Kanzlei
brochure image
Startups
brochure image
Karriere
brochure image
Logo
SUCHEN
/
/
/
/
/
/
Foto
03. März 2020

DSGVO – Mit welchen Bußgeldern müssen Startups bei Verstößen rechnen?

Von Bonny Kern im Bereich Datenschutzrecht

Die Panikmache im Vorfeld des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) war groß. Zuletzt geriet die deutsche Facebook-Niederlassung des US-amerikanischen Konzerns in das Visier der Datenschutzbehörden. Facebook hatte 2017 angekündigt, dass der bisherige Datenschutzbeauftragte sein Amt aufgeben würde. Die Facebook-Tochter setzte zwar einen neuen Datenschutzbeauftragten ein, vernachlässigte aber, dies auch dem Hamburgischen BfDI mitzuteilen, wonach er nach Artikel 37 Abs.7 der DSGVO verpflichtet gewesen wäre. Gegen Facebook wurde daher ein Bußgeld in Höhe von 51.000 Euro wegen Verstoß gegen die Datenschutzverordnung erlassen.

Wir zeigen in diesem Blogbeitrag auf, wie die Höhe eines Bußgeldes berechnet wird, stellen zusammen, welche Bußgelder tatsächlich in Deutschland und in der restlichen EU verhängt wurden und klären auf, ob die Panikmache berechtigt war.

Gesetzlicher Höchstbetrag für Bußgelder durch DSGVO festgelegt

Bei Verstößen gegen einige datenschutzrechtliche Pflichten, z.B. die Meldepflicht des Datenschutzbeauftragten nach Artikel 37 Abs.7 DSGVO, ist ein Bußgeld bis zu 20 Mio. Euro oder 4% des Jahresumsatzes zu zahlen. Wie die Bußgeld-Summe im Einzelfall aber konkret berechnet wird, war lange unklar.

Grundsätzliches Verfahren zur Berechnung von Bußgeldern als Leitlinie veröffentlicht

Die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder hat nun mit dem „Konzept der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder zur Bußgeld-Zumessung in Verfahren gegen Unternehmen“ eine erste Handlungsanweisung veröffentlicht. Dabei soll es sich um ein einheitliches Konzept zur Bemessung der Bußgelder gegen Unternehmen handeln.

Die Bußgeld-Zumessung gegen Unternehmen erfolgt danach in fünf Schritten:

1. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet

2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt

3. Danach wird ein wirtschaftlicher Grundwert ermittelt

4. Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert

5. Abschließend wird der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst

Da es für Startups keine Sonderregelungen unter der DSGVO gibt, gelten diese Grundsätze auch für Startups. Bußgelder werden daher grundsätzlich unabhängig von der Seniorität eines Unternehmens festgesetzt.

Keine Bindung der Behörden und Gerichte an das Konzept des Datenschutz-Ausschusses

Allerdings ist das veröffentlichte Konzept weder endgültig noch bindend. Den Datenschutz-Aufsichtsbehörden ist es erlaubt, jederzeit eine Änderung, Aufhebung oder Erweiterung ihres Konzepts mit Wirkung für die Zukunft zu beschließen. Auch die Gerichte sind nicht an die Berechnungsmethode des Konzeptes gebunden.

Die Unsicherheit bezüglich der Höhe eines Bußgeldes bleibt daher leider auch in Zukunft bestehen.

Höhe der in Deutschland verhängten Bußgelder

Eine erste Indikation liefern zumindest die bisher in Deutschland und der restlichen EU verhängten Bußgelder:

