Ich helfe Ihnen, rufen Sie an!
24h* +49 611 89060871
(*soweit technisch verfügbar)
Kostenlosen Ratgeber zur Verteidigung gegen
Abmahnung als 28 Seiten PDF-Dokument
Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!
In Deutschland sind seit dem Inkrafttreten der DSGVO derzeit wahrscheinlich etwa 100 Bußgelder verhängt worden, allerdings ist über die Höhe und die Umstände der einzelnen Fälle oft nur wenig bekannt. Dennoch gibt es einige herausstechende deutsche Fälle, die Medienwirksamkeit erlangt haben zu denen nachfolgend berichtet wird, lesen Sie auch die von uns erstellte Bußgeldfallübersicht zu Datenschutzsachen in Deutschland (über 50 Fälle) bezüglich der Jahre 2018 / 2019 welche unter diesem Link als PDF-Download verfügbar ist. Im zweiten Teil werden internationale Bußgeldfälle u.a. gegen google, facebook usw. erläutert welche sehr erhebliche Bußgelder mit sich brachten, lesen Sie auch unsere internationale Bußgeldtabelle zu Datenschutzfällen (über 90 Fälle) bezüglich der Jahre 2018 / 2019 ebenfalls hier als PDF-Download erhältlich. Darüber hinaus finden Sie auch zum Gesundheitsdatenschutz hier eine internationale Fallübersicht der Jahre 2017 bis 2019 als PDF-Download. Schließlich sein noch auf ein neues Berechnungsmodell der Datenschutzbehörden hingewiesen und einen der ersten Datenschutzbußgeldsimulatoren nach Inkrafttreten der DSGVO.
2019 hat sich der Betrag des höchsten verhängten Bußgelds in Deutschland im Vergleich zu 2018 bezüglich uns bekannt gewordener Fälle bezüglich Rechtsverletzungen nach der DSGVO wohl etwa verdoppelt: Das höchste nationale Bußgeld welches uns bisher bekannt wurde, wurde von der Berliner Landesdatenschutzbeauftragten verhängt und beträgt satte 200.000 €. Dabei handelte es sich um zwei Bußgeldbescheide gegen ein nicht genanntes Unternehmen, das derzeit noch Rechtsmittel gegen die Entscheidung einlegen kann. Weiterzulesen unter dieser Seite.
Das ist aber erst der Anfang: Für ein laufendes Verfahren gegen ein weiteres nicht genanntes Unternehmen ist ein Bußgeld von mindestens 10.000.000 € in Aussicht, wie die Pressesprecherin der Berliner Landesdatenschutzbeauftragten im August 2019 mitteilte, siehe hierzu mehr auf folgender Seite. Da nicht bekannt ist, um was für eine Art von Verstoß es sich handelt, könnte es sich hierbei bereits um eine Ausschöpfung des Bußgeldrahmens der DSGVO handeln, wenn zum Beispiel das Unternehmen gegen Anforderungen der Technikgestaltung nach Art. 25 DSGVO verstoßen hat.
Bei den stärker geahndeten Verstößen z.B. gegen die Grundprinzipien des Datenschutzes (Rechtmäßigkeit, Fairness und Transparenz) bewegt sich die Summe allerdings noch nicht am Ende des Bußgeldrahmens der DSGVO, der nach Art. 83 V, VI Bußgelder in Höhe von 20.000.000 € oder 4 % des Jahresumsatzes eines Unternehmens zulässt, was bei sehr großen Unternehmen Beträge in dreistelliger Millionen- oder sogar Milliardenhöhe sein können.
Offenbar geht der Trend nun auch in Deutschland zu einer Nutzung des vollen Bußgeldrahmens in kommenden Bußgeldverfahren.
Einer der ersten Fälle betraf die Chatplattform Knuddels aus Baden-Württemberg. Diese wurde Opfer eines Hackerangriffs, bei dem Nutzerdaten von 330.000 Personen entwendet werden konnten. Grund dafür war u.a. die fehlende Verschlüsselung bei den gespeicherten Passwörtern.
