Bußgeldübersicht
Um sicherzustellen, dass sich Unternehmen an die Vorschriften der DS-GVO halten, hat der europäische Gesetzgeber eine Reihe unterschiedlicher Sanktionen für Datenschutzverletzungen vorgesehen. Die bekannteste Sanktion, die Aufsichtsbehörden verhängen können, ist das Bußgeld. Bereits nach dem alten deutschen Datenschutzrecht konnten Verstöße gegen das Datenschutzrecht mit einem Bußgeld geahndet werden. Dieses lag aber weit unter den jetzt drohenden Summen. Mit Inkrafttreten der DS-GVO hat sich der Bußgeldrahmen um das 66-Fache erhöht. In besonders gravierenden Fällen kann daher ein Bußgeld von 20 Millionen Euro oder vier Prozent des Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist.
Nachdem seit Inkrafttreten der DS-GVO bereits einige Zeit vergangen und die Orientierungsphase vorbei ist, nimmt die Zahl an verhängten Bußgeldern sowie die Höhe der Geldbuße immer mehr zu. Allein in Deutschland wurden seit Wirksamwerden der DS-GVO im Mai 2018 über 77.000 Datenschutzverstöße mit Bußgeldern geahndet. Der zulässige Maximalbetrag wird aber eher selten verhängt. Die Aufsichtsbehörden sind verpflichtet, bei der Festsetzung eines Bußgelds drei Kriterien zu beachten: Das Bußgeld muss abschreckend, wirksam und angemessen sein. Die deutschen Aufsichtsbehörden haben ein einheitliches Konzept zur Ermittlung der konkreten Höhe eines Bußgelds entwickelt. Hierbei wird aus der Unternehmensgröße und aus der Art der Datenschutzverletzung ein Betrag X errechnet, der anschließend anhand verschiedener Einzelfallkriterien an den individuellen Datenschutzverstoß angepasst wird. Zu den bußgeldbeeinflussenden Faktoren gehören z. B.
- die Anzahl der von der Datenschutzverletzung betroffenen Personen.
- Maßnahmen, die zur Schadensabwendung ergriffen wurden.
- die Kooperationsbereitschaft mit der Aufsichtsbehörde.
- die Anzahl vorhandener Verwarnungen oder Bußgelder.
Wie hoch ein Bußgeld im Einzelfall ausfällt, ist damit von unterschiedlichen Komponenten abhängig. Bereits verhängte Bußgelder können daher nur als grobe Orientierung dienen. Nachfolgend finden Sie einige bisher bekannt gewordenen Bußgelder, die aber keinesfalls als Festbeträge für vergleichbare Fälle angesehen werden dürfen. Einen einheitlichen Bußgeldkatalog wie im Straßenverkehrsrecht wird es aufgrund der von der DS-GVO vorgeschriebenen drei Einzelfallkriterien Abschreckung, Wirksamkeit und Angemessenheit auch bei einheitlichen Berechnungsmethoden nicht geben.
Dennoch zeigen die bisher verhängten Bußgelder nach der Analyse von CMS.Law einen gewissen Trend auf, in welchen Fällen die europäischen Aufsichtsbehörden eine Geldbuße verhängen und wie hoch diese ausfällt:
- Die bisher höchsten Bußgelder in Millionenhöhe wurden zum Großteil wegen unzureichenden technischen und organisatorischen Maßnahmen sowie der Verarbeitung von Daten ohne Rechtsgrundlage verhängt.
- Aufgrund dieser beiden Verstöße wurden zudem die meisten Bußgelder verhängt. Unzureichende Sicherheitsmaßnahmen hatten im relevanten Zeitraum in 92 Fällen eine Geldbuße zur Folge, das Fehlen einer Rechtsgrundlage wurde 53 Mal geahndet.
- Verstöße gegen die Grundsätze der Datenverarbeitung wie den Grundsatz der Datenminimierung, Löschpflichten oder das Transparenzgebot wurden im Schnitt ebenfalls mit hohen Bußgeldern von knapp einer halben Million Euro geahndet.
- Starken Einfluss auf die Höhe der Geldbuße hat in vielen Fällen die Zahl an betroffenen Datensätzen bzw. Personen.
Zwischen den einzelnen Mitgliedsländern zeigen sich ebenfalls Unterschiede bei der Zahl an verhängten Bußgeldern sowie deren Gesamtbetrag. Mit Abstand die meisten Bußgelder ausgesprochen hat Spanien (73), darauf folgen Ungarn (22), Deutschland (21) und Rumänien (21). Mit rund 2,3 Millionen Euro belegt Spanien im Vergleich der Gesamthöhe der verhängten Geldbußen allerdings nur den siebten Platz. Spitzenreiter ist hier Frankreich mit 51,1 Millionen Euro, gefolgt von Italien mit rund 39,4 Millionen Euro und Deutschland mit rund 25 Millionen Euro.