Die Panikmache im Vorfeld des Inkrafttretens der Datenschutzgrundverordnung (DSGVO) war groß. Zuletzt geriet die deutsche Facebook-Niederlassung des US-amerikanischen Konzerns in das Visier der Datenschutzbehörden. Facebook hatte 2017 angekündigt, dass der bisherige Datenschutzbeauftragte sein Amt aufgeben würde. Die Facebook-Tochter setzte zwar einen neuen Datenschutzbeauftragten ein, vernachlässigte aber, dies auch dem Hamburgischen BfDI mitzuteilen, wonach er nach Artikel 37 Abs.7 der DSGVO verpflichtet gewesen wäre. Gegen Facebook wurde daher ein Bußgeld in Höhe von 51.000 Euro wegen Verstoß gegen die Datenschutzverordnung erlassen.
Wir zeigen in diesem Blogbeitrag auf, wie die Höhe eines Bußgeldes berechnet wird, stellen zusammen, welche Bußgelder tatsächlich in Deutschland und in der restlichen EU verhängt wurden und klären auf, ob die Panikmache berechtigt war.
Gesetzlicher Höchstbetrag für Bußgelder durch DSGVO festgelegt
Bei Verstößen gegen einige datenschutzrechtliche Pflichten, z.B. die Meldepflicht des Datenschutzbeauftragten nach Artikel 37 Abs.7 DSGVO, ist ein Bußgeld bis zu 20 Mio. Euro oder 4% des Jahresumsatzes zu zahlen. Wie die Bußgeld-Summe im Einzelfall aber konkret berechnet wird, war lange unklar.
Grundsätzliches Verfahren zur Berechnung von Bußgeldern als Leitlinie veröffentlicht
Die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder hat nun mit dem „Konzept der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder zur Bußgeld-Zumessung in Verfahren gegen Unternehmen“ eine erste Handlungsanweisung veröffentlicht. Dabei soll es sich um ein einheitliches Konzept zur Bemessung der Bußgelder gegen Unternehmen handeln.
Die Bußgeld-Zumessung gegen Unternehmen erfolgt danach in fünf Schritten:
1. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet
2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt
3. Danach wird ein wirtschaftlicher Grundwert ermittelt
4. Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert
5. Abschließend wird der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst
Da es für Startups keine Sonderregelungen unter der DSGVO gibt, gelten diese Grundsätze auch für Startups. Bußgelder werden daher grundsätzlich unabhängig von der Seniorität eines Unternehmens festgesetzt.
Keine Bindung der Behörden und Gerichte an das Konzept des Datenschutz-Ausschusses
Allerdings ist das veröffentlichte Konzept weder endgültig noch bindend. Den Datenschutz-Aufsichtsbehörden ist es erlaubt, jederzeit eine Änderung, Aufhebung oder Erweiterung ihres Konzepts mit Wirkung für die Zukunft zu beschließen. Auch die Gerichte sind nicht an die Berechnungsmethode des Konzeptes gebunden.
Die Unsicherheit bezüglich der Höhe eines Bußgeldes bleibt daher leider auch in Zukunft bestehen.
Höhe der in Deutschland verhängten Bußgelder
Eine erste Indikation liefern zumindest die bisher in Deutschland und der restlichen EU verhängten Bußgelder:
| Unternehmen | Höhe Bußgeld | Verstoß für den Bußgeld verhängt wurde | Verhängende Behörde |
| Deutsche Wohnen | 14,5 Mio. Euro | Zahlreiche Mieterdaten wurden nicht oder nicht korrekt gelöscht, Art. 25 DSGVO | Berliner Aufsichtsbehörde |
| Delivery Hero | 195.407 Euro | Nicht gelöschte Kunden-Datensätze und unzulässige Werbemails | Berliner Aufsichtsbehörde |
| Knuddels | 20.000 Euro | Unzulässige unverschlüsselte Speicherung von Passwörtern | Baden-württembergische Datenschutzbeauftragte |
| 1&1 Drillisch | 9,6 Mio. Euro | Kein ausreichender Schutz der persönlichen Kundendaten | Ulrich Kälber, Bundesdatenschutz-beauftragter, Düsseldorf |
| Facebook Deutschland | 51.000 Euro | Unterlassene Mitteilung über den Wechsel des Datenschutzbeauftragten | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit |
| Hamburger Verkehrsverbund | 20.000 Euro | Verspätete Meldung einer Datenpanne an betroffene Personen und Aufsichtsbehörde | Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit |
| Lebensmittelhand- werksunternehmen | 100.000 Euro | Unzureichender Schutz personenbezogener Daten in einem Bewerberportal | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg |
| N26 Bank GmbH | 50.000 Euro | Ungerechtfertigte Speicherung der Daten früherer Nutzer | Berliner Datenschutzbehörde |
| Universitätsmedizin der Johannes-Gutenberg-Universität Mainz | 105.000 Euro | Patienten-Verwechselung bei der Aufnahme eines neuen Patienten | Der Landesbeauftragte für Datenschutz und Informationsfreiheit |
Konkrete Bußgelder in Europa
| Unternehmen | Höhe Bußgeld | Verstoß für den Bußgeld verhängt wird | Verhängende Behörde |
| 50 Mio. Euro | Nutzerinformationen über personenbezogene Daten nur schwer zugänglich; Zweck der Datenerhebung zu grob beschrieben | Datenschutz-Behörde CNIL (Frankreich) | |
| British Airways | 204 Mio. Euro | Mangelnder Schutz der Kundendaten vor Zugriffen Dritter | Britische Datenschutzaufsichts-behörde, Elisabeth Denham |
| SAS Sergic Invest | Etwa 110 Mio. Euro | Offenlegung der Kundendaten über mehrere Jahre zugelassen | Datenschutz-Behörde CNIL |
| Österreichische Post AG | 18 Mio. Euro | Verarbeitung von personenbezogenen Daten über vermeintliche politische Affinität von Betroffenen | Wien (OTS) – Datenschutzbehörde |
| Universitätsklinikum von Verona | 30.000 Euro | Unbefugter Zugriff auf Patientendaten und mangelnde Sicherung der Daten | Garante per la protezione dei dati -personali (Italien) |
| Vodafone Espana | 75.000 Euro | Unerlaubte Nutzung einer E-Mailadresse eines ehemaligen Kunden | Agencia española -protección datos (Spanien) |
| Eni gas e luce SpA | 3 Mio. Euro | Unerlaubte Datenverarbeitung durch nicht genehmigte oder fingierte Vertragsverlängerungen | Garante per la protezione dei dati -personali (Italien) |
| Tim SpA | 900.000 Euro | Überschreitung der Aufbewahrungsfristen und unerlaubte Datenspeicherung | Garante per la protezione dei dati -personali (Italien) |
| DSG Retail Ltd | 586.972 Euro | 14 Mio. Kundendaten von 5.390 mangelhaft geschützten Kassensystemen durch Hacker erbeutet | Information Commissioner’s Office |
Fazit
Die Bußgelder für Datenschutz-Verstöße sind nach Inkrafttreten der DSGVO tatsächlich deutlich angestiegen und einige Behörden reizen den von der DSGVO vorgegebenen Rahmen aus. Dies gilt jedoch vorrangig für die Behörden in anderen EU-Staaten. In Deutschland bleibt die Höhe des Bußgeldes bisher moderat, insbesondere, wenn sich das betroffene Unternehmen kooperativ zeigt. Startups sollten daher nicht in Panik verfallen und sich vor Bußgeldern in Millionenhöhe fürchten. Der Datenschutz sollte jedoch von jedem Startup ernst genommen und umgesetzt werden.
Fragen?