Mit 20.000 € fiel das vom LfDI Baden-Württemberg verhängte Bußgeld vergleichsweise niedrig aus. Grund dafür war die vollständige Kooperation des Unternehmens mit der Aufsichtsbehörde: Knuddels machte selbst Meldung über den Vorfall (vorgeschrieben nach Art. 33 DS-GVO) und investierte nach Vorschlägen des LfDI in großem Umfang in die Implementierung von verbesserten Sicherheitsmaßnahmen, um u.a. den Vorgaben nach Art. 32 DS-GVO gerecht zu werden. Die Aufsichtsbehörde führte aus, dass die Ausgaben des Unternehmens nach dem Verhältnismäßigkeitsgrundsatz bei der Bemessung der Bußgeldhöhe zu berücksichtigen waren. Diese ins Bußgeld eingeschlossen beliefen sich die Kosten für den DSGVO - Verstoß auf einen sechsstelligen Betrag, weiter lesen unter dieser Website.
Ein Fall, der eher als Warnbeispiel gegen Kooperation mit den Datenschutzaufsichtsbehörden wirkte, war der von Kolibri Image. Das kleine Farb- und Stilberatungsunternehmen aus Hamburg hatte für bestimmte Expresszustellungen einen spanischen Paketlieferdienst beauftragt. Mit Einführung der DSGVO wollten die Inhaber einen Auftragsverarbeitungsvertrag mit diesem schließen. Wegen fehlender Informationen über dessen Datenverarbeitungspraxis und sonst anfallender Übersetzungs- und Anwaltskosten bat Kolibri Image den Dienstleister um die Stellung eines entsprechenden Vertrags. Die Bemühungen fielen allerdings auf fruchtlosen Boden. Sodann wandte sich Kolibri Image an den Hessischen Datenschutzbeauftragten (HDBI), weil sich in dessen Aufsichtsgebiet die deutsche Niederlassung des Paketdienstleisters befand. Man erhoffte sich Rat und Einwirkung auf den Vertragspartner. Der HDBI sah sich hierzu allerdings nicht zuständig und als Kolibri Image es daraufhin unterließ, diesem das weitere Vorgehen zu berichten, gab er den Fall an den HmbBfDI weiter, der den Bußgeldbescheid über 5.000 € wegen Verstoßes gegen Art. 28 III DS-GVO erließ. Kolibri Image hatte nach den erfolglosen Bemühungen, einen Auftragsverarbeitungsvertrag zu schließen, die Zusammenarbeit mit dem spanischen Dienstleister beendet. Da im Nachhinein nicht nachgewiesen werden konnte, dass der Paketdienstleister noch nach Inkrafttreten der DSGVO für Kolibri Image tätig war, wurde der Bußgeldbescheid allerdings soweit uns bekannt später zurückgenommen.
Die in den Medien auftauchenden „großen“ Fälle sollten allerdings nicht zu der Annahme verleiten, dass nur Unternehmen von Sanktionen nach der DSGVO betroffen sein können. Immer wieder tauchen auch Fälle von einzelnen Privatpersonen auf, die auch empfindlich von Bußgeldern betroffen sein können.
Zum Beispiel habe im Saarland ein Mann am Auto einer anderen Person, mit der er zuvor liiert gewesen sei, ein GPS-Gerät angebracht, um deren Aufenthaltsorte nachzuverfolgen. Auch hierbei handelt es sich wohl um eine Datenverarbeitung im Sinne der DSGVO, und diese stellte ohne legitimen Zweck einen Verstoß gegen Art. 5 I b und 6 DS-GVO dar, die mit einem Bußgeld von 228,50 € geahndet wurde.
