Im Mai 2018 ist bekanntlich die Datenschutz-Grundverordnung (DS-GVO) in Europa in Kraft getreten. Ziel war die Verbesserung des Datenschutzes. Ein Mittel dazu: Ein empfindlich hoher Bußgeldrahmen, der ein Anreiz dafür sein soll, die Regeln zum Schutz personenbezogener Daten einzuhalten.
Die maximale Höhe eines Bußgelds beträgt seither 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes.
Als Fachanwalt für Arbeitsrecht werde ich öfter mal von Betriebsräten, Schwerbehindertenvertretungen und Unternehmen gefragt, ob solche hohen Bußgelder eigentlich schon mal verhängt wurden. Ich habe mir also einmal die Statistik dazu angesehen und zwar auf der frei zugänglichen Webseite der Kollegen von CMS: GDPR Enforcement Tracker – Liste der DSGVO-Bußgelder
Es handelt sich dabei um eine Übersicht über Bußgelder und Strafen, die Datenschutzbehörden innerhalb der EU nach der EU-Datenschutzgrundverordnung (DS-GVO) verhängt haben.
Stand heute (15. September 2021) wurden 825 Bußgelder verhängt, wobei die Praxis in den einzelnen Ländern sehr unterschiedlich ist.
“Herausragend” waren die Strafen gegen Google (in Frankreich) in Höhe von 50 Mio. Euro. In Deutschland hat das Bußgeld gegen H&M i.H.v. 35 Mio. Euro für Aufsehen gesorgt. Darüber hatte ich auch in einem Beitrag berichtet. Große Resonanz hat auch das vor wenigen Tagen in Irland verhängte Bußgeld gegen WhatsApp hervorgerufen. Die dortige Datenschutz-Aufsichtsbehörde hat am 02.09.2021 ein Bußgeld i.H.v. 225 Mio. Euro verhängt.
Das bislang höchste Bußgeld hat jedoch die Luxemburgischen Datenschutzbehörde (am 16.07.2021) verhängt. Der Online-Händler Amazon muss danach 746 Mio. Euro wegen Verstößen gegen die DS-GVO zahlen (!).
Man muss in dem Zusammenhang allerdings wissen, dass immer mehr Unternehmen gegen die verhängten Bußgelder erfolgreich vor Gericht ziehen. In etlichen Fällen haben die Gerichte die teilweise sehr hohen Bußgelder deutlich reduziert oder sogar ganz aufgehoben. Wir selber konnten auch schon einigen Unternehmen dabei helfen, die verhängten Bußgelder erfolgreich anzufechten. Es könnte sich also lohnen, nach Erhalt eines Bußgelds anwaltliche Beratung in Anspruch zu nehmen.
Übrigens war der häufigste Grund für die Verhängung eines Bußgelds das Fehlen einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Man braucht insofern entweder eine wirksame Einwilligung der Betroffenen oder einen ausreichenden gesetzlichen Erlaubnistatbestand. Auf Platz 2 der “Bußgeldauslöser” sind die berühmten “TOMs”, die technischen und organisatorischen Maßnahmen, um Daten zu schützen (z.B. vor dem Zugriff Unbefugter, Hacker-Angriffen, etc.). Diese beiden Gründe führten statistisch gesehen in 2021 (bislang) zu den häufigsten und höchsten Bußgeldern. Verantwortlichen ist zu raten, darauf besonderes Augenmerk zu legen. Noch besser, als gerichtlich gegen Bußgelder vorzugehen, sind logischerweise vorbeugende Maßnahmen.
Gordon Neumann, Rechtsanwalt