Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mitte 2018. Über 400 Bußgelder haben die europäischen Datenschutzbehörden seitdem schon verhängt – in Summe rund 300 Millionen Euro. Dieser Artikel zeigt, welche Rechtsverletzungen die Behörden am häufigsten mit Bußgeldern belegen. Außerdem zeichnet er anhand der neuesten Entscheidungen die aktuellen Tendenzen zur Bußgeldhöhe nach – verbunden mit einem Ausblick auf die künftige Praxis der Behörden.
Bußgelder für Datenschutzverstöße – aus dem Schatten in die Schlagzeilen
Eine wesentliche Neuerung seit Geltung der DSGVO sind die umfassenderen Befugnisse der Datenschutzbehörden zur Verhängung von Bußgeldern bei Datenschutzverstößen. Die Behörden können für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen. Zum Vergleich: In Deutschland galt zuvor eine Obergrenze von 300.000 Euro. Die Behörden in Europa und in Großbritannien haben von den neuen Befugnissen nach einer anfangs vorsichtigen Phase umfassend Gebrauch gemacht: In den Top 5 der höchsten Bußgelder finden sich Namen und Zahlen, die Schlagzeilen gemacht haben: darunter 50 Millionen Euro Bußgeld für Google in Frankreich und kürzlich erst 35 Millionen Euro für H&M in Deutschland.
Kategorisierung der bisherigen Entscheidungen
Zur Vollstreckung der DSGVO-Bußgelder sind die Datenschutzbehörden der Mitgliedsstaaten berufen. Jede Behörde hat eine andere Praxis bei der Bußgeldverhängung und Veröffentlichung der Entscheidung. Die Entscheidungen zur Höhe der Bußgelder sind also uneinheitlich – zentral verfügbar sind sie erst recht nicht. Diese Lücke schließt der „Enforcement Tracker“ der Kanzlei CMS. Das Tool erfasst sämtliche veröffentlichten Entscheidungen zu DSGVO-Verstößen und kategorisiert sie unter anderem nach zugrundeliegenden Rechtsverletzungen, Ländern und Sektoren.
Erst die Kategorisierung im „Enforcement Tracker“ ermöglicht es, Schlüsse aus den bisherigen Entscheidungen der Behörden zu ziehen. Dabei werden Unternehmen wissen wollen, wie sie Bußgelder vermeiden können und wie die Praxis ihrer nationalen Datenschutzbehörde aussieht. Diese Analyse lässt sich nun im „GDPR Enforcement Tracker Report“ finden.
Die zentralen Ergebnisse des Reports: Die meisten Bußgelder verhängten die Behörden für die Missachtung des Grundsatzes der Rechtmäßigkeit der Datenverarbeitung. An zweiter Stelle stehen Verletzungen der Datensicherheit.
Aktuelle Entwicklungen zur Höhe der Bußgelder
Beide erwähnten Rechtsverletzungen finden sich in den genannten Top 5 der bislang höchsten Bußgelder. Anhand der Entscheidungen zu Google, H&M, British Airways und Marriott lässt sich der Fokus der Behörden erklären:
Bei dem Bußgeld der französischen Datenschutzbehörde CNIL in Höhe von 50 Millionen Euro für Google handelt es sich um das höchste bislang unter der DSGVO verhängte. Die Behörde bemängelte intransparente Informationen bei Aufsetzen eines Google-Accounts im Android-Betriebssystem. Zudem hatte Google keine wirksamen Einwilligungen der Nutzer für personalisierte Werbung eingeholt. So krankten die Einwilligungen insbesondere daran, dass sie nicht bestimmt genug und missverständlich abgegeben wurden. Erst kürzlich hat der Conseil d’Etat, das oberste französische Verwaltungsgericht, die Entscheidung der CNIL bestätigt.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte erst im Oktober 2020 mit 35 Millionen Euro das in Deutschland bislang höchste Bußgeld für die Modekette H&M. Der Konzern hatte in einem Servicecenter Beschäftigte überwacht. Konkret hatten die Abteilungsleiter Details aus dem Privatleben der Beschäftigten aufgezeichnet und so Persönlichkeitsprofile erstellt – darunter sensible Daten wie Krankheitssymptome oder religiöse Bekenntnisse. Diese Aufzeichnungen waren für eine Vielzahl Beschäftigter einsehbar. Zudem nutzte H&M die Profile für Entscheidungen zum Arbeitsverhältnis. Da die Datenverarbeitung offensichtlich nicht für das Arbeitsverhältnis notwendig war, qualifizierte die Behörde diese Praxis als eklatant rechtswidrig – was sich auch im hohen Bußgeld widerspiegelte.
