Bußgelder und die DSGVO: Strafen sicher vermeiden?

Das Wichtigste in Kürze

Mit diesen Schritten und Maßnahmen vermeiden Sie Bußgeldrisiken:

  • Setzen Sie auf ein holistisches Datenschutzmanagement.
  • IT-Security schützt vor kostspieligen Datenpannen.
  • Durch interne Schulungen sensibilisieren Sie Mitarbeiter für den Datenschutz.
  • Informieren Sie transparent über Ihren Umgang mit personenbezogenen Daten.
  • Holen Sie sich die Einwilligungen der Nutzer ein, um ihre Daten zu verwenden.
  • Beachten Sie die Rechtmäßigkeitsgrundsätze zur Verarbeitung von Daten.
  • Setzen Sie Privacy by Design und Privacy by Default um.
  • Treffen Sie technische organisatorische Maßnahmen (TOM).
  • Beachten Sie die Löschfristen.
  • Achten Sie auf die Authentifizierung zur Dateneinholung.
  • Implementieren Sie das Recht auf Vergessen.
  • Kontaktieren Sie Ihren Datenschutzbeauftragten.

In diesem Beitrag

Wie teuer sind Verstöße gegen den Datenschutz? Vor 20 Jahren hätte ein Datenschutzbeauftragter die Strafe wohl auf einige tausend Euro geschätzt. Ein Risiko, das Unternehmen allein deshalb in Kauf genommen hätten, weil die vernünftige Umsetzung datenschutzrechtlicher Maßnahmen teurer ausgefallen wäre als die Strafe. Heute hat sich das Blatt gewendet – und ein Verstoß gegen die DSGVO kann schmerzhaft teuer werden.

Wie hat sich die Zahl der Bußgelder entwickelt?

Seit dem Inkrafttreten der DSGVO im Mai 2018 haben sich sowohl die Anzahl als auch die Höhe der Bußgelder dynamisch entwickelt. Während sich die Strafen vor 2018 europaweit noch im einstelligen Millionenbereich bewegten, betrug die Gesamtsumme 2019 schon über 400 Millionen. Die Tendenz: steigend. In den kommenden Jahren sollten Unternehmen jedenfalls mit allgemein strengeren Maßnahmen in allen Ländern rechnen.

Was sind die wichtigsten Gründe und Ursachen für Verstöße im Datenschutz?

Betrachten wir die 20 höchsten verhängten Bußgelder seit 2018 nach ihrer Schwere, sind die gravierendsten Verstöße auf mangelnde IT-Sicherheit und Intransparenz zurückzuführen. Gehen wir nach Häufigkeit, lassen sich die Hauptursachen wie folgt einordnen:

  • Lücken in der IT-Security: Fast die Hälfte der höchsten verhängten Strafen (insgesamt 300 Millionen Euro) ist auf Datenpannen oder die fehlende Umsetzung von IT-Sicherheitsmaßnahmen zurückzuführen.
  • Unrechtmäßige Datenerhebung: Bei sieben der 20 Fälle lagen ordnungswidrige Datenerhebungen vor, oft wegen fehlender Einwilligungen. Die Strafen beliefen sich hier insgesamt auf 61 Millionen.
  • Missachten von Löschfristen und fehlende Datenminimierung: Unternehmen dürfen Daten laut DSGVO weder in beliebigem Umfang noch auf unbestimmte Zeit erheben und aufbewahren. Die fehlende oder mangelhafte Umsetzung geeigneter Konzepte kostete drei Unternehmen insgesamt 22 Millionen Euro Strafe.

Was sind die höchsten verhängten Bußgelder?

Über die Höhe der Strafe entscheiden laut DSGVO die zuständigen Aufsichtsbehörden auf Grundlage der vorliegenden Datenschutzverletzung. Bei besonders gravierenden Fällen belaufen sich die Strafen auf bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr – je nachdem, welcher Wert höher ist.

