DSGVO-Bußgelder

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet.

Wir erklären, wie real die Angst vor DSGVO-Bußgeldern tatsächlich sein sollte und wie Unternehmen darauf reagieren sollten.

DSGVO: Wenn bei Verstoß Strafe droht

Etwa ein halbes Jahr nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 fingen die Datenschutzbehörden europaweit damit an, Verstöße gegen die neuen Datenschutzstandards konsequent zu ahnden. DSGVO-Bußgelder sind seitdem keine leere Drohung, sondern Realität. Unternehmen, die personenbezogene Daten ohne ausreichende Schutzmaßnahmen speichern und verarbeiten, riskieren empfindliche Strafen. Die DSGVO sieht dabei Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.

In diesem Beitrag werfen wir einen Blick auf das erste verhängte DSGVO-Bußgeld und geben einen Überblick über die Entwicklung der Datenschutzstrafen in den vergangenen Jahren. Die Zunahme der Fälle und steigende Bußgelder verdeutlichen, wie ernst die Datenschutzbehörden Verstöße nehmen und warum Datenschutz für Unternehmen unbedingt oberste Priorität haben sollte.

Das erste DSGVO-Bußgeld ging an…

Knuddels, einst eine populäre Chat-Plattform mit in Spitzenzeiten 4,1 Millionen Mitgliedern, erlebte seinerzeit einen schweren Datenvorfall: Sensible Nutzerdaten wie Nicknames, E-Mail-Adressen und Passwörter von damals noch mehr als 330.000 aktiven Nutzern wurden durch einen Hackerangriff öffentlich zugänglich. Dieser Vorfall führte Ende 2018 zur Verhängung des ersten DSGVO-Bußgeldes in Deutschland durch Dr. Stefan Brink, den Landesbeauftragten für Datenschutz und Informationsfreiheit von Baden-Württemberg. Die Strafe betrug 20.000 Euro und lag damit weit unter dem möglichen Höchstbetrag, da das Unternehmen die Behörde und die Nutzer umgehend über den Vorfall informiert und Maßnahmen zur Verbesserung der IT-Sicherheit ergriffen hatte.

Der entscheidende Datenschutzverstoß lag darin, dass die Nutzerpasswörter unverschlüsselt und ungehasht im Archiv gespeichert waren. Damit hatten die Betreiber gegen ihre Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten verstoßen. Dr. Brink kommentierte den Fall: „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.“ Der Bußgeldbehörde ging es damals nicht um möglichst hohe Bußgelder, sondern um die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.

2020: mehr DSGVO-Bußgelder verhängt

Seither machen sehr häufig Meldungen zu DSGVO-Verstößen und DSGVO-Bußgeldern die Runde. Zahlen aus 2020 haben beispielsweise gezeigt, dass es deutschen Firmen immer noch schwer fällt, den geltenden Datenschutz einzuhalten. 26.057 Datenschutzverstöße sollen im Jahr 2020 deutschlandweit gemeldet worden sein – und damit mehr als im Zeitraum seit dem Inkrafttreten der DSGVO im Mai 2018 und dem Ende des Jahres 2019. Insgesamt sollen die deutschen Datenschutzbehörden in 2020 Bußgelder in Höhe von 48,1 Millionen Euro verhängt haben. Das wäre ein Anstieg von 50 Prozent im Vergleich zum Vorjahr.

Im Europa-Vergleich steht Deutschland dabei zugleich gut und schlecht da. Gut, weil die Bundesrepublik in Sachen Datenschutz mit 80,3 Punkten einen guten zweiten Platz einnimmt; schlecht, weil sie bezüglich der aufgedeckten Datenschutzverstöße unangefochten an der Spitze steht. Das zeigt: Zwar verhalten sich schon viele deutsche Firmen vorbildlich, die Strafverfolgung ist hierzulande allerdings streng.

