Am Dienstag hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit angekündigt, ein Bußgeld in zweistelliger Millionenhöhe verhängen zu wollen. Gegen welche Unternehmen und wegen welcher Verstöße ist noch unbekannt. Sie teilte aber mit, dass sie bereits vergangene Woche zwei Bußgelder in Höhe von 200.000 Euro gegen ein Unternehmen erlassen habe.
Der Inhalt im Überblick
Wann sind Bußgelder möglich?
Seit dem Inkrafttreten der DSGVO am 25.05.2018 besteht für die Aufsichtsbehörden die Möglichkeit, Verstöße gegen das Datenschutzrecht mit Bußgeldern nach Art. 83 DSGVO zu ahnden. Dabei sind Geldbußen bis zu einer Höhe von 20.000.000 Euro oder 4 % des konzernweiten Jahresumsatzes möglich. Vor Inkrafttreten der DSGVO bewegte sich der Bußgeldrahmen in einer Größenordnung bis zu 300.000 Euro.
Die Höhe des Bußgeldes orientiert sich an verschiedenen Kriterien, wie zum Beispiel:
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Maßnahmen zur Minderung des Schadens
- Grad der Verantwortung unter Berücksichtigung der technischen und organisatorischen Maßnahmen
- Zusammenarbeit mit der Aufsichtsbehörde
- Kategorien der betroffenen Daten
- Einhaltung von bereits angeordneten Maßnahmen
Die Rekord-Bußgelder
Unter der DSGVO wurden Rekord-Bußgelder bisher nur von der Britischen Datenschutzaufsichtsbehörde ICO erlassen. Im Juli 2019 hat sie ein Millionen-Bußgeld gegen British Airlines aufgrund ihrer „schwachen Sicherheitsvorkehrungen“ verhängt. Das Bußgeld betrug ca. 1,5 % des Jahresumsatzes aus dem Jahr 2017.
Ein Bußgeld von ungefähr 3 % des Jahresumsatzes verhängte die ICO gegen die Hotelkette Marriott, nachdem diese einen Datenschutzvorfall nach Art. 33 DSGVO gemeldet hatte.
Die italienische Datenschutzbehörde erließ im Juni 2019 zwar ein Bußgeld über 2 Millionen Euro, dies erging noch nach alter Rechtslage.
Bußgelder in Deutschland
Nach Angaben der Landesdatenschutzbeauftragten wurden in Deutschland unter der DSGVO bisher etwa 75 Bußgelder in den Bundesländern Baden-Württemberg, Rheinland-Pfalz, Berlin, Hamburg, Nordrhein-Westfalen, Sachsen-Anhalt, Saarland und Thüringen erlassen.
Die höchsten Bußgelder kamen dabei aus Baden-Württemberg in Höhe von 80.000 Euro und Berlin mit einem Bußgeld von 50.000 Euro. Berlin ist damit gegen eine Online-Bank vorgegangen, die unbefugt Daten ehemaliger Kunden verarbeitet hatte. In Baden-Württemberg waren Gesundheitsdaten betroffen.
Erwartungen für die Praxis
Nachdem nun die Berliner Beauftragte für Datenschutz und Informationsfreiheit angekündigt hat ein Bußgeld in Höhe eines zweistelligen Millionenbetrages erlassen zu wollen und auch die ICO nicht untätig ist, muss damit gerechnet werden, dass die Aufsichtsbehörden anfangen den Bußgeldrahmen der DSGVO voll auszuschöpfen.
Auch das Urteil des VG Mainz, lässt erwarten, dass die Aufsichtsbehörden und Gerichte den Datenschutz nach der DSGVO nun strenger durchsetzen und Verstöße ahnden wollen. In dem Urteil hat das VG Mainz die Verhängung eines Zwangsgeldes gegen einen Betreiber eines Tanzlokals erlassen, der dem Auskunftsverlangen der Aufsichtsbehörde aus Art. 58 Abs. 1 lit. a.) DSGVO nicht nachgekommen ist. Das Auskunftsverlangen kann in Form eines Verwaltungsaktes erlassen werden und die Handlungsaufforderung kann mit Zwangsmitteln durchgesetzt werden.
In BW wurden zwei Bußgelder i.H.v. jeweils 80.000 Euro verhängt, nicht 50.000 Euro wie geschrieben. :-)
Danke für den Hinweis. Wir haben den Text korrigiert. Laut dem 34. Tätigkeitsbericht des LfDI BW wurde bisher nur ein Bußgeld in dieser Höhe vergeben. Das Bußgeld in Höhe von 50.000 Euro erging in Berlin.
Zwar ein alter Beitrag aber ich möchte mal anmerken: Die ICO Bußgelder (Marriot und BA) sind noch nicht „erlassen“ worden. Die wurden bisher nur angekündigt und die Unternehmen dürfen aktuell Stellung nehmen. Die 50 Mio für Google aus Frankreich bleiben dagegen unerwähnt.