Einige der Höchststrafen nach DSGVO sehen wir uns im Folgenden genauer an:

  1. British Airways (Vereinigtes Königreich) mit über 183 Mio. Euro
  2. Marriott (Vereinigtes Königreich) mit über 110 Mio. Euro
  3. Google (Frankreich) mit 50 Mio. Euro
  4. TIM SpA (Italien) mit über 27 Mio. Euro
  5. Österreichische Post (Österreich) mit 18 Mio. Euro
  6. Deutsche Wohnen (Deutschland) mit über 14 Mio. Euro
  7. 1&1 (Deutschland) mit über 9 Mio. Euro
  8. Eni gas e luce SpA (Italien) mit über 8 Mio. Euro
  9. Google (Schweden) mit über 6 Mio. Euro

Hohe Bußgelder wegen fehlender IT-Sicherheit: British Airways & Marriott

Die bisher höchste Strafzahlung (183 Millionen Euro) traf British Airways. Grund war die massiv unzureichende IT-Security der Fluggesellschaft. Es folgte ein Hackerangriff auf die Website, bei dem der Nutzerverkehr auf eine Betrügerseite weitergeleitet wurde. So landeten personenbezogene Zahlungskarten- und Reisebuchungsdaten im Darknet. Als der Cyber-Angriff drei Monate später bemerkt wurde, waren etwa 500.000 Kunden betroffen.

Auch im Fall Marriott ist das schwindelerregend hohe Bußgeld von 110 Millionen auf IT-Sicherheitslücken zurückzuführen. Das System der weltgrößten Hotelgruppe war nicht ausreichend gegen Hackerangriffe geschützt. Erschwerend hinzu kam, dass die Datenpanne erst nach einigen Jahren entdeckt und spät gemeldet wurde. So wurden zwischen 2014 und 2018 rund 339 Millionen Gäste der Hotelgruppe weltweit in Mitleidenschaft gezogen.

Wie hätte man diese Strafen verhindern können?

Durch das Ernstnehmen des Themas IT-Security und die Umsetzung der entsprechenden Sicherheitsmaßnahmen, z. B. durch regelmäßiges Penetration Testing, hätten diese Datenpannen verhindert werden können. Zudem kann die zeitnahe Meldung des Datenlecks zur Minderung der Strafe beitragen. Die Aufsichtsbehörden berücksichtigen nämlich ehrliches Bemühen um die Einhaltung des Datenschutzes. Hierbei kann auch eine erfahrene Datenschutzfirma helfen.

Google Frankreich – DSGVO-Strafzahlung wegen Intransparenz

Google Frankreich wurde wegen mangelnder Transparenz zur Kasse gebeten. Die Datenschützer bemängelten die Art und Weise, wie das Unternehmen über die Nutzung personenbezogener Daten zu Werbezwecken informierte. Die Datenschutzerklärung des Unternehmens sei unübersichtlich und in einigen Punkten unklar. Für die Nichtbeachtung der Informationspflicht gab es ein 50 Millionen Euro schweres Bußgeld.

Die Strafe dürfte den Suchmaschinen-Titan zumindest in der Jahresbilanz geschmerzt haben. Viel wichtiger ist aber die Bedeutung des Urteils: Es zeigt, dass auch die Großen nicht frei über die Daten der Bürger verfügen, um sie nach Belieben für ihre Firmenzwecke ausschlachten zu können. Gemäß der Informationspflicht müssen sie klar und eindeutig erklären, wie sie mit personenbezogenen Daten verfahren.

Wie hätte Google diese Strafen verhindern können?

Mit einer ellenlangen Datenschutzerklärung, in denen die Informationen unübersichtlich oder gar versteckt sind, handelt Google nicht im Sinne der Informationspflicht. Zu diesem Zweck hätte das Unternehmen gleich im ersten Satz erklären müssen, was mit den Daten des Nutzers passiert, wenn er einen bestimmten Dienst von Google verwendet. So kann sich dieser bewusst für oder gegen die Nutzung des Service entscheiden.

