EU-weit wurden 2020 DSGVO-Bußgelder für 160 Millionen € verhängt

Seit Mai 2018 gilt die DSGVO, die Datenschutzbehörden in Europa bei Datenschutz-Verstößen deutlich strengere Sanktionen ermöglicht. Nach einer gewissen Karenzzeit zu Beginn und der Konkretisierung des Sanktionssystems und der Vereinheitlichung der Sanktionen durch die Datenschutzbehörden werden mittlerweile deutlich höhere Bußgelder verhängt. Hier ein Überblick über 2020.

Eine umfangreiche Statistik zur Zahl der bei den zuständigen Datenschutzbehörden gemeldeten Verstößen sowie vor allem den daraus resultierenden Bußgeldern hat jetzt die weltweit tätige Wirtschaftskanzlei DLA Piper in einem aktuellen Report  vorgelegt.

DSGVO-Bußgelder in Gesamthöhe von rund 160 Millionen Euro

Demnach verhängten die Behörden in den 27 EU-Mitgliedsstaaten sowie Großbritannien, Norwegen, Island und Liechtenstein im Laufe des Jahres 2020 Bußgelder in Höhe von 158,5 Millionen Euro.

  • Im Vergleich zu den vorhergehenden 20 Monaten bedeutet dies eine Steigerung um knapp 40 Prozent.
  • Insgesamt  wurden damit seit der Einführung der DSGVO Bußgelder in Höhe von knapp über 270 Millionen Euro verhängt.

Datenschutzbehörden in Italien und Deutschland besonders zupackend

Am kräftigsten baten dabei bislang die Datenschutzbehörden in Italien und Deutschland die Datenschutz-Sünder zur Kasse. Mit jeweils über 69 Millionen Euro liegen die beiden Länder mit einigem Abstand vor Frankreich, dass mit rund 54 Millionen den dritten Rang belegt, gefolgt von Großbritannien mit etwa 44 Millionen. Mit schon einem etwas deutlicheren Abstand liegt Spanien mit rund 14,5 Millionen Euro auf Platz fünf dieser Rangliste.

In Frankreich wurde die bislang das größte einzelne Bußgeld nach der DSGVO verhängt, das die dortige Datenschutzbehörde gegen den IT-Konzern Google aufgrund von Verstößen gegen die Transparenzvorgaben sowie einem unzulänglichen Vorgehen bei der Einholung der Einwilligung zur Datenverarbeitung erlassen hatte.

Erfolgreiche Widersprüche und Klagen reduzierten manche DSGVO-Sanktionen

Die Bußgelder hätten noch deutlich höher liegen können, doch konnten einige Unternehmen durch Widersprüche bzw. Klagen teilweise eine deutliche Reduzierung der ursprünglichen Forderungen erreichen. 

Auch in Deutschland war etwa der Telekommunikationskonzern 1&1 mit einer Klage gegen ein DSGVO-Bußgeld erfolgreich und konnte vor dem LG Bonn eine erhebliche Reduzierung des  ursprünglich verlangten Bußgelds in Höhe von 9,55 Millionen Euro auf 900.000 Euro erreichen. Diese Höhe hielten die Richter für angemessen. Nachdem der Bundesdatenschutzbeauftragte das Urteil des Gerichts mittlerweile akzeptiert hat, ist dieses Urteil nun rechtskräftig.

Auch gegen ein weiteres Millionenbußgeld in Höhe von 10,4 Millionen Euro, das die niedersächsische Datenschutzbehörde erst kürzlich gegen den Elektronik-Händler Notebooksbilliger.de verhängt hatte, will sich das betroffene Unternehmen wehren.

Zahl der gemeldeten DSGVO-Verstöße steigt weiter

Die Zahl der täglich bei den Behörden gemeldeten Verstöße gegen die Datenschutzvorgaben wächst dem Report zufolge weiter an. Wurden seit dem 28. Januar 2020 pro Tag 331 Fälle gemeldet, waren es im Jahr zuvor nur 278 Verstöße gewesen, sodass sich eine Zunahme um rund 19 Prozent ergibt.

  • Die meisten Verstöße seit Inkrafttreten der DSGVO wurden demnach in Deutschland mit über 77.000 gemeldet,
  • auf Platz zwei liegen in dieser Statistik die Niederlande (ca. 66.500)
  • und auf dem dritten Rang folgt Großbritannien mit rund 30.500. 

Andere bevölkerungsreiche EU-Staaten wie Frankreich und Italien folgen mit lediglich 5.400 und 3.500 gemeldeten Verstößen weit abgeschlagen, was von den Experten auf kulturelle Unterschiede zurückgeführt wird.

Meldungen gemessen an der Zahl der Einwohner

Gemessen an der Zahl der gemeldeten Verstöße pro Kopf führen Dänemark und die Niederlande mit 156 bzw. 150 Verstößen pro 100.000 Einwohner, Irland liegt auf dem dritten Platz mit noch 127 Verstößen.

Unsicherheit über transatlantischen Datentransfers könnte zu mehr Fällen führen

 Bei DLA Piper erwartet man für das kommende Jahr, dass die Datenschutzbehörden sich verstärkt auch um die Problematik der Übertragung personenbezogener Daten in die USA kümmern werden, nachdem im Frühjahr das Privacy Shield Abkommen vom EuGH gekippt worden war und verlässliche Nachfolgeregelungen bislang nicht etabliert werden konnten.

Ebenso gehen die Experten davon aus, dass einerseits die Aufsichtsbehörden wohl an ihrem strengeren Vorgehen festhalten werden, andererseits angesichts der hohen Bußgelder noch mehr Unternehmen als bislang Widerspruch einlegen oder sich gegebenenfalls auch vor Gericht gegen die Bußgeldbescheide wehren werden.

Weitere News zum Thema:

Rekordbußgeld der französischen Datenschutzbehörde gegen Google und Amazon

Millionenbußgeld wegen DSGVO Verstoß gegen die AOK BadenWürttemberg

Tipps zur Vermeidung von Datenschutzpannen

DSGVO_Buisness Mann zeigt auf Schriftzug DSGVO mit Schloss

Hintergrund: Höhe der DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere  Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.

Hintergrund: DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere  Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.