- Die Gesamtsumme der öffentlich bekannten Datenschutz-Bußgelder erreichte im Jahr 2021 1,581 Milliarden Euro, wie eine neue Analyse der internationalen Wirtschaftskanzlei CMS zeigt.
- Der Anstieg um 500 Prozent im Jahr 2021 ist vor allem auf mehrere Rekordbußgelder zurückzuführen, die gegen große Digitalunternehmen verhängt wurden, darunter ein Bußgeld über 746 Millionen Euro in Luxemburg.
- Fälle mit Rekordsummen sind aber nur die Spitze des ‚Sanktions-Eisbergs‘. Relevante Erkenntnisse ergeben sich gerade aus der Vielzahl kleinerer Fälle: Das Bußgeldrisiko ist im ‚Business-to-consumer‘ (B2C)-Bereich, wie etwa ‚Industry & Commerce‘ oder ‚Media, Telecoms and Broadcasting‘, am höchsten. Für das Risikomanagement lohnt vor allem ein Blick auf tragfähige Rechtsgrundlagen für die Verarbeitung personenbezogener Daten und die Daten- und Informationssicherheit.
Berlin – Daten sind in einer digitalisierten Welt omnipräsent – ein relevanter Teil dieser Daten sind 'personenbezogene Daten', deren Verarbeitung durch das Datenschutzrecht reguliert ist. Mit der seit Mai 2018 anwendbaren EU Datenschutz-Grundverordnung (DSGVO) sollte der datenschutzrechtliche Regulierungsrahmen an die Herausforderungen des 21. Jahrhunderts angepasst werden. Eine wesentliche Änderung durch die DSGVO betraf die Sanktionen für Rechtsverstöße, und nach vier Jahren DSGVO ist klar, dass die zuständigen Datenschutzbehörden von ihren Sanktionsmöglichkeiten auch tatsächlich Gebrauch machen. Im Mittelpunkt des Interesses stehen dabei die DSGVO-Bußgelder.
Die internationale Wirtschaftskanzlei CMS hat heute die dritte Auflage ihres jährlichen Enforcement Tracker Reports veröffentlicht. Der englischsprachige Report analysiert alle öffentlich bekannten DSGVO-Bußgeldfälle in Europa auf Grundlage der von CMS betriebenen Online-Datenbank „GDPR Enforcement Tracker“: www.enforcementtracker.com.
Zwischen März 2021 und März 2022 sind insgesamt 505 Bußgeldfälle bekannt geworden, so dass die Gesamtzahl der Fälle seit Ende Mai 2018 auf 1.031 anstieg (+96 Prozent gegenüber dem Vorjahreszeitraum). Die Gesamtsumme aller Bußgelder stieg zum ersten Mal über die Milliardengrenze auf rund 1,581 Milliarden Euro (+1,319 Milliarden Euro oder +500 Prozent gegenüber dem Vorjahr). Einen wesentlichen Einfluss auf die Gesamtsummen-Statistik hatten zwei Fälle mit Geldbußen im dreistelligen Millionenbereich.
Hauptgrund für die Verhängung von DSGVO-Bußgeldern war auch in diesem Jahr die Verarbeitung personenbezogener Daten ohne hinreichende Rechtsgrundlage, acht von zehn der höchsten Geldbußen in Europa fallen in diese Kategorie. Eine nach wie vor bestehende Unsicherheit bei der Auslegung der gesetzlichen Vorschriften mag hierbei eine Rolle spielen. Weitere Auslöser für Bußgelder waren die Nichteinhaltung der sogenannten "Grundsätze für die Verarbeitung personenbezogener Daten" und unzureichende Maßnahmen zur Gewährleistung der Informationssicherheit.