TIM und ENI Italien: Hohe Geldstrafen für unerlaubte Werbeanrufe

Vielleicht haben Sie auch schon festgestellt, dass Sie in letzter Zeit weniger Werbeanrufe erhalten. Dies ist nur eine der angenehmen Folgen der DSGVO. Als Exempel dürften zwei Fälle aus Italien gedient haben, bei denen der Telekommunikationsanbieter TIM und der Mineralöl- und Energiekonzern ENI Italia mit jeweils 27 und 8 Millionen Euro bestraft wurden.

Bei TIM wurden Personen ohne deren Einwilligung millionenfach angerufen, eine sogar 155 Mal innerhalb eines Monats. Auch ENI rief Personen zu Werbezwecken an – ohne deren Einwilligung und trotz Opt-out. Trotz Einreichen von Werbewidersprüchen klingelte das Telefon weiter. Offenbar hatten beide Unternehmen nicht die geeigneten technischen und organisatorischen Maßnahmen (TOM) getroffen.

Wie hätten ENI und TIM die Strafe vermeiden können?

Beide Unternehmen hätten sich die DSGVO-Bußgelder verhältnismäßig leicht ersparen können – durch das Einholen einer Einwilligung der Nutzer. Außerdem hätten ENI und TIM ihre Plattformen mit der Datensicherheit im Hinterkopf programmieren (Privacy by Design) und den Nutzern den Schutz ihrer Daten durch entsprechende Voreinstellungen gewährleisten können (Privacy by Default).

1&1: DSGVO-Strafe wegen Mangel im Authentifizierungsverfahren

Im Fall von 1&1 steckte der Teufel im Detail: Dem ehemaligen Lebenspartner eines Kunden war es gelungen, über die Telefon-Hotline durch die Angabe von Namen und Geburtsdatum des Kunden die Handynummer von  diesem zu erhalten. Obwohl es sich um einen Einzelfall handelte und 1&1 eng mit der Datenschutzbehörde zusammenarbeitete, verhängte diese ein Bußgeld von 9,5 Millionen Euro. Das Unternehmen plant nun, dagegen zu klagen.

Wie hätte 1&1 die DSGVO-Abstrafung vermeiden können?

Über die Verhältnismäßigkeit dieses Urteils lässt sich streiten. 1&1 hat jedenfalls schnell reagiert und die entsprechenden Maßnahmen getroffen: Durch die Einführung einer zweistufigen Authentifizierung und Implementierung technischer und organisatorischer Maßnahmen (TOM) sollte das Unternehmen in Zukunft keine Probleme mehr beim Authentifizierungsverfahren haben.

Österreichische Post – Unrechtmäßige Datenerhebung abgestraft

Darf die österreichische Post hochsensible Daten zur Parteiaffinität von über 2,2 Millionen Kunden sammeln? Und muss sie für die Auslieferung von Briefen und Päckchen wissen, ob Frau Meyer im Mai 15 Pakete und im Juni nur drei bekommt, oder wie oft sie umzieht? Nein, befand die österreichische Datenschutzbehörde. Und verhängte für die Datenschutz-Verstöße des teilweise staatlichen Unternehmens eine Strafe von 18 Millionen Euro.

Wie hätte die österreichische Post die Strafe vermeiden können?

Gemäß den Grundsätzen zur Datenminimierung und Rechtmäßigkeit hätte die Post nur die Daten sammeln und verarbeiten dürfen, die unbedingt notwendig für ihre Aufgabenerfüllung sind. Beispielsweise ist die Erfassung anonymisierter Daten zur Auslieferungsfrequenz zulässig, das Profiling des Bestellverhaltens einzelner Kunden hingegen nicht. Denn auch im Datenschutz gilt: so viel wie nötig, so wenig wie möglich.