Im Juli 2019 kündigte die britische Datenschutzbehörde ICO ein gewaltiges Bußgeld für British Airways in Höhe von umgerechnet rund 200 Millionen Euro an. Dieses schrumpfte nun zu einem tatsächlichen Bußgeld von 22 Millionen Euro zusammen – noch immer ein stolzer Betrag. Mangelhafte IT-Sicherheitsmaßnahmen ermöglichten es Hackern, an Daten von mehr als 400.000 Kunden zu gelangen – darunter Namen und Adressen, aber auch Kreditkarteninformationen. Die ICO kritisierte grobe Mängel in der IT-Sicherheit. Hinzu kommt, dass die Cyberattacke von British Airways über Monate unentdeckt blieb. Erst durch den Hinweis eines Dritten erfuhr die Fluggesellschaft von ihr. Zu den Gründen, wieso am Ende nur ein Zehntel des angekündigten Bußgelds verhängt wurde, bleibt die ICO vage. Eine Rolle spielten die wirtschaftlichen Folgen der Covid-19-Pandemie, die die Luftfahrtbranche besonders trafen. Außerdem hat British Airways nach der Cyberattacke die IT-Sicherheit stark verbessert.
Auch das Bußgeld der ICO gegen den Hotelkonzern Marriott im Oktober 2020 betrug „nur“ noch umgerechnet 20 Millionen Euro statt der 2019 angekündigten rekordverdächtigen 110 Millionen Euro. Es ist ebenso auf mangelhafte Datensicherheit zurückzuführen. Die Hotelkette Starwood Hotels and Resorts war von 2014 bis 2018 Opfer einer Cyberattacke. Marriott hat Starwood übernommen, ohne den Angriff zu bemerken. So konnten die Hacker über Jahre auf Daten von etwa 339 Millionen Gästen zugreifen. Besonders heikel: Die Daten umfassten die Passnummern sowie Informationen zum Aufenthalt der Gäste. Fehlende IT-Sicherheitsmaßnahmen waren schuld daran, dass der Cyberangriff lange unbemerkt blieb und die Hacker ihren Zugriff auf Gästedaten ausweiten konnten. Die Gründe für die massive Reduktion der Geldbuße liegen nach Angaben der ICO zum einen in den schweren ökonomischen Schäden durch die Covid-19-Pandemie. Zum anderen hat Marriott prompt reagiert und die betroffenen Kunden und die ICO umgehend informiert, nachdem die Cyberattacke bekanntwurde. Als besonders positiv hebt die ICO hervor, dass Marriott sofort Maßnahmen zur Schadensminderung ergriff und die IT-Sicherheit verstärkte.
Ein Blick in die Glaskugel
Die Rechtmäßigkeit der Datenverarbeitung und wirksame Datensicherheitsmaßnahmen werden auch in Zukunft im Fokus der Datenschützer stehen. Die Beispiele zeigen, dass die Reaktion auf einen Verstoß die Höhe des Bußgelds stark beeinflusst. Unternehmen sollten daher wissen, wie sie auf Vorfälle reagieren. Schnelligkeit und eine enge Zusammenarbeit mit den Behörden sind entscheidend. Die Covid-19-Pandemie wird in vielen Branchen tragischerweise ihre Spuren hinterlassen. Da die Datenschutzbehörden den Umsatz als Basis für die Höhe der Bußgelder heranziehen, ist von kleineren Rechengrößen und „Tagessätzen“ auszugehen. Auch wenn in der Hotel- und Transportbranche in naher Zukunft keine Rekordbußgelder zu erwarten sind, müssen Unternehmen aller Branchen stets die DSGVO-Vorgaben erfüllen. Denn die Behörden können für schwere Verstöße einen höheren Multiplikationsfaktor ansetzen, der den geringeren Tagessatz „ausgleicht“. Das Bußgeld kann so wieder nach oben schnellen. Kein Unternehmen sollte also auf die Nachsicht der Behörden setzen.
