Höhe der Bußgelder

Neben Warnungen, Verwarnungen und Anweisungen können Aufsichtsbehörden bei Verstößen gegen die DGVO auch ein Bußgeld verhängen. Bei einem festgestellten Verstoß gegen die datenschutzrechtlichen Vorgaben der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Die ersten Entscheidungen der Aufsichtsbehörden zeigen, dass es bei der Bemessung der Bußgeldhöhe vor allem auf die Kooperation mit dem betroffenen Unternehmen ankommt. Daneben werden in jedem Einzelfall auch folgende Faktoren berücksichtigt:

• Art, Schwere und Dauer des Verstoßes;
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
• getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
• Grad der Verantwortung;
• etwaige einschlägige frühere Verstöße;
• getroffene Maßnahmen, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

 

Übersicht verhängter Bußgelder

Bußgeld
Behörde  Land Datum Grund
50.000.000€CNILFrankreich21.01.2019Verletzung der Transparenz- und Informationspflichten
600.000€APNiederlande27.11.2018Verstoß gegen Art. 33 Abs. 1 DSGVO, Nichtmeldung von Datenpanne
400.000€CNPDPortugal17.07.2018Verstoß gegen Vertraulichkeit Art. 32 Abs. 1 lit. b DSGVO
80.000€Baden-WürttembergDeutschlandnicht bekanntVeröffentlichung von Gesundheitsdaten im Internet
20.000€Baden-WürttembergDeutschland21.11.2018Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO
5.000€HamburgDeutschland17.12.2018wegen fehlender Vereinbarung über die Auftragsverarbeitung

Im Einzelnen:

50.000.000 Euro wegen Verstoß gegen Transparenz- und Informationspflichten sowie fehlender Einwilligung

Hintergrund: Google hatte Informationen zur Datenverarbeitung, z.B. zu den Zwecken und den Speicherfristen, über mehrere Dokumente verteilt. Nutzer mussten daher regelmäßig auf bis zu sechs Schaltflächen und Links klicken, um alle Inhalte sehen zu können. Die Informationen seien zudem nicht klar oder umfassend gewesen. Weiterhin sei die eingeholte Einwilligung für das Anzeigen personalisierter Werbung nicht eindeutig und erfolge aufgrund der Vielzahl an Diensten (Youtube, Google-Startseite, Google-Maps, Playstore, Google-Bilder, usw.) in uninformierter Weise.

Begründung: Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Grundprinzipien der DSGVO wie Transparenz, Information und Rechtmäßigkeit. Die Höhe des Bußgeldes wird mit der Schwere der Verstöße, die immer noch anhalten, begründet.

Datum: 21.01.2019

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés - CNIL (Frankreich)
Quelle: CNIL (https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc)

600.000 wegen ungemeldeter Datenpanne

Hintergrund: Beim Unternehmen Uber wurden im Jahr 2016 über 57 Millionen Nutzerdaten wie Name, Email Adresse und Telefonnummern, durch unautorisierten Zugriff auf eine Datenbank in einem Cloud-Dienst gestohlen. Die Verantwortlichen verschwiegen jedoch den Vorfall und informierten die Öffentlichkeit erst im November 2017.

Begründung: Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde zu melden.
Datum: 27.11.2018

Aufsichtsbehörde: Autoriteit Persoonsgegevens – AP – Niederlande
Quelle: Pressemitteilung vom 27.11.2018 (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

400.000 Euro im Krankenhaus

Hintergrund: In einem Krankenhaus mit fast 300 Ärzten gab es dreimal so viel als Arzt registrierte Benutzer mit den entsprechenden Zugangsberechtigungen. Daneben war es auch möglich, mit dem Profil „Techniker“ auf Patientendaten zuzugreifen.

Begründung: Patientendaten sind vor unbefugtem Zugriff zu schützen (Art. 32 Abs. 1 lit. b DSGVO).

Datum: 17.07.2018

Aufsichtsbehörde: Comissão Nacional de Protecção de Dados - CNPD (Portugal)

Quelle: Zeitung Publico (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479#gs.K0c5nRW2)

20.000 Euro wegen unverschlüsselter Passwörter

Hintergrund: Einem Social-Media Anbieter wurde nach einem Hackerkerangriff ca. 330.000 Nutzerdaten (darunter Passwörter und E-Mail-Adressen) entwendet. Die Passwörter der Nutzer waren unverschlüsselt und verfremdet beim Unternehmen gespeichert.

Begründung: In der unverschlüsselten Speicherung der Passwörter liegt ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO.
Datum: 21.11.2018

Aufsichtsbehörde: Baden-Württemberg (Deutschland)

Quelle: Pressemitteilung vom 22.11.2018 (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf)

5.000,00 Euro durch fehlenden Auftragsverarbeitungsvertrag

Hintergrund: Ein Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre.

Begründung: Die Aufsichtsbehörde sieht hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Datum: 17.12.2018

Aufsichtsbehörde: Hamburg (Deutschland)
Quelle: Heise Online (https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html)

Ausblick

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldeten Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland 64 Bußgelder verteilt auf sechs Bundesländer verhängt:

Nordrhein-Westfalen (33)
Thüringen (23)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)