Deutsche Wohnen – DSGVO-Bußgeld wegen Missachtung der Löschfristen

Das bisher in Deutschland höchste Bußgeld (14,5 Millionen Euro) verhängten Datenschützer gegen Deutsche Wohnen. Der Grund: Das Immobilienunternehmen hatte im unbegrenzten Umfang über mehrere Jahre hinweg Mieterdaten gespeichert. Dazu gehörten auch Lohnbescheide oder SCHUFA-Auskünfte, für deren Speicherung keine rechtliche Grundlage vorlag.

Wie hätte Deutsche Wohnen das DSGVO-Bußgeld vermeiden können?

Deutsche Wohnen wurde schon 2017 von den Datenschützern aufgefordert, das IT-Archiv zu überarbeiten und die Datensätze im Sinne der Löschungsrechte zu bereinigen. Hätte das Unternehmen damals das Problem ernst genommen und die Löschfristen eingehalten, wäre ihm die hohe Geldstrafe erspart geblieben.

Google SE – Verstoß gegen das Recht auf Vergessen

Unser letzter Fall betrifft wieder Google – dem Konzern wurde in Schweden ein DSGVO-Bußgeld von 7 Millionen Euro auferlegt. Gegenstand waren einige Einträge aus den Suchergebnissen, die sich auf strafrechtliche Verurteilungen und Straftaten von Einzelpersonen bezogen. Die Betroffenen hatten gemäß dem Recht auf Vergessenwerden die Löschung dieser Einträge erwirkt, der Google aber nicht im geforderten Umfang nachkam.

Was hätte Google anders machen sollen?

Google hätte den Betroffenen die Chance einräumen sollen, diese hochsensiblen, zum Teil unbegründeten Angaben aus den Suchergebnissen zu löschen. Und das ohne Rückschlüsse auf die Person zu erlauben, die die Löschung veranlasst hatte. Zu diesem Zweck ist die Implementierung des Rechts auf Vergessen in die Systeme erforderlich, damit die Einträge im vollen Umfang innerhalb der gesetzten Fristen gelöscht werden.

Fazit: Wie können Unternehmen DSGVO-Bußgelder vermeiden?

Die obigen Fälle zeigen, dass viele der schwersten Verstöße auf mangelnde IT-Sicherheit, aber auch auf Probleme wegen fehlender Einwilligungen oder ungenügenden Rechtmäßigkeiten zurückzuführen sind. Auch die Einhaltung von Löschfristen und die Entsprechung des Rechts auf Vergessen wirken sich auf die Bemessung etwaiger Strafen aus.

Damit es gar nicht erst zu hohen Bußgeldern kommt, sollten Unternehmen Datenschutz als gesetzliche Realität akzeptieren, das Thema holistisch angehen und sich rechtzeitig auf die Reise machen. Denn umfassende DSGVO-Konformität geschieht nicht über Nacht. Mit einem erfahrenen Datenschutzbeauftragten an ihrer Seite signalisieren Unternehmen auch Aufsichtsbehörden, dass sie in puncto Datenschutz auf dem richtigen Weg sind.

Über den Autor

Dr. Niels Beisinghoff

Bevor Dr. Niels Beisinghoff Legal Council bei DataGuard wurde, arbeitete er jeweils fünf Jahre als Unternehmensberater und als Startup-Unternehmer. Obwohl der Volljurist erst bei DataGuard tiefer in den Datenschutz eintauchte, liefern seine Studienjahre erste Hinweise auf seinen späteren Berufsweg: „Datenschutz ist für mich ein Menschenrecht, das nun endlich mithilfe der DSGVO durchsetzbar wurde. Ich habe meine Doktorarbeit über die Durchsetzung von Menschenrechten gegenüber Firmen geschrieben.“ Heute unterstützt er internationale Unternehmen aus Branchen wie Logistik, Industrie und E-Mobility. Seine Freizeit verbringt er am liebsten mit Familie und Freunden. Übrigens unterhielt er als Kind die größte Sammlung an Auto-Stecknadeln in der näheren Region. Gern hätten wir einen Blick darauf geworfen, wenn sie nicht jemand aus seinem Keller entwendet hätte …

Weitere Beiträge von Dr. Niels Beisinghoff

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service