Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 sehen sich Unternehmen bei Datenschutzverstößen mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes konfrontiert – je nachdem, welcher der Beträge höher ist.
Die Gesamtsumme sämtlicher wegen Verstößen gegen die DSGVO in der EU bislang verhängten Bußgelder liegt mittlerweile bei über 1,5 Milliarden Euro. Dabei führt das Rekordbußgeld der luxemburgischen Datenschutzaufsichtsbehörde in Höhe von 746 Millionen Euro gegen Amazon die Liste der bislang höchsten Bußgelder an. Dahinter folgen Bußgelder der irischen Aufsichtsbehörde in Höhe von 225 Millionen Euro gegen WhatsApp sowie die 90 Millionen Euro Sanktion der französischen Datenschutzaufsichtsbehörde gegen Google. Auffällig ist insoweit, dass die fünf höchsten Bußgelder allesamt im Jahr 2021 verhängt wurden.
DSGVO-Bußgelder haben allerdings nicht nur mit Blick auf die Höhe, sondern auch in der Anzahl deutlich zugenommen. Im vergangenen Jahr wurde die kritische Masse von 1.000 offiziell verhängten Bußgeldern überschritten. 505 dieser Bußgelder haben die europäischen Datenschutzbehörden alleine zwischen März 2021 und März 2022 verhängt, während es in den drei Jahren zuvor insgesamt (nur) 526 Bußgelder waren.
Nicht alle Branchen stehen gleichermaßen im Fokus der Datenschutzbehörden
Ein Blick in den GDPR Enforcement Tracker (hier abrufbar) – eine frei zugängliche Datenbank der Wirtschaftskanzlei CMS, die sämtliche öffentlich bekannte DSGVO-Bußgelder auflistet – zeigt, dass sich die Bußgeldpraxis je nach Branche erheblich unterscheidet. So entfallen bislang z.B. nur wenige und im Durchschnitt niedrige Bußgelder auf die Immobilienbranche oder den Bereich der Hotellerie und Gastronomie. Industrie- und Handelsunternehmen sowie die Medien- und Telekommunikationsbranche sehen sich hingegen einem besonders hohen Bußgeldrisiko ausgesetzt. In diesen beiden Sektoren scheinen die Aufsichtsbehörden besonders genau hinzusehen und auch vor sehr hohen Sanktionen nicht zurückzuschrecken. Ursächlich dafür dürfte neben der überwiegenden B2C-Tätigkeit der entsprechenden Unternehmen insbesondere der verstärkte Einsatz neuer Technologien in diesen Branchen sein.
Kleinstunternehmen oder Privatpersonen sollten sich aber nicht darauf verlassen, „unter dem Radar der Datenschutzbehörden zu fliegen“. Denn in der Vergangenheit wurden durchaus auch zahlreiche Bußgelder gegen Privatpersonen, einzelne Restaurants und sogar Betreiber eines Kebab-Stands verhängt. In solchen Fällen sind die verhängten Bußgelder in der Regel aber moderater und liegen meist im dreistelligen oder niedrigen vierstelligen Bereich.
Die Gründe für die verhängten DSGVO-Bußgelder sind vielfältig und zu einem gewissen Grad auch branchenspezifisch. Eine Auswertung der bislang verhängten Bußgelder zeigt aber, dass die europäischen Datenschutzbehörden offensichtlich besonders häufig intervenieren, wenn keine ausreichende rechtliche Grundlage für die Datenverarbeitung vorhanden ist, die in Art. 5 DSGVO verankerten allgemeinen Grundsätze der Datenverarbeitung nicht beachtet werden oder aber unzureichende technische und organisatorische Maßnahmen getroffen werden.
Es bestehen große Unterschiede in der Praxis der europäischen Aufsichtsbehörden
Auch wenn die DSGVO auf eine vollständige Harmonisierung des Datenschutzrechts innerhalb der EU abzielt, bestehen zumindest mit Blick auf die Bußgeldpraxis noch signifikante Unterschiede zwischen den Datenschutzbehörden in den verschiedenen Mitgliedstaaten. Wie die soeben erschienene dritte Auflage des jährlichen GDPR Enforcement Tracker Reports (hier abrufbar) zeigt, ist die spanische Datenschutzbehörde besonders aktiv und verhängt seit Inkrafttreten der DSGVO mit großem Abstand die meisten Bußgelder. Dahinter folgen die Aufsichtsbehörden in Italien, Rumänien und Ungarn, die zusammen allerdings immer noch weniger Sanktionen verhängt haben als Spanien allein. Die im Schnitt höchsten Bußgelder wurden bislang in Luxemburg, Irland und Frankreich verhängt – wobei diese Durchschnittswerte im zweistelligen Millionenbereich natürlich im Lichte der dort verhängten Big-Tech-Rekordbußgelder gelesen werden müssen. Gleichzeitig gibt es aber auch immer noch EU-Mitgliedstaaten wie etwa Slowenien, in denen bis heute kein einziges Bußgeld wegen Datenschutzverstößen verhängt wurde.
Im Mai 2022 hat der Europäische Datenschutzausschuss (EDSA) erstmals Leitlinien zur Berechnung von Bußgeldern nach der DSGVO zur Konsultation veröffentlicht. Dadurch soll die Bemessung von Geldbußen vereinheitlicht und transparenter ausgestaltet werden. Da aber auch nach dem Konzept des EDSA letztlich der konkrete Einzelfall für die Bußgeldhöhe entscheidend bleiben soll, dürfte es künftig wohl nach wie vor erhebliche Unterschiede in der Bußgeldpraxis der Datenschutzbehörden geben.
Die Bußgeldkurve steigt immer weiter an
Rückblickend ist davon auszugehen, dass die europäischen Datenschutzbehörden nach Inkrafttreten der DSGVO zunächst bewusst noch eine gewisse Orientierungsphase zugelassen haben, um Unternehmen die Gelegenheit zu geben, sich mit den neuen datenschutzrechtlichen Anforderungen vertraut zu machen. So lässt sich erklären, dass 2018 und 2019 nur relativ wenige und in der Höhe recht moderate Bußgelder verhängt wurden. In den vergangenen beiden Jahren hat die Zahl der Bußgelder nun aber stark zugenommen – und diese Entwicklung scheint sich weiter fortzusetzen. Denn auch wenn die Datenschutzbehörden schon 2020 teilweise massive Sanktionen verhängt haben, wurden diese im Jahr 2021 noch einmal von Bußgeldern in nie dagewesener Höhe übertrumpft.
Die Präzedenzfälle Deutsche Wohnen und 1&1 zeigen aber, dass Millionenbußgelder in Deutschland mittlerweile nicht mehr zwingend in Stein gemeißelt sind, sondern durch Gerichte auch deutlich reduziert oder sogar ganz aufgehoben werden können. Daher kann es sich für Unternehmen je nach den individuellen Umständen des Einzelfalles durchaus lohnen, einen Bußgeldbescheid gerichtlich anzufechten.
Autorin:
Dr. Anna Lena Füllsack ist Rechtsanwältin am Hamburger Standort der Wirtschaftskanzlei CMS Deutschland. Sie berät mittelständische und börsennotierte Unternehmen im IT- und Datenschutzrecht. Sie unterstützt Mandanten vor allem bei der Vertragsgestaltung im IT-Bereich und bei der rechtssicheren Umsetzung der europäischen Datenschutzgrundverordnung (DSGVO).
Titelbild pixabay
Aussagen des Autors und des Interviewpartners geben nicht unbedingt die Meinung der Redaktion und des Verlags wieder