Höhe der Bußgelder

Neben Warnungen, Verwarnungen und Anweisungen können Aufsichtsbehörden bei Verstößen gegen die DGVO auch ein Bußgeld verhängen. Bei einem festgestellten Verstoß gegen die datenschutzrechtlichen Vorgaben der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Die ersten Entscheidungen der Aufsichtsbehörden zeigen, dass es bei der Bemessung der Bußgeldhöhe vor allem auf die Kooperation mit dem betroffenen Unternehmen ankommt. Daneben werden in jedem Einzelfall auch folgende Faktoren berücksichtigt:

• Art, Schwere und Dauer des Verstoßes;
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
• getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
• Grad der Verantwortung;
• etwaige einschlägige frühere Verstöße;
• getroffene Maßnahmen, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

 

Übersicht verhängter Bußgelder

BußgeldBehördeLandDatumGrund
FilterFilterFilterFilterFilter
50.000.000€CNILFrankreich21.01.2019Verletzung der Transparenz- und Informationspflichten
600.000€APNiederlande27.11.2018Verstoß gegen Art. 33 Abs. 1 DSGVO, Nichtmeldung von Datenpanne
400.000€CNPDPortugal17.07.2018Verstoß gegen Vertraulichkeit Art. 32 Abs. 1 lit. b DSGVO
219.500€UODOPolenMärz 2019wegen Nichterfüllung von Informations-pflichten aus Art. 14 DSGVO
170.000€DatatilsynetNorwegenMärz 2019Verstoß gegen Art. 5 lit. f, Art. 32 DSGVO
80.000€Baden-WürttembergDeutschlandnicht bekanntVeröffentlichung von Gesundheitsdaten im Internet
50.000€BerlinDeutschlandnicht bekanntunbefugte Verarbeitung von Daten ehemaliger Kunden
20.000€Baden-WürttembergDeutschland21.11.2018Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO
5.000€HamburgDeutschland17.12.2018wegen fehlender Vereinbarung über die Auftragsverarbeitung

 

Im Einzelnen:

 

50.000.000 € wegen Verstoß gegen Transparenz- und Informationspflichten sowie fehlender Einwilligung

Hintergrund: Google hatte Informationen zur Datenverarbeitung, z.B. zu den Zwecken und den Speicherfristen, über mehrere Dokumente verteilt. Nutzer mussten daher regelmäßig auf bis zu sechs Schaltflächen und Links klicken, um alle Inhalte sehen zu können. Die Informationen seien zudem nicht klar oder umfassend gewesen. Weiterhin sei die eingeholte Einwilligung für das Anzeigen personalisierter Werbung nicht eindeutig und erfolge aufgrund der Vielzahl an Diensten (Youtube, Google-Startseite, Google-Maps, Playstore, Google-Bilder, usw.) in uninformierter Weise.

Begründung: Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Grundprinzipien der DSGVO wie Transparenz, Information und Rechtmäßigkeit. Die Höhe des Bußgeldes wird mit der Schwere der Verstöße, die immer noch anhalten, begründet.

Datum: 21.01.2019

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés - CNIL (Frankreich)
Quelle: CNIL (https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc)

600.000 € wegen ungemeldeter Datenpanne

Hintergrund: Beim Unternehmen Uber wurden im Jahr 2016 über 57 Millionen Nutzerdaten wie Name, Email Adresse und Telefonnummern, durch unautorisierten Zugriff auf eine Datenbank in einem Cloud-Dienst gestohlen. Die Verantwortlichen verschwiegen jedoch den Vorfall und informierten die Öffentlichkeit erst im November 2017.

Begründung: Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde zu melden.
Datum: 27.11.2018

Aufsichtsbehörde: Autoriteit Persoonsgegevens – AP – Niederlande
Quelle: Pressemitteilung vom 27.11.2018 (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

400.000 € im Krankenhaus

Hintergrund: In einem Krankenhaus mit fast 300 Ärzten gab es dreimal so viel als Arzt registrierte Benutzer mit den entsprechenden Zugangsberechtigungen. Daneben war es auch möglich, mit dem Profil „Techniker“ auf Patientendaten zuzugreifen.

Begründung: Patientendaten sind vor unbefugtem Zugriff zu schützen (Art. 32 Abs. 1 lit. b DSGVO).

Datum: 17.07.2018

Aufsichtsbehörde: Comissão Nacional de Protecção de Dados - CNPD (Portugal)

Quelle: Zeitung Publico (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479#gs.K0c5nRW2)

219.500 € wegen Verletzung der Informationspflichten aus Art. 14 DSGVO

Hintergrund: Ein Unternehmen verarbeitete ca. 6 Millionen Datensätze aus öffentlich zugänglichen Quellen, um diese in einer eigenen Datenbank zusammenzufassen. Die Betroffen wurden jedoch nur in 90.000 Fällen hiervon in ausreichendem Maße informiert. Da in den übrigen Fällen keine E-Mail Adressen vorlagen, sah das Unternehmen aufgrund der hohen Kosten für den Postversand von einer Information der Betroffenen ab. Stattdessen erfolgte lediglich ein Hinweis auf der Webseite.

Begründung: Eine Ausnahme von den Informationspflichten wegen eines unverhältnismäßigen Aufwandes nach Art. 14. Abs. 5 lit. b) DSGVO ist nicht gegeben. Nach Auffassung der Behörde soll die Ausnahme der Unverhältnismäßigkeit nur dann gelten, wenn jegliche Kontaktadressen der betroffenen Personen fehlen.

Datum:März 2019

Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO) - Polen

Quelle: Pressemitteilung vom 26.03.2019 (https://uodo.gov.pl/en/553/1009)

170.000 € wegen frei zugänglicher Daten von Schulkindern

Hintergrund: In der Gemeinde Bergen waren aufgrund unzureichender Sicherheitsmaßnahmen über 35.000 Benutzerkonten ungeschützt und frei zugänglich. Über ein Anmeldesystem einer Lernplattform konnte so auf Daten von Kindern, wie Schulzugehörigkeit, Geburtsdatum, Adressen und sogar Schulnoten, zugegriffen werden.

Begründung: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Datum: März 2019

Aufsichtsbehörde: Datatilsynet – Norwegen

Quelle: Pressemitteilung vom 12.04.2019 (https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000--imposed-on-bergen-municipality/?mc_cid=0f137077cf&mc_eid=abba91bbc1)

20.000 € wegen unverschlüsselter Passwörter

Hintergrund: Einem Social-Media Anbieter wurde nach einem Hackerkerangriff ca. 330.000 Nutzerdaten (darunter Passwörter und E-Mail-Adressen) entwendet. Die Passwörter der Nutzer waren unverschlüsselt und verfremdet beim Unternehmen gespeichert.

Begründung: In der unverschlüsselten Speicherung der Passwörter liegt ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO.
Datum: 21.11.2018

Aufsichtsbehörde: Baden-Württemberg (Deutschland)

Quelle: Pressemitteilung vom 22.11.2018 (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf)

5.000 € durch fehlenden Auftragsverarbeitungsvertrag

Hintergrund: Ein Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre.

Begründung: Die Aufsichtsbehörde sieht hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Datum: 17.12.2018

Aufsichtsbehörde: Hamburg (Deutschland)
Quelle: Heise Online (https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html)

Ausblick

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldeten Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland über 100 Bußgelder verteilt auf acht Bundesländer verhängt (Stand Juni 2019):

Nordrhein-Westfalen (36 Fälle)
Berlin (18 Fälle)
Thüringen (23 Fälle)
Rheinland-Pfalz (9 Fälle)
Baden Württemberg (7 Fälle)
Sachsen-Anhalt (6 Fälle)
Hamburg (3 Fälle)
Saarland (3 Fälle)