland: 12 Bußgelder von 5000 € (Verletzung der Informationspflicht, Nichtnachkommen einer Auskunftsanfrage) bis ca. 600000 (unzureichende Schutzmaßnahmen, verspätete Meldung einer Datenpanne)

Schweden: 30 Bußgelder von ca. 2000 € (unerlaubte Videoüberwachung in Mietshäusern und Mängel bei der Informationspflicht Betroffenen gegenüber) bis ca. 5,1 Mio. € (gg. Google wg. unvollständiger Löschung und unrechtmäßiger Verarbeitung personenbezogener Daten)

Estland: 7 Bußgelder von ca. 50 € (gg. Polizist wg. rechtswidriger Nutzung dienstlicher Datenbank) bis 100000 € (wg. unzureichendem Zugriffsschutz auf Medikamentenrezepte in Online-Shop)

Lettland: 4 Bußgelder von 6250 € (Rundmail an Belegschaft mit Angaben über Gesundheitszustand eines Mitarbeiters) bis 65000 € (öffentlich zugängliche Daten aus Insolvenzverfahren gegen natürliche Person auf Online-Unternehmensverzeichnis)

Litauen: 10 Bußgelder von 200 € (mehrmalige unzureichende Beantwortung eines Betroffenen-Auskunftsgesuchs) bis 110000 € (wg. unzureichender Sicherheitsmaßnahmen Veröffentlichung von über 100000 Kundendatensätzen in Hackerforum)

Malta: 4 Bußgelder von 5000 € (wg. unzureichender Sicherheitsmaßnahmen auf Website waren (personenbezogene) Daten einsehbar) bis 65000 € (wg. illegaler Sammlung der Daten von 98 % der Wähler sowie fehlender Schutzmaßnahmen)

Polen: 36 Bußgelder von ca. 50 € (wg. mangelnder Sorgfalt eines Gerichtsvollziehers bei Überprüfung von Schuldnerdaten) bis ca. 1,1 Mio. € (wg. ausgebliebener Überprüfung eines Auftragsverarbeiters, Diebstahl von Kundendaten wegen inadäquater Sicherheitsmaßnahmen)

Slowakei: 2 Bußgelder mit 40000 € bzw. 50000 € (wg. Verlust personenbezogener Daten), davon das höhere nicht rechtskräftig

Slowenien: keine Bußgelder

Tschechien: 15 Bußgelder von ca. 200 € (Verstoß gegen die Auskunftspflichten) bis ca. 120000 € (gg. 11 Unternehmen wg. postalischem Versand von Werbung ohne Einwilligung der Betroffenen und Verstoß gegen Informationspflichten)

Ungarn: 61 Bußgelder von ca. 27 € (gg. öffentliche Bildungseinrichtung wg. unberechtigter Veröffentlichung eines Videos mit Kindern auf Youtube, Verletzung der Informationspflicht) bis knapp 290000 € (Verarbeitung personenbezogener Daten ohne Rechtsgrundlage und fehlende TOMs)

Zypern: 30 Bußgelder von 1000 € (Versand von Werbe-E-Mails ohne Empfänger-Einwilligung; Versand von Marketing-SMS ohne Einwilligung; unerlaubte Weitergabe personenbezogener Daten und Gehälter von Mitarbeitern der Verwaltung durch Politiker) bis 925000 € (Erfassung von MAC-Adressen und IMSI-Daten auf Nutzer-Geräten ohne Kenntnis der Betroffenen).

Rumänien: 85 Bußgelder von 200 € (Veröffentlichung des Fotos einer Gehaltsabrechnung und eines Registerauszugs zu Kindergartenkindern; unrechtmäßige Datenverarbeitung auf Website, Verstoß gegen Rechenschafts- und Informationspflicht) bis 150000 € (gg. Bank wg. unzulässiger Nutzung von WhatsApp für Bonitätsauskünfte)

Kroatien: 6 Bußgelder von 0 € (unzureichende TOMs bei Tätigkeit als Auftragsverarbeiter; nicht gekennzeichneter Videoüberwachung im Außenbereich der Betriebsstätte; Veröffentlichung einer Videoaufzeichnung auf sozialen Medien aufgrund unzureichender Sicherheitsmaßnahmen; Verstoß gegen das Auskunftsrecht von mehr als 2000 Kunden) bis 124000 € (Nichtnachkommen der Betroffenen-Auskunftsanfrage aufgrund Datenlöschung)

Sehr aktiv vor dem Austritt aus der EU war Großbritannien, wo 90 Bußgelder verhängt wurden, die von ca. 140 € für unerlaubte Übermittlung und Speicherung von Bewerbungsunterlagen bis ca. 22 Mio. reichen (Cyberangriff mit Diebstahl von Kreditkartennummern und anderer Daten von über 400000 Betroffenen).