22. Mai 2023
Geschrieben von CMS Hasche Sigle

Europaweite Analyse zum fünften DSGVO-Geburtstag: Datenschutz-Bußgelder von insgesamt 2,7 Milliarden Euro in über 1.500 Fällen

  • Europäische Datenschutzbehörden verhängten in mehr als 1.500 öffentlich bekannten Fällen Bußgelder von insgesamt über 2,7 Milliarden Euro wegen Verstößen gegen die seit fünf Jahren anwendbare Datenschutz-Grundverordnung.
     
  • Im vergangenen Jahr stieg die Gesamt-Bußgeldsumme erneut an; wesentlicher Treiber waren mehrere Bußgelder gegen Big Tech-Unternehmen in jeweils dreistelliger Millionenhöhe. Fälle mit Rekordsummen sind nur die Spitze des Eisbergs – Datenschutzbehörden verfolgen Rechtsverstöße über alle Branchen und Unternehmensgrößen hinweg. 
     
  • Besonders hoch ist das Bußgeldrisiko im ‚Business-to-consumer‘-Bereich, etwa ‚Industry & Commerce‘ oder ‚Media, Telecoms and Broadcasting‘. Für das Risikomanagement sollten vor allem die Rechtsgrundlagen für die Datenverarbeitung sowie die Maßnahmen zur Informationssicherheit berücksichtigt werden. 
     
  • Neben Bußgeldern können Datenschutzbehörden auch die Beschränkung oder Untersagung von Datenverarbeitungen anordnen, wie dies jüngst im Fall eines Anbieters generativer KI durch die italienische Datenschutzbehörde Garante in Rede stand.

Berlin – In den letzten fünf Jahren haben europäische Datenschutzbehörden die Sanktionsmöglichkeiten der Datenschutz-Grundverordnung (DSGVO) intensiv genutzt. Das zeigt die vierte Auflage des jährlichen Enforcement Tracker Reports, den die internationale Wirtschaftskanzlei CMS heute veröffentlicht hat. 

Der englischsprachige Report analysiert alle öffentlich bekannten DSGVO-Bußgeldfälle in Europa auf Grundlage der von CMS betriebenen Online-Datenbank „GDPR Enforcement Tracker“: www.enforcementtracker.com.

Weniger als zwei Monate nach Anwendbarkeit der DSGVO ab dem 25. Mai 2018, wurde in Portugal das erste Bußgeld unter dem neuen (nahezu) vollständig harmonisierten Datenschutzrecht verhängt: 400.000 Euro musste der Betreiber eines Krankenhauses wegen zu weitreichender Zugriffsmöglichkeiten auf Patientendaten zahlen. Seither sind sowohl die Anzahl der öffentlich bekannten Fälle als auch die Summe der verhängten Bußgelder stetig angestiegen. Besondere Aufmerksamkeit erregten dabei naturgemäß die Fälle mit besonders hohen Bußgeldsummen, wie die ersten Fälle mit zwei- beziehungsweise dreistelligen Millionenbeträgen: Frankreich, 50 Millionen Euro im Januar 2019 und Luxemburg, 746 Millionen Euro im Juli 2021.

Im aktuellen Analysezeitraum zwischen März 2022 und März 2023 sind insgesamt 545 neue Bußgeldfälle bekannt geworden. Damit stieg die Gesamtzahl der Fälle seit Ende Mai 2018 auf 1.576 an. Die Gesamtsumme aller Bußgelder beträgt rund 2,77 Milliarden Euro (+1,19 Milliarden Euro) und überstieg zum ersten Mal die Zwei-Milliarden-Euro-Grenze. Wesentlicher Treiber für die Steigerung der Summen waren erneut mehrere Fälle mit dreistelligen Millionenbußgeldern gegen „Big Tech“-Unternehmen, die in diesem Jahr alle die irische Datenschutzbehörde verhängte.

Hauptauslöser für die Verhängung von DSGVO-Bußgeldern war auch in diesem Jahr die Verarbeitung personenbezogener Daten ohne hinreichende Rechtsgrundlage. In diese Kategorie fallen fünf von zehn der höchsten Geldbußen in Europa. Weitere Auslöser für Bußgelder waren das Nichteinhalten der sogenannten „Grundsätze für die Verarbeitung personenbezogener Daten“ und unzureichende Maßnahmen zur Gewährleistung der Informationssicherheit.

Unternehmen aus dem ‚Business-to-consumer‘-Umfeld rücken häufiger in den Fokus der Datenschutzbehörden. In den Branchen ‚Industry & Commerce‘ sowie ‚Media, Telecoms and Broadcasting‘ wurden jeweils 358 beziehungsweise 213 Bußgelder verhängt; insgesamt mehr als die Hälfte aller Bußgelder im aktuellen Analysezeitraum. Die höchsten und am häufigsten verhängten Bußgelder betrafen auch in diesen Branchen die Rechtsgrundlage für die Datenverarbeitung und die Maßnahmen zur Datensicherheit. Eine relevante Anzahl von Bußgeldern bezog sich auf Videoüberwachung (CCTV) in unterschiedlichen Branchen und durch Privatpersonen sowie auf unzulässige Direktwerbung. 

„Zum fünften Geburtstag der DSGVO bleibt die Sanktionspraxis im Datenschutz dynamisch. Zuletzt hat das Vorgehen der italienischen Datenschutzbehörde gegen einen Anbieter generativer KI gezeigt, dass auch die behördlichen Befugnisse jenseits der Bußgelder ernst zu nehmen sind“, sagt Michael Kamps, Rechtsanwalt und Partner bei CMS Deutschland. „Wenn eine Behörde anordnet, dass die Verarbeitung personenbezogener Daten beschränkt werden muss oder ganz untersagt wird, hat dies erhebliche Auswirkungen. Bußgelder sind derzeit allerdings noch die häufigere Sanktion. Die öffentlich bekannten Fälle können Anhaltspunkte für Handlungsschwerpunkte und ‚rote Linien‘ der Behörden geben.“

Dr. Fiona Savary aus dem Enforcement Tracker-Team von CMS Deutschland ergänzt: „Auch bei der Anwendung der Sanktionsvorschriften der DSGVO bestehen, trotz der fünfjährigen Praxiserfahrungen, nach wie vor rechtliche Unsicherheiten. In vielen Fällen wird erst der Europäische Gerichtshof abschließend entscheiden. Es lohnt sich deshalb immer, die Rechtsauffassung einer Behörde kritisch zu prüfen. Das gilt ebenso für Bußgeldbescheide. Ein tragfähiges Compliance-Konzept im Bereich Datenschutz bleibt aber unerlässlich.“ 

Lesen Sie den vollständigen Bericht hier; eine Zusammenfassung finden Sie hier.


Kontakt:
CMS Deutschland
Team Public & Media Relations
E: presse@cms-hs.com
T: +49 30 20360 2255
F: +49 30 20360 288 2255

Herausgeber:

CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB
Lennéstraße 7 | 10785 Berlin | www.cms.law

Sitz: Berlin (AG Charlottenburg, PR 316 B)
Liste der Partner: https://cms.law/de/DEU/List-of-partners

Unser Press-Kit finden Sie unter: https://cms.law/de/media/local/cms-hs/files/other/cms-press-kit-de

Möchten Sie zukünftig keine weiteren Pressemitteilungen und Themenangebote erhalten, schicken Sie bitte eine E-Mail an: presse@cms-hs.com.

Unternehmens-Broschüre