Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet.
Wir erklären, wie real die Angst vor DSGVO-Bußgeldern tatsächlich sein sollte.
Das erste DSGVO-Bußgeld ging an…
Der erste Fall, in dem Datenschützer ein saftiges DSGVO-Bußgeld verhängt haben, war knuddels.de. Wer in den 1990er Jahren geboren wurde, kennt die kunterbunte Plattform mit hoher Wahrscheinlichkeit. Sie war der erste richtig große Chat und ließ im September 1999 die Teenie-Herzen höher schlagen: In zahlreichen Chat-Räumen tauschten sich Wildfremde über ihre kleinen und großen Probleme aus.
Grund für den riesigen Hype um Knuddels.de war aber nicht die bloße Chat-Funktion – die gab es bei anderen schließlich auch. Nein, bei Knuddels konnte man als User etwas erreichen. So erhielten besonders aktive Chatter den Status „Family Mitglied“. Die Belohnung: die Möglichkeit, sich eine eigene Homepage innerhalb des Knuddels-Universums zu gestalten, und einige Zusatzfunktionen, die „normalen“ Mitgliedern vorenthalten waren.
Auch einige Art eigene Währung, die namengebenden „Knuddels“ lockten neue Mitglieder. Zu Spitzenzeiten verzeichnete die Plattform satte 4,1 Mitglieder – zur damaligen Zeit, als noch längst nicht jeder einen Internetzugang hatte, absoluter Rekord.
Die DSGVO-Bußgelder werden immer saftiger. Bild: Unsplash/Ibrahim Boran
Nutzerdaten gehackt, Strafe bekommen
Aber egal ob Knuddels oder Nachfolger wie Yooliety und StudiVZ – jeder Hype hatte irgendwann ein Ende und musste dem Big Player Facebook weichen. Der bunten Chat-Community blieben trotzdem noch 330.000 mehr oder weniger aktive Nutzer. Und genau deren Daten wurden gehackt. Vom Nickname über die E-Mail-Adresse bis zum Passwort – plötzlich waren die sensiblen Daten der Knuddels-User öffentlich.
Dr. Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg, hat aus diesem Grund Ende 2018 gegen knuddels.de das erste DSGVO-Bußgeld in Deutschland verhängt. Mit einer Summe von 20.000 Euro bewegte man sich jedoch noch weit unter dem Betrag, der möglich gewesen wäre. Der gemeine Leser mag sich vielleicht fragen, was denn die Betreiber dafür können, wenn sich fiese Hacker an der Plattform zu schaffen machen. Die Antwort: grundsätzlich natürlich nichts.
Problem: Nutzerpass-Wörter waren unverschlüsselt
Der eigentliche Verstoß gegen den Datenschutz war die Tatsache, dass die Nutzer-Passwörter unverschlüsselt und ungehasht im Archiv vorlagen. Laut dem Landesbeauftragten verstießen die Betreiber somit wissentlich gegen ihre Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten. Strafmildernd wirkte sich der Umstand aus, dass das Unternehmen Knuddels sowohl die Behörde als auch die Nutzer umgehend über den Angriff informierte und sofort daran arbeitete, die IT-Sicherheit zu verbessern.
Dr. Stefan Brink ergänzte zu dem Fall: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen. Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“
Datenschutzbehörden und Gerichte befassen sich mit DSGVO-Verstößen und DSGVO-Bußgeldern. Bild: Pexels/EKATERINA BOLOVTSOVA
DSGVO-Bußgelder werden Wirklichkeit
Die Akte Knuddels hat jedenfalls gezeigt: Etwa ein halbes Jahr nach Inkrafttreten der DSGVO fingen die Datenschutzbehörden, ernst zu machen. Die DSGVO-Bußgelder sind seitdem keine leere Drohung, sondern Realität. Wer seine Hausaufgaben im Fach Datenschutz nicht gemacht hat, geht damit ein hohes Risiko ein. Und diese Aussage hat sich seit dem Jahr 2018 immer wieder bewahrheitet.
So wurde Ende 2019 das bis zu diesem Zeitpunkt höchste alles DSGVO-Bußgelder fällig: Gegen die Deutsche Wohnen wurde ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt. Die Wohnungsgesellschaft soll persönliche Daten von Mietern, darunter Daten zu Sozial- und Krankenversicherung, Arbeitsverträge sowie Informationen über finanzielle Verhältnissen, „unlöschbar“ gespeichert und selbst nach einer offiziellen Warnung nichts an ihrem Archivsystem geändert haben.