Unternehmen Höhe Bußgeld Verstoß für den Bußgeld verhängt wurde Verhängende Behörde
Deutsche Wohnen 14,5 Mio. Euro Zahlreiche Mieterdaten wurden nicht oder nicht korrekt gelöscht, Art. 25 DSGVO Berliner Aufsichtsbehörde
Delivery Hero 195.407 Euro Nicht gelöschte Kunden-Datensätze und unzulässige Werbemails Berliner Aufsichtsbehörde
Knuddels 20.000 Euro Unzulässige unverschlüsselte Speicherung von Passwörtern Baden-württembergische Datenschutzbeauftragte
1&1 Drillisch 9,6 Mio. Euro Kein ausreichender Schutz der persönlichen Kundendaten Ulrich Kälber, Bundesdatenschutz-beauftragter, Düsseldorf
Facebook Deutschland 51.000 Euro Unterlassene Mitteilung über den Wechsel des Datenschutzbeauftragten Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Hamburger Verkehrsverbund 20.000 Euro Verspätete Meldung einer Datenpanne an betroffene Personen und Aufsichtsbehörde Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Lebensmittelhand-werksunternehmen 100.000 Euro Unzureichender Schutz personenbezogener Daten in einem Bewerberportal Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
N26 Bank GmbH 50.000 Euro Ungerechtfertigte Speicherung der Daten früherer Nutzer Berliner Datenschutzbehörde
Universitätsmedizin der Johannes-Gutenberg-Universität Mainz 105.000 Euro Patienten-Verwechselung bei der Aufnahme eines neuen Patienten Der Landesbeauftragte für Datenschutz und Informationsfreiheit

 

Konkrete Bußgelder in Europa

Unternehmen Höhe Bußgeld Verstoß für den Bußgeld verhängt wird Verhängende Behörde
Google 50 Mio. Euro Nutzerinformationen über personenbezogene Daten nur schwer zugänglich; Zweck der Datenerhebung zu grob beschrieben Datenschutz-Behörde CNIL (Frankreich)
British Airways 204 Mio. Euro Mangelnder Schutz der Kundendaten vor Zugriffen Dritter Britische Datenschutzaufsichts-behörde, Elisabeth Denham
SAS Sergic Invest Etwa 110 Mio. Euro Offenlegung der Kundendaten über mehrere Jahre zugelassen Datenschutz-Behörde CNIL
Österreichische Post AG 18 Mio. Euro Verarbeitung von personenbezogenen Daten über vermeintliche politische Affinität von Betroffenen Wien (OTS) – Datenschutzbehörde
Universitätsklinikum von Verona 30.000 Euro Unbefugter Zugriff auf Patientendaten und mangelnde Sicherung der Daten Garante per la protezione dei dati -personali (Italien)
Vodafone Espana 75.000 Euro Unerlaubte Nutzung einer E-Mailadresse eines ehemaligen Kunden Agencia española -protección datos (Spanien)
Eni gas e luce SpA 3 Mio. Euro Unerlaubte Datenverarbeitung durch nicht genehmigte oder fingierte Vertragsverlängerungen Garante per la protezione dei dati -personali (Italien)
Tim SpA 900.000 Euro Überschreitung der Aufbewahrungsfristen und unerlaubte Datenspeicherung Garante per la protezione dei dati -personali (Italien)
DSG Retail Ltd 586.972 Euro 14 Mio. Kundendaten von 5.390 mangelhaft geschützten Kassensystemen durch Hacker erbeutet Information Commissioner’s Office

 

Fazit

Die Bußgelder für Datenschutz-Verstöße sind nach Inkrafttreten der DSGVO tatsächlich deutlich angestiegen und einige Behörden reizen den von der DSGVO vorgegebenen Rahmen aus. Dies gilt jedoch vorrangig für die Behörden in anderen EU-Staaten. In Deutschland bleibt die Höhe des Bußgeldes bisher moderat, insbesondere, wenn sich das betroffene Unternehmen kooperativ zeigt. Startups sollten daher nicht in Panik verfallen und sich vor Bußgeldern in Millionenhöhe fürchten. Der Datenschutz sollte jedoch von jedem Startup ernst genommen und umgesetzt werden.

 

Fragen?

Unsere Expertin

Unser Newsletter

Ansprechpartner

Zum WSS Startup Alert

Kategorien

WSS Redpoint - Newsletter

  • Ja, ich möchte regelmäßig über die neuesten Trends in der Startup-Szene, neue Wissensbeiträge und Workshops von WSS Redpoint sowie Pitches informiert werden.

  • Sie können Ihre Einwilligung jederzeit widerrufen. Nähere Informationen finden Sie hier.