Mehr als ein Drittel aller Bußgelder in Europa wurde von der spanischen Datenschutzbehörde verhängt, gefolgt von Italien, Rumänien und Ungarn. Obwohl durch die DSGVO ein vollharmonisierter Rechtsrahmen für personenbezogene Daten geschaffen werden sollte, ist die Umsetzung der DSGVO nach wie vor stark von nationalen Gesetzen und der Praxis der jeweiligen Aufsichtsbehörden geprägt. Die vor wenigen Tagen vom Europäischen Datenschutzausschuss (EDSA) veröffentlichten Leitlinien für die Berechnung von Geldbußen könnten ein wichtiger Schritt auf dem Weg zu einer einheitlicheren Praxis sein. Zumindest für größere Unternehmen könnte die Anwendung der Leitlinien indes zunächst eher höhere Bußgeldsummen nach sich ziehen.
Unternehmen aus dem ‚Business-to-consumer‘ (B2C)-Umfeld scheinen häufiger in den Fokus der Datenschutzbehörden zu rücken. In den Branchen ‚Industry & Commerce‘ sowie ‚Media, Telecoms and Broadcasting‘ wurden jeweils 220 beziehungsweise 172 Bußgelder verhängt; dies macht fast 40 Prozent aller verhängten Bußgelder im Analysezeitraum aus. Die höchsten und am häufigsten verhängten Bußgelder betrafen auch in diesen Branchen die Rechtsgrundlage für die Datenverarbeitung und die Maßnahmen zur Datensicherheit. Eine relevante Anzahl von Bußgeldern bezog sich auf Videoüberwachung (CCTV) in vielen Ländern und Branchen (auch durch Privatpersonen) sowie auf unzulässige Direktwerbung, vor allem per E-Mail.
Die sowohl im vergangenen Jahr als auch insgesamt höchste DSGVO-Geldbuße (746 Millionen Euro – Nichteinhaltung allgemeiner Datenschutzgrundsätze) wurde von der Aufsichtsbehörde in Luxemburg verhängt. Gefolgt von einem Fall aus Irland mit einem Bußgeld von 225 Millionen Euro, das unter anderem wegen intransparenter Datenverarbeitung verhängt wurde.
„2021 war aus vielen Gründen ein interessantes Jahr in Sachen DSGVO-Sanktionen. Abgesehen den beiden ‚landmark cases‘ mit Rekordsummen und dem weiteren Anstieg von Gesamtsummen und Gesamtfallzahlen hat sich auch dieses Jahr gezeigt, dass es auf die Umstände jedes Einzelfalles ankommt“, sagt Michael Kamps, Rechtsanwalt und Partner bei CMS. „Das entspricht den Vorgaben der DSGVO, wonach die Aufsichtsbehörden bei der Verhängung von Bußgeldern eine Vielzahl von Kriterien berücksichtigen müssen. Für das Datenschutz-Risikomanagement ist es auch deshalb sinnvoll, auf die öffentlich verfügbaren Informationen zu den Sanktionsfällen zurückzugreifen: Diese zeigen jedenfalls die aus Sicht der Aufsichtsbehörden zu beachtenden ‚roten Linien‘.“
Dr. Fiona Savary aus dem Enforcement Tracker-Team von CMS ergänzt: „Aus anwaltlicher Sicht ist erwähnenswert, dass die Auffassung einer Datenschutzbehörde – auch in einem Bußgeldbescheid – nicht unbedingt das letzte Wort sein muss. Gerichte in verschiedenen europäischen Ländern – einschließlich Deutschland – haben auf dahingehende Einsprüche abweichende Entscheidungen getroffen oder auch schon Bußgeldbescheide aufgehoben. Diese Möglichkeit sollte Unternehmen aber nicht in falscher Sicherheit wiegen“, so Savary weiter, „nach vier Jahren DSGVO haben auch die Aufsichtsbehörden ihre Sanktionspraxis weiterentwickelt, und die neuen Leitlinien des Europäischen Datenschutzausschusses stellen auch insoweit einen wichtigen Schritt dar. Kontinuierliche Aufmerksamkeit für und Investitionen in das Datenschutzmanagement bleiben für Unternehmen jeder Art und Größe weiterhin unerlässlich.“
Lesen Sie den vollständigen Bericht hier; eine Zusammenfassung finden Sie hier.
Pressekontakt
presse@cms-hs.com