Die Bußgeldhöhe ist aber nicht zwangsläufig gering, wenn kein Unternehmen betroffen ist, vielmehr komme es auf die Art des Verstoßes und die Menge der betroffenen Daten an. Dies musste ein Mann aus Sachsen-Anhalt feststellen: Er habe in zahlreichen Fällen wütende E-Mails an Vertreter aus Wirtschaft, Presse und Politik mit einem offenen Verteiler versendet, der über 100 E-Mail-Adressen enthielt, die dadurch allen Empfängern gegenüber offengelegt wurden seien. Das Bußgeld betrug hierfür 2.628,50 €.
Zwar halten sich die Bußgeldverfahren und -höhen im europäischen Vergleich von einem Jahr nach der DS-GVO noch stark in Grenzen, dies liege aber vor allem daran, dass (nach den Tätigkeitsberichten der Landesdatenschutzbeauftragten) noch viele Verfahren nach dem alten BDSG abgeschlossen werden müssen und die Kapazitäten der Behörden nicht entsprechend der seit DS-GVO umfangreicheren Aufgabenpalette aufgestockt wurden sei. Momentan werden wohl hauptsächlich Verfahren aufgrund von Beschwerden eingeleitet, „ex officio“-Untersuchungen seien noch in der Minderzahl.
In der näheren Zukunft seien allerdings zahlreichere Bußgelder in größerer Höhe zu erwarten, wie der LfDI Baden-Württemberg, Stefan Brink, in einem Interview sagte. Baden-Württemberg liege mit den höchsten verhängten Bußgeldern 2018 im nationalen Vergleich vorn, neben den 20.000 € gegen Knuddels wurden zwei Bußgelder in Höhe von 80.000 € verhängt (eines nach altem BDSG, wie der LfDI in seinem Twitter-Feed bestätigte. Eines der Bußgelder habe (vermutlich nach BDSG a.F.) die versehentliche digitale Veröffentlichung von Gesundheitsdaten durch ein Krankenhaus betroffen. Die Höhe des Bußgelds liege vor allem an dem besonderen Schutz, den höchstpersönliche, sensible Daten -wie eben Gesundheitsdaten- im Datenschutzrecht genießen.
International sind bisher deutlich höhere Bußgelder als in Deutschland nach dem Datenschutzrecht verhängt worden, hier zu unserer Fallübersicht als PDF-Download.
Zu Beginn sei das Bußgeld von 50 Millionen € zu nennen, dass die französische Commission Nationale de l’Informatique et des Libertés (CNIL) gegen Google verhängte (und gegen welches Google derzeit noch versucht vorzugehen). Nachdem Beschwerden der Datenschutzorganisationen NOYB („None Of Your Business“) und LQDN („La Quadrature Du Net“) eingegangen waren, führte die CNIL (nach Absprache mit anderen Datenschutzbeauftragten wie der irischen DPA) die Untersuchungen durch mit dem Ergebnis, dass Google gegen zahlreiche Grundsätze des Datenschutzes verstieße. So sei die Datenverarbeitung durch Google an vielen Stellen intransparent und nur schwer nachvollziehbar für Nutzer, die Einwilligungen, die Google einhole, würden unzulässigerweise gebündelt für mehrere Dienste und die Nutzer seien nicht hinreichend informiert über Zweck und Ausmaße der Datenerhebung.
Das erste nach DS-GVO gegen Google verhängte Bußgeld sei aber erst der Anfang des Kampfs gegen die systematischen Datenschutzverstöße der „Tech Giants“.
Datenschutzorganisationen wie die österreichische NOYB haben zahlreiche Beschwerden gesammelt und im Namen der Nutzer an Datenschutzbeauftragte weitergereicht. Im Falle von NOYB liegen beim österreichischen DSB z.B. Beschwerden gegen Netflix, YouTube, Spotify, Apple Music und Amazon Prime vor.
