Laut Jahresbericht von DLA Piper haben die europäischen Datenschutzbehörden im Jahreszeitraum vom 28.1.2022 bis zum 27.1.2023 deutlich höhere Bußgelder verhängt als im Vorjahreszeitraum: Die Gesamtjahressumme stieg europaweit von 1,09 auf 1,64 Milliarden EUR. Die Anzahl der gemeldeten Datenpannen ist dagegen leicht zurückgegangen.
Die Gesamtsumme der Bußgelder, die europaweit wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) verhängt wurden, ist im vergangenen Jahr deutlich gestiegen. In den 27 Staaten der EU, im Vereinigten Königreich von Großbritannien (UK), in Norwegen, Island und Liechtenstein haben die Datenschutzbehörden insgesamt Geldstrafen in Höhe von 1,64 Milliarden EUR festgesetzt. Dies geht aus dem aktuellen Jahresbericht der Wirtschaftskanzlei DLA Piper hervor, der alle Bußgeldanordnungen erfasst, die im Zeitraum 28.1.2022 bis 27.1.2023 veröffentlicht wurden. Im Vorjahr (28.1.2021 bis 27.1.2022) betrug die Gesamtsumme der Bußgelder 1,09 Milliarden EUR. Im Vergleich dazu ist die Gesamtsumme also um knapp 50 Prozent gestiegen. DLA Piper wertet dies als Zeichen für das wachsende Selbstbewusstsein der europäischen Datenschützer.
Auf der Homepage von DLA Piper können Sie den Jahresbericht nach einer kurzen Registrierung als englischsprachiges PDF-Dokument herunterladen. Neben detaillierten Informationen zu den Inhalten finden Sie dort auch Übersichtsgrafiken zur Entwicklung der DSGVO-Bußgelder und den Meldezahlen von Datenpannen sowie einen Kommentar zu den Ergebnissen des Jahresberichts. |
Da nicht alle Datenschutzbehörden ihre Bußgeldscheide veröffentlichen, ist es durchaus möglich, dass die tatsächliche Gesamtsumme noch etwas höher liegt.
Die höchsten DSGVO-Bußgelder wurden 2022 gegen Meta verhängt
Gegen den Facebook-Konzern Meta wurden im vergangenen Jahr die höchsten Einzelbußgelder verhängt: Wegen eklatanter Verstöße gegen die DSGVO im Bereich der personalisierten Werbung legte die irische Datenschutzbehörde DPC (Data Protection Commission) gegen Facebook und Instagram Bußgelder in Höhe von 210 und 180 Millionen EUR fest.
Auch die französische Datenschutzbehörde CNIL (Commission Nationale de l'Informatique et des Libertés) hat mit zwei Bußgeldbescheiden wieder auf sich aufmerksam gemacht: Im Dezember 2022 legte die CNIL gegen Microsoft ein Bußgeld in Höhe von 60 Millionen EUR fest, da es auf bing.com Cookies ohne Einwilligung und ohne Ablehnen-Button gesetzt hatte. Das amerikanische KI-Unternehmen Clearview AI wurde von der CNIL im Oktober 2022 mit einem Bußgeld in Höhe von 20 Millionen EUR belegt, da es unrechtmäßig biometrische Profile von Personen in Frankreich erstellt hat.
Die deutschen Datenschutzbehörden haben sich nicht durch außergewöhnlich hohe Bußgelder hervorgetan. Die drei höchsten Bußgelder wurden im vergangenen Jahr gegen BREBAU (1,9 Millionen EUR), Volkswagen (1,1 Millionen EUR) und die Hannoversche Volksbank (900.000 EUR) verhängt.
Details zu allen bekannten Datenschutzverstößen ab 2018 finden Sie in der Bußgelddatenbank des DSGVO-Portals |
Irland Spitzenreiter bei der Verhängung von DSGVO-Bußgeldern seit 2018
Seit der Einführung der DSGVO im Jahr 2018 hat die irische DCP Bußgelder in einer Gesamthöhe von 1,3 Milliarden EUR verhängt und führt damit die Länderliste des Berichts von DLP Piper mit weitem Abstand an. Die unangefochtene Spitzenposition ist der Tatsache geschuldet, dass die meisten großen amerikanischen Technologiekonzern wie Meta, Alphabet (Google) oder Microsoft Ihre Europazentralen in Irland haben. Auf Platz 2 folgt mit 746 Millionen EUR Luxemburg, das 2021 Amazon wegen der Anzeige benutzerbezogener Werbung und der widerrechtlichen Weitergabe von Daten mit diesem spektakulären Bußgeld belegt hat. Mit etwas mehr als 428 Millionen EUR liegt Frankreich auf Platz 3.
Die Gesamtsumme der DSGVO-Bußgelder, die seit 2018 in Deutschland verhängt wurden, beträgt immerhin etwas mehr als 76 Millionen EUR. Damit liegt Deutschland hinter Spanien auf Platz 5 der Rangliste, was zeigt, dass hier die Datenschutzbehörden eher in der Breite aktiv sind.
Meldungen von Datenpannen sind leicht zurückgegangen
Der aktuelle Jahresbericht von DLA Piper weist auch die Anzahl der gemeldeten Datenpannen aus. Die DSGVO verpflichtet Unternehmen, Pannen, die personenbezogene Daten betreffen, innerhalb von 72 Stunden an die zuständige Datenschutzbehörde zu melden. Im vergangenen Jahr wurden den europäischen Behörden insgesamt 109.000 Datenpannen gemeldet, im Jahr zuvor waren es noch 120.000 Pannen gewesen. Die meisten Pannen wurden wie auch schon im Vorjahr in Deutschland gemeldet (2022: 29.795, 2021: 30.213). Gemessen an der Einwohnerzahl liegt Deutschland damit aber nur auf Platz 12. Hier kommen etwas mehr als 24 Vorfälle auf 100.000 Einwohner. Spitzenreiter sind die Niederlande (142 Vorfälle) und Dänemark (133 Vorfälle).