2021: DSGVO-Bußgelder in Milliardenhöhe

Der Trend von immer häufigeren und immer höheren Strafen hat sich auch im Jahr 2021 fortgesetzt: Verschiedene Quellen berichten davon, dass die verhängten DSGVO-Bußgelder EU-weit die Milliardengrenze überschritten haben. Laut der internationalen Anwaltskanzlei DLA Piper Bilanz waren es insgesamt 1,1 Milliarden Euro, der GDPF Enforcement Tracker spricht von 1,3 Milliarden Euro. Zum Vergleich: Im Jahr 2019 haben die europäischen Datenschutzbehörden insgesamt „nur“ 172 Millionen Euro an Strafzahlungen verhängt.

Vor allem hohe Einzelstrafen treiben die Bußgelder dabei in die Höhe. 746 Millionen wurden wegen unerlaubtem Tracking von Kaufinteressierten allein an Amazon verhängt, 225 Millionen Euro an WhatsApp wegen der Weitergabe sensibler Daten an Facebook und wegen des Speicherns von sämtlichen Telefonnummern der Kontaktliste im Smartphone.

Aber: Auch kleine und mittelgroße Unternehmen haben zu Recht Sorgen wegen der immer höheren Bußgelder. Vor allem die strengen Auflagen für den Transfer europäischer Daten in die USA und andere Drittländer stellen eine Herausforderung dar – und sorgen bei einem Verstoß für hohe Bußgelder.

Datenschutzverletzungen: Zahl der Beschwerden steigt

Nicht nur die Höhe der verhängten Bußgelder kennt dabei nur eine Richtung; auch die Anzahl der Beschwerden, die aufgrund von Datenschutzverletzungen in Deutschland gezählt werden, ist im Jahr 2021 weiter angestiegen. Das zeigt sich unter anderem anhand von Zahlen aus Niedersachsen. Einen besonders deutlichen Anstieg gab es demnach bei Unternehmen und öffentlichen Unternehmen: Hier gingen insgesamt 1.658 Meldungen über mutmaßliche Datenschutzverletzungen ein – das sind 669 mehr als im Jahr 2020.

In Baden-Württemberg sieht es ähnlich aus. Hier gingen beim Landesbeauftragten für Datenschutz 3.136 Meldungen von Datenpannen ein – ein Viertel mehr als noch im Jahr 2020. Die Exchange-Sicherheitslücken und die Log4J-Sicherheitslücke waren hier entscheidende Treiber. Insgesamt hat der Landesbeauftragte 2021 Bußgelder in Höhe von fast 320.000 Euro verhängt; 300.000 Euro Bußgeld gingen davon allein an den VfB Stuttgart, weil er Mitgliedsdaten an externe Dienstleister weitergegeben hatte.

2022: DSGVO-Strafen fallen europaweit höher aus

Auch für das Jahr 2022 hat die Anwaltskanzlei DLA Pieper in einem Jahresbericht wieder einmal untersucht, wie hoch die DSGVO-Strafen ausgefallen sind. Und die Untersuchung zeigt: Die europäischen Datenschutzbehörden greifen immer härter durch. Das zeigt sich in der Höhe der verhängten Bußgelder, die europaweit von 1,1 Milliarden Euro im Jahr 2021 auf 1,64 Milliarden Euro im Jahr 2022 angestiegen ist – das ist ein Anstieg von knapp 50 Prozent.

Das liegt vor allem daran, dass einzelne Verstöße mit besonders hohen Strafzahlungen geahndet wurden. Facebook und Instagram mussten wegen Verstößen im Bereich der personalisierten Werbung 210 und 180 Millionen Euro zahlen; Microsoft wurde zu 60 Millionen Euro Strafgeld verdonnert, weil auf bing.com Cookies ohne Einwilligung und Ablehnen-Button gesetzt waren; Clearview AI musste 20 Millionen Euro wegen der unrechtmäßigen Erstellung von biometrischen Profilen von Personen in Frankreich zahlen.