Auch in Deutschland liegen bereits Beschwerden wegen angeblicher Rechtsverstöße vor: Gegen Facebook haben wegen angeblicher Datenschutzverstöße sowohl die Grünen als auch die Verbraucherzentrale Sachsen bereits Klage erhoben.
Irland, das von vielen der globalen Unternehmen als Sitz für ihre europäische Hauptniederlassung gewählt wurde, führt derzeit wahrscheinlich mehr als ein Dutzend Untersuchungen durch, die wahrscheinlich mit der Verhängung von Auflagen und Bußgeldern enden werden. Es sollen Untersuchungen aufgrund von Beschwerden und aus eigenem Ermessen der Behörde gegen Facebook, WhatsApp, Apple, Twitter, Instagram und LinkedIn aktuell laufen, siehe unter dem Link dort u.a. S. 50f.
Facebook kämpft derzeit auch noch mit den Folgen des Cambridge-Analytica-Skandals, nach dem von verschiedenen Behörden gegen das Unternehmen Geldbußen verhängt bzw. ausgehandelt wurden: Die US-amerikanische Handelsaufsicht (Federal Trade Commission, FTC) habe sich mit Facebook auf eine Strafzahlung von 5 Milliarden US-Dollar geeinigt, zusätzlich müsse Facebook nun weitere Maßnahmen zum Datenschutz ergreifen. Zum Beispiel werde im Vorstand ein zusätzliches Datenschutzgremium eingerichtet.
Von der US-amerikanischen Börsenaufsicht SEC (Securities and Exchange Commission) wurde Facebook mit 100 Mio. US-Dollar dafür sanktioniert, dass die Verantwortlichen Betroffene und Behörde über mögliche Gefährdungen der Daten irreführten, als die Verantwortlichen des Unternehmens längst von der Kompromittierung gewusst haben sollen.
In Italien habe die Datenschutzaufsichtsbehörde (Garante per la Protezione dei Dati Personali, kurz: Garante) aufgrund des Skandals ein Bußgeld von 1 Mio. € ausgesprochen, da auch die Daten von 200.000 Italienern betroffen seien, dies geschah allerdings noch nach italienischem Recht, vor Inkrafttreten der DSGVO.
Demnach ist wahrsscheinlich zu erwarten, dass sich bei den systematisch gegen die DS-GVO verstoßenden „Tech Giants“ in den nächsten Jahren einiges zur Verbesserung des Datenschutzes einstellen wird und/oder dass sie sich hohen Bußgeldern stellen müssen, die wahrsscheinlich „wirksam, verhältnismäßig und abschreckend“ (Art. 83 DS-GVO) bemessen sein werden.
Weitere enorme Bußgelder habe das britische Information Commissioner’s Office (ICO) angekündigt: Wegen eines Datenlecks, das Unbefugten Zugriff auf Daten von 339 Mio. Hotelgästen (davon 30 Mio. EU-Bürger) ermöglichte, will das ICO ein Bußgeld von umgerechnet ca. 110 Mio. € gegen Marriott verhängen. Derzeit geht Marriott noch hiergegen vor.
Bei der Fluglinie British Airways seien Kreditkarten- und Adressdaten von 500.000 Kunden gehackt worden aufgrund unzureichender Sicherheitsvorkehrungen. Das ICO kündigte an, dies mit einem Bußgeld von umgerechnet ca. 204 Mio. € ahnden zu wollen. Auch dieses Bußgeld sei noch nicht rechtskräftig.
Hier zu unserer Fallübersicht im Gesundheitswesen in Datenschutzsachen als PDF-Download.
Die Verarbeitung besonders sensibler Daten unterliegt Art. 9 DS-GVO aufgrund ihrer erhöhten Schutzbedürftigkeit zusätzlichen Anforderungen. Ein Datenschutzverstoß, der diese Daten betrifft, zieht daher hohe Konsequenzen nach sich. In Deutschland sei wegen der versehentlichen Offenlegung von Gesundheitsdaten ein hohes Bußgeld von 80.000 € verhängt worden.
Im europäischen Vergleich ist das Bußgeld aber noch gnädig ausgefallen: In Portugal wurde gegen ein Krankenhaus ein Bußgeld von 400.000 € erhoben, nachdem bekannt wurde, dass Unbefugte durch falsche Nutzerprofile in der Datenbank auf komplette Krankenakten Zugriff hatten – es seien 3x mehr Ärzte-Profile als Ärzte vorhanden gewesen.
Sogar 460.000 € Bußgeld (mit drohenden weiteren wöchentlichen Bußgeldern, wenn die Verstöße nach Ablauf des von der Aufsichtsbehörde gesetzten Ultimatums weiter andauern) wurden gegen ein Krankenhaus in den Niederlanden verhängt: Dort seien ebenfalls die technischen Sicherheitsvorkehrungen gegen den Zugriff Unbefugter nicht ausreichend gewesen, was bekannt wurde, als zahlreiche Zugriffe von dazu nicht berechtigten Mitarbeitern auf die Krankendaten einer niederländischen Reality-TV-Persönlichkeit erfolgt seien.
Weitere nennenswerte Fälle beschäftigten sich mit der illegitimen Überwachung von Angestellten und/oder Kunden:
In Spanien hatte die Fußball-Liga „La Liga“ ihre App zur Aufzeichnung von Mitschnitten der Mikrofone der Nutzer-Smartphones genutzt, um illegale Pay-TV-Spielübertragungen in Sportbars ausfindig zu machen. Dafür wurde ein Bußgeld von 250.000 € gegen sie verhängt.
In Österreich wurde der angebliche Verstoß eines Wettlokal-Betreibers gegen DS-GVO und österreichisches Recht durch die Installation einer Kamera, die neben dem Eingangsbereich auch den Gehweg (und damit einen unzulässig großen Bereich) erfasste, mit insgesamt 4.800 € geahndet.
Die Zahl der Bußgelder und vor allem auch ihre Höhe werden wahrscheinlich zukünftig zunehmen, sowohl in Deutschland als auch in ganz Europa sowie im Internationalen Bereich. Eine Sammlung von Meldungen zu aktuellen Fällen (die nicht nur Bußgelder betreffen) findet sich auf der Seite des EDPB (European Data Protection Board).
In Zukunft werden wahrscheinlich mehr Verfahren von Amts wegen eingeleitet werden, ohne dass erst Beschwerden durch Betroffene oder Datenschutzorganisationen eingehen müssen, die derzeit den Hauptanlass für Untersuchungen geben.
Kleinere Unternehmen und Privatpersonen werden wohl voraussichtlich genauso von Untersuchungen wegen Datenschutzverstößen betroffen sein wie die großen Unternehmen; auch wenn sich für sie die Bußgelder nicht in Millionenhöhe bewegen, werden Bußgelder nach Maßgabe der DSGVO trotzdem „wirksam“ und „abschreckend“ ausfallen können.
Die beste Strategie im Umgang mit der DSGVO ist umfassendes informieren und (soweit noch nicht erfolgt) einstellen auf ihre Erfordernisse bei der Verarbeitung von Daten. Sollte aber dennoch eine Datenpanne entstehen, ist wahrscheinlich die Kooperation mit den Aufsichtsbehörden und wohl auch die schnelle Abhilfe des datenschutzrechtswidrigen Zustands anzuraten.
Auch wäre die rechtzeitige Hinzuziehung eines Fachanwaltes im IT-Recht, eines Datenschutzbeauftragten und/oder IT-Sicherheitsbeauftragten nach unserer Ansicht bei eventuellen Datenpannen und damit möglichen Datenschutzverletzungen sinnvoll.
Sie dürfen auf diese Webseite verlinken, den Link finden Sie hier:
Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.
Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871
AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main
