Zwischenbericht: DSGVO und verhängten Sanktionen nach einem Jahr

Im Mai letzten Jahres trat nach einer 2-jährigen Übergangsfrist die Datenschutzgrundverordnung in Kraft. Thema dabei war neben neuen Regelungen insbesondere die umfangreicheren Sanktionsmöglichkeiten und deutlich erhöhten Strafen. Nach gut einem Jahr zeigt sich nun, dass sich die Datenschutzbehörden zumindest bislang bei den Bestrafungen von Verstößen doch eher zurückgehalten haben.

Seit fast genau einem Jahr gelten die Vorgaben der EU-Datenschutzgrundverordnung in allen EU-Mitgliedsstaaten. Begleitet wurde das Inkrafttreten der EU-Verordnung von vielen Diskussionen und in vielerlei Hinsicht entstand auch Verwirrung und Unsicherheit, was mitunter auch auf eine wenig glückliche Formulierung verschiedener Vorgaben zurückzuführen war.

Mit der Geltung der DSGVO wurden hohe Strafen befürchtet

Für eine erhebliche Verunsicherung hatte - neben der Unsicherheit über die Einordnung mancher neuer Vorgaben und Pflichten - insbesondere  der verschärfte Sanktionsrahmen gesorgt, der in den allermeisten Berichten zur DSVGO zitiert wurde. Immer wieder wurde dabei auf das maximale Bußgeld bei schweren Verstößen verwiesen, das bei bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes des Unternehmens liegen kann.


Befragung zu verhängten DSGVO-Sanktionen in Deutschland

Eine jetzt von der Welt am Sonntag durchgeführte Befragung der Datenschutzbehörden zeigte allerdings, dass zumindest die deutschen Datenschutzbehörden ihre Sanktionsmöglichkeiten bislang in einem eher bescheidenen Rahmen eingesetz haben.

  • Aus einer Umfrage, bei der 14 von 16 befragten Datenschutzbehörden der Bundesländer antworteten, ging hervor, dass diese seit Ende Mail letzten Jahres lediglich in 75 Fällen Bußgelder aufgrund von Verstößen gegen die DSGVO verhängt haben.
  • Dabei addierten sich die Bußgelder auf insgesamt rund 450.000 EUR.

DSGVO-Sanktionsspitzenreiter war die Datenschutzbehörde Nordrhein-Westfalen

Die meisten Bußgelder verhängte die Datenschutzbehörde in Nordrhein-Westfalen, die allein für 36 Fälle verantwortlich zeichnet.

In Berlin waren es 18 Fälle, in Rheinland-Pfalz 9 und Baden-Württemberg  wurden mit 7 DSGVO-Bußen ebenfalls noch überdurchschnittliche viele Bußgelder verhängt.

Aus Mecklenburg-Vorpommern und Thüringen wurden keine Zahlen bekannt.

Wie sah es bei den verhängten DSGVO-Bußgeldhöhenaus 

Die Spanne der Bußgeldbeträge ist weit. Die höchsten Bußgelder wurden demnach in Baden-Württemberg und Berlin verhängt.

  • Das höchste Bußgeld musste ein Unternehmen in Baden-Württemberg zahlen, nachdem Gesundheitsdaten im Internet frei zugänglich waren. Hier betrug das Bußgeld immerhin 80.000 EUR.
  • 50.000 EUR Bußgeld verhängte der Berliner Datenschutzbeauftragte gegen eine Bank, die unbefugt personenbezogene Daten ehemaliger Kunden verarbeitet hatte.
  • Bei den 36 geahndeten Datenschutzverstößen in Nordrhein-Westfalen wurden dagegen insgesamt lediglich 15.600 Euro an Bußen verhängt, was einem Durchschnitt von gut 430 Euro entspricht.
  • Im Saarland, wo drei Bußgelder verhängt wurden, lag der Durchschnittsbetrag sogar unter 200 Euro.
  • Der Durchschnitt über alle 75 Fälle betrug aufgrund der genannten Fälle mit deutlich höheren Bußgelder dagegen immerhin rund 6.000 Euro.

Bundesdatenschutzbeauftragter mit DSGVO zufrieden

Insgesamt zufrieden mit der DSGVO zeigte sich anlässlich der Vorstellung des jährlichen Datenschutzberichts auch der Bundesbeauftragte für den Datenschutz, Ulrich Kelber (SPD), der darauf verwies, dass sich dieser Gesetzesrahmen zu einem Vorbild für andere Staaten und Regionen weltweit entwickelt habe.

Verbesserungsmöglichkeiten sieht er insbesondere bei den Informations- und Dokumentationspflichten für kleinere Unternehmen, Vereine und Privatpersonen, die oftmals zu einer übermäßigen Belastung führen könnten.

Landesdatenschützer wollen verstärkt kontrollieren

Natürlich gäbe es deutlich mehr Gründe für Sanktionen, allerdings kommen die Behörden bisher rein personell nicht hinterher. Ob die Zahl der Beanstandungen und Bußgelder allerdings auch künftig so gering bleiben wird wie bislang, ist durchaus fraglich.

  • Einerseits beklagen die Landesdatenschützer eine enorme Überbelastung,
  • andererseits haben einige bereits eine Verschiebung von Tätigkeitsfeldern angekündigt.

Habe man im letzten Jahr vor allem Beratung und Information in den Fokus gestellt, wolle man künftig auch wieder verstärkt die Einhaltung der Vorgaben kontrollieren, warnte etwa der baden-württembergische Landesdatenschützer Stefan Brink die Unternehmen in seinem Bundesland und verwies zugleich darauf, dass seine Behörde auch staatsanwaltschaftliche Befugnisse habe.

Weitere News zum Thema:

Fragwürdiges Bußgeld wegen fehlendem Vertrag zur Auftragsverarbeitung

Ziele des neuen Datenschutzbeauftragten

Hintergrund:

Teilweise können eingehend Beschwerden nicht zeitnah bearbeitet werden

Kürzlich hatte etwa der Hamburger Datenschutzbeaufragte Johannes Caspar anlässlich der Vorstellung des Tätigkeitsberichts 2018 auf eine personelle Unterausstattung seiner Behörde hingewiesen. Dies habe auch dazu geführt habe, dass rund jede dritte der eingegangenen Beschwerden bislang nicht bearbeitet werden konnte.

Strafen im Ausland:

Bereits im Juli 2018 verhängte die portugiesische Aufsichtsbehörde eine Geldbuße von 400.000 EUR gegen ein Krankenhaus wegen eines Zugriffs auf Patientendaten.

Im Oktober 2018 verhängte die österreichische Datenschutzbehörde eine Geldbuße von 4.800 EUR wegen einer unzulässigen Videoüberwachung in einem öffentlichen Raum.

DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, EU-Recht, Sanktion