Strafen in Deutschland nicht ganz so hoch

In Deutschland fielen die höchsten DSGVO-Bußgelder des Jahres 2022 nicht ganz so drastisch aus: Die BREBAU GmbH musste wegen der unrechtmäßigen Verarbeitung von Daten 1,9 Millionen Euro zahlen; Volkswagen ereilte ein Strafgeld in Höhe von 1,1 Millionen Euro, weil bei der Erprobung eines Fahrassistenzsystems gegen den Datenschutz verstoßen wurde; und die Hannoversche Volksbank musste 900.000 Euro wegen der unerlaubten Auswertung von Kundendaten zahlen.

Insgesamt belief sich die Summer der DSGVO-Bußgelder in Deutschland auf mehr als 5,8 Millionen Euro. Mit 21.000 Meldungen hat sich die Zahl der gemeldeten Datenpannen verdoppelt. Dabei wurden 80 Bußgeldverfahren mehr als im Jahr 2021 durchgeführt.

2023: DSGVO-Bußgelder in Europa steigen weiter

Im Jahr 2023 erreichten die DSGVO-Bußgelder in Europa einen neuen Höchststand, mit einer Gesamtsumme von 2,11 Milliarden Euro – ein Anstieg von rund 29 Prozent im Vergleich zu 2022. Diese Zunahme spiegelt die verstärkte Durchsetzung der DSGVO-Vorgaben durch europäische Datenschutzbehörden wider, insbesondere im Umgang mit großen Technologiekonzernen.

Besonders auffällig war das Vorgehen gegen Meta, das wegen schwerwiegender Datenschutzverstöße gleich zwei Rekordstrafen erhielt. Die irische Datenschutzbehörde verhängte eine Strafe von 1,2 Milliarden Euro gegen das Unternehmen aufgrund der Übermittlung personenbezogener Daten von EU-Bürgern in die USA ohne hinreichenden Schutz für die Betroffenen. Zuvor war Meta bereits Anfang 2023 mit einem Bußgeld von 390 Millionen Euro belegt worden, da das Unternehmen sich auf eine unzulässige Rechtsgrundlage für verhaltensbezogene Werbung auf Facebook und Instagram berufen hatte.

Diese Strafen zeigen, dass die europäischen Datenschutzbehörden Verstöße bei grenzüberschreitenden Datenverarbeitungen nicht tolerieren und hohe Maßstäbe an den Schutz personenbezogener Daten legen. Und wie sieht es in Deutschland aus?

Deutsche Datenschutzbehörden zurückhaltend

In Deutschland verhängten die Datenschutzbehörden im Jahr 2023 insgesamt 357 Bußgelder, die eine Gesamtsumme von rund 4,94 Millionen Euro erreichten. Damit fielen die Strafen im Vergleich zu anderen EU-Staaten moderat aus, was die vergleichsweise zurückhaltende Vorgehensweise der deutschen Aufsichtsbehörden unterstreicht. Die höchsten Bußgelder richteten sich gegen Unternehmen, die grundlegende DSGVO-Vorgaben missachteten, wie etwa bei der unrechtmäßigen Verarbeitung personenbezogener Daten und dem Einsatz von Algorithmen ohne ausreichende Transparenz für die Betroffenen. Besonders häufig traten Verstöße in Berlin, Sachsen und Bremen auf, was möglicherweise auf eine strengere Überwachung in diesen Bundesländern hinweist.

Im Vergleich zum Vorjahr verzeichnete Deutschland einen leichten Rückgang bei der Gesamtbußgeldsumme, die 2022 noch bei 5,8 Millionen Euro lag. Dieser Trend deutet darauf hin, dass deutsche Behörden verstärkt auf präventive Maßnahmen setzen und Unternehmen zunehmend für Datenschutzthemen sensibilisieren. So geht es bei den Strafen oft weniger darum, maximale Geldbußen zu verhängen, sondern vielmehr um die Förderung von Datenschutzstandards. Die deutschen Behörden scheinen davon überzeugt, dass nachhaltiger Datenschutz eher durch Aufklärung und Unterstützung erzielt wird als durch hohe Strafen.