Das Immobilienunternehmen legte innerhalb der vorgeschriebenen Zwei-Wochen-Frist Widerspruch gegen den Bußgeldbescheid ein – und hatte noch einmal Glück. Aufgrund gravierender Mängel des Bußgeldbescheids wurde das Verfahren eingestellt.
2020: mehr DSGVO-Bußgelder verhängt
Inzwischen machen sehr häufig Meldungen zu DSGVO-Verstößen und DSGVO-Bußgeldern die Runde. Zahlen aus 2020 haben beispielsweise gezeigt, dass es deutschen Firmen immer noch schwer fällt, den geltenden Datenschutz einzuhalten. 26.057 Datenschutzverstöße sollen im Jahr 2020 deutschlandweit gemeldet worden sein – und damit mehr als im Zeitraum seit dem Inkrafttreten der DSGVO im Mai 2018 und dem Ende des Jahres 2019. Insgesamt sollen die deutschen Datenschutzbehörden in 2020 Bußgelder in Höhe von 48,1 Millionen Euro verhängt haben. Das wäre ein Anstieg von 50 Prozent im Vergleich zum Vorjahr.
Im Europa-Vergleich steht Deutschland dabei zugleich gut und schlecht da. Gut, weil die Bundesrepublik in Sachen Datenschutz mit 80,3 Punkten einen guten zweiten Platz einnimmt; schlecht, weil sie bezüglich der aufgedeckten Datenschutzverstöße unangefochten an der Spitze steht. Das zeigt: Zwar verhalten sich schon viele deutsche Firmen vorbildlich, die Strafverfolgung ist hierzulange allerdings streng.
Um Kleingeld handelt es sich bei vielen DSGVO-Bußgeldern inzwischen nicht mehr. Bild: Pexels/cottonbro
2021: DSGVO-Bußgelder in Milliardenhöhe
Der Trend von immer häufigeren und immer höheren Strafen hat sich auch im Jahr 2021 fortgesetzt: Verschiedene Quellen berichten davon, dass die verhängten DSGVO-Bußgelder EU-weit die Milliardengrenze überschritten haben. Laut der internationalen Anwaltskanzlei DLA Piper Bilanz waren es insgesamt 1,1 Milliarden Euro, der GDPF Enforcement Tracker spricht von 1,3 Milliarden Euro. Zum Vergleich: Im Jahr 2019 haben die europäischen Datenschutzbehörden insgesamt „nur“ 172 Millionen Euro an Strafzahlungen verhängt.
Vor allem hohe Einzelstrafen treiben die Bußgelder dabei in die Höhe. 746 Millionen wurden wegen unerlaubtem Tracking von Kaufinteressierten allein an Amazon verhängt, 225 Millionen Euro an WhatsApp wegen der Weitergabe sensibler Daten an Facebook und wegen des Speicherns von sämtlichen Telefonnummern der Kontaktliste im Smartphone.
Aber: Auch kleine und mittelgroße Unternehmen haben zu Recht Sorgen wegen der immer höheren Bußgelder. Vor allem die strengen Auflagen für den Transfer europäischer Daten in die USA und andere Drittländer stellen eine Herausforderung dar – und sorgen bei einem Verstoß für hohe Bußgelder.
Datenschutzverletzungen: Zahl der Beschwerden steigt
Nicht nur die Höhe der verhängten Bußgelder kennt dabei nur eine Richtung; auch die Anzahl der Beschwerden, die aufgrund von Datenschutzverletzungen in Deutschland gezählt werden, ist im Jahr 2021 weiter angestiegen. Das zeigt sich unter anderem anhand von Zahlen aus Niedersachsen. Einen besonders deutlichen Anstieg gab es demnach bei Unternehmen und öffentlichen Unternehmen: Hier gingen insgesamt 1.658 Meldungen über mutmaßliche Datenschutzverletzungen ein – das sind 669 mehr als im Jahr 2020.
In Baden-Württemberg sieht es ähnlich aus. Hier gingen beim Landesbeauftragten für Datenschutz 3.136 Meldungen von Datenpannen ein – ein Viertel mehr als noch im Jahr 2020. Die Exchange-Sicherheitslücken und die Log4J-Sicherheitslücke waren hier entscheidende Treiber. Insgesamt hat der Landesbeauftragte 2021 Bußgelder in Höhe von fast 320.000 Euro verhängt; 300.000 Euro Bußgeld gingen davon allein an den VfB Stuttgart, weil er Mitgliedsdaten an externe Dienstleister weitergegeben hatte.