Unsere Tipps für einen DSGVO-konformen Datenschutz

Fakt ist: Ein effektiver Datenschutz erfordert durchdachte Maßnahmen, um den gesetzlichen Anforderungen der DSGVO gerecht zu werden und gleichzeitig das Vertrauen der Kunden zu stärken. Die folgenden Tipps helfen Unternehmen dabei, Datenschutz in der Praxis umzusetzen und Risiken zu minimieren:

• Stellen Sie eine DSGVO-konforme Datenschutzstruktur sicher!
  Entwickeln Sie klare Datenschutzrichtlinien, die den Schutz personenbezogener Daten im gesamten Unternehmen sicherstellen. Dies umfasst die Definition von Verantwortlichkeiten, das Einhalten von Löschfristen und die Gewährleistung der Datensicherheit durch technische und organisatorische Maßnahmen (TOMs).
• Schulen Sie Ihre Mitarbeiter regelmäßig im Datenschutz!
  Schulungen helfen, das Bewusstsein für den richtigen Umgang mit personenbezogenen Daten zu stärken und Risiken durch Fehlverhalten zu verringern. Insbesondere im Umgang mit sensiblen Daten oder bei neuen Software-Tools sollten Mitarbeiter über aktuelle Richtlinien informiert sein.
• Führen Sie regelmäßige Datenschutzaudits durch!
  Audits decken Schwachstellen auf und schaffen Transparenz über die Einhaltung datenschutzrechtlicher Vorgaben im gesamten Unternehmen. Sie ermöglichen es, Datenschutzprozesse kontinuierlich zu verbessern und die Compliance sicherzustellen.
• Implementieren Sie ein strenges Berechtigungskonzept!
  Stellen Sie sicher, dass nur autorisierte Personen Zugriff auf sensible Daten haben. Durch ein rollenbasiertes Zugriffssystem können Sie die Datenzugriffe nachvollziehen und Missbrauch vermeiden.
• Nutzen Sie Verschlüsselungstechnologien für Ihre Datenübertragungen und -speicherungen!
  Verschlüsselungen schützen personenbezogene Daten vor unbefugtem Zugriff, selbst wenn ein Sicherheitsvorfall auftritt. Eine sichere Datenübertragung ist besonders wichtig bei externem Datenaustausch.

Durch diese Maßnahmen schaffen Unternehmen eine zuverlässige Grundlage für den Datenschutz und minimieren das Risiko von Verstößen und Bußgeldern. Eine konsequente Umsetzung stärkt zudem das Vertrauen der Kunden und Geschäftspartner.

IT-Fachleute setzen Datenschutz um

Unsere wenig gewagte These lautet: Die Meldungen zu DSGVO-Verstößen werden nicht so bald abreißen. Zumindest nicht, so lange nicht alle Unternehmen den Datenschutz ernst nehmen und alles daran setzen, ihre Unternehmensdaten zu schützen. Dabei ist es gar nicht so schwer, die Richtlinien umzusetzen, wie es vielleicht scheint. Denn: Es gibt Experten, die bei diesem Unterfangen gern unterstützen.

Zu diesen Experten gehören auch die IT-Fachleute aus dem IT-SERVICE.NETWORK. Viele der IT-Systemhäuser aus unserem deutschlandweiten Netzwerk haben sich unter anderem auf die DSGVO-Beratung spezialisiert. Sie verschaffen sich dazu zunächst ein Bild zum Stand des Datenschutzes in Unternehmen. Anschließend geben sie Empfehlungen zur Optimierung ab. Sollte dies gewünscht sein, setzen sie diese Maßnahmen natürlich auch um.

Sehr häufig spielt die IT-Sicherheit dabei eine wichtige Rolle. Denn immer wieder sind es Hackerangriffe, die zu Datenvorfällen führen und Unternehmen in die Bredouille bringen. Maßnahmen zur Verbesserung der IT-Sicherheit und zum Schutz vor Cyberangriffen sind daher das A und O. Sie wollen sich dazu beraten lassen? Dann nehmen Sie doch direkt Kontakt auf!

---

Weiterführende Links:
Wikipedia, Baden-Württemberg, Golem, IT-Business, Security Insider, ZEIT, eRecht24, Cebra, StN, DLA PIPER, Computerwoche, onlinemarketing.de, DSGVO-Portal

Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.