Die unrechtmäßige Auswertung von Kundendaten zählt als Verstoß gegen den Datenschutz. Bild: Pexels/Lukas
2022: DSGVO-Strafen fallen noch höher aus
Auch für das Jahr 2022 hat die Anwaltskanzlei DLA Pieper in einem Jahresbericht wieder einmal untersucht, wie hoch die DSGVO-Strafen ausgefallen sind. Und die Untersuchung zeigt: Die europäischen Datenschutzbehörden greifen immer härter durch. Das zeigt sich in der Höhe der verhängten Bußgelder, die europaweit von 1,1 Milliarden Euro im Jahr 2021 auf 1,64 Milliarden Euro im Jahr 2022 angestiegen ist – das ist ein Anstieg von knapp 50 Prozent.
Das liegt vor allem daran, dass einzelne Verstöße mit besonders hohen Strafzahlungen geahndet wurden. Facebook und Instagram mussten wegen Verstößen im Bereich der personalisierten Werbung 210 und 180 Millionen Euro zahlen; Microsoft wurde zu 60 Millionen Euro Strafgeld verdonnert, weil auf bing.com Cookies ohne Einwilligung und Ablehnen-Button gesetzt waren; Clearview AI musste 20 Millionen Euro wegen der unrechtmäßigen Erstellung von biometrischen Profilen von Personen in Frankreich zahlen.
DSGVO-Strafen 2022 in Deutschland nicht ganz so hoch
In Deutschland fielen die höchsten DSGVO-Bußgelder des Jahres 2022 nicht ganz so drastisch aus: Die BREBAU GmbH musste wegen der unrechtmäßigen Verarbeitung von Daten 1,9 Millionen Euro zahlen; Volkswagen ereilte ein Strafgeld in Höhe von 1,1 Millionen Euro, weil bei der Erprobung eines Fahrassistenzsystems gegen den Datenschutz verstoßen wurde; und die Hannoversche Volksbank musste 900.000 Euro wegen der unerlaubten Auswertung von Kundendaten zahlen.
Insgesamt belief sich die Summer der DSGVO-Bußgelder in Deutschland auf mehr als 5,8 Millionen Euro. Mit 21.000 Meldungen hat sich die Zahl der gemeldeten Datenpannen verdoppelt. Dabei wurden 80 Bußgeldverfahren mehr als im Jahr 2021 durchgeführt.
IT-Fachleute setzen Datenschutz um
Unsere wenig gewagte These lautet: Die Meldungen zu DSGVO-Verstößen werden nicht so bald abreißen. Zumindest nicht, so lange nicht alle Unternehmen den Datenschutz ernst nehmen und alles daran setzen, ihre Unternehmensdaten zu schützen. Dabei ist es gar nicht so schwer, die Richtlinien umzusetzen, wie es vielleicht scheint. Denn: Es gibt Experten, die bei diesem Unterfangen gern unterstützen.
Zu diesen Experten gehören auch die IT-Fachleute aus dem IT-SERVICE.NETWORK. Viele der IT-Systemhäuser aus unserem deutschlandweiten Netzwerk haben sich unter anderem auf die DSGVO-Beratung spezialisiert. Sie verschaffen sich dazu zunächst ein Bild zum Stand des Datenschutzes in Unternehmen. Anschließend geben sie Empfehlungen zur Optimierung ab. Sollte dies gewünscht sein, setzen sie diese Maßnahmen natürlich auch um.
Sehr häufig spielt die IT-Sicherheit dabei eine wichtige Rolle. Denn immer wieder sind es Hackerangriffe, die zu Datenvorfällen führen und Unternehmen in die Bredouille bringen. Maßnahmen zur Verbesserung der IT-Sicherheit und zum Schutz vor Cyberangriffen sind daher das A und O. Sie wollen sich dazu beraten lassen? Dann nehmen Sie doch direkt Kontakt auf!
Weiterführende Links:
Wikipedia, Baden-Württemberg, Golem, IT-Business, Security Insider, ZEIT, eRecht24, Cebra, StN, DLA PIPER, Computerwoche, onlinemarketing.de
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung