Der Begriff „Geldbuße“ klingt so, als ginge es um ein paar Euro. Bei den Geldbußen nach der Datenschutz-Grundverordnung (EU-DSGVO) sieht das allerdings etwas anders aus. Und auch sonst weisen sie einige Besonderheiten auf, die man kennen sollte.
Geldbußen in maßloser Höhe?
„Irrsinn“ war ein Begriff, den man anfangs häufig hören konnte, wenn es um die mögliche Höhe von Geldbußen nach der EU-DSGVO ging. Und tatsächlich: Eine maximale Höhe von 20 Millionen Euro bzw. 4% des gesamten weltweit erzielten Konzern-Jahresumsatzes des vorangegangenen Geschäftsjahrs ist eine echte Ansage.Geldbußen nach EU-DSGVO |
Doch wie so oft im Leben sollte man auch hier genauer hinsehen, um was es eigentlich geht...
Die EU-DSGVO gilt für Kleinstunternehmen genauso wie für Großkonzerne. Das muss sich in der möglichen Höhe von Geldbußen widerspiegeln. Deshalb ist es konsequent, wenn die EU-DSGVO in ihrem Art. 83 Abs. 6 von „bis zu“ 20 Millionen Euro Geldbuße spricht. Geringfügige, einmalige Verstöße in kleinen Unternehmen werden also nur überschaubare Beträge kosten. Auf Dauer angelegte, bewusste Verstöße in Großunternehmen können dagegen teuer werden. Diese Unterscheidung entspricht dem Prinzip der Verhältnismäßigkeit.
Aktuelle Bußgelder aus Deutschland
Wenn Sie persönlich nichts mitbekommen haben bezüglich verhängten EU-DSGVO-Bußgeldern, hier eine kurze Zusammenstellung der einschlägigen Geldbußen aus Deutschland seit 09/2019 für Sie:
- 24.09.2021 Bußgeld in Höhe von 901.389 Euro an Vattenfall Europe Sales GmbH für intransparente Datenabgleiche bei Vertragsanfragen für Neukunden-Sonderverträge in ca. 500 Tsd. Fällen. Hier ging es wohl darum, Wechselboni zu sparen.
- 13.07.2021 Bußgeld in Höhe von 300.000 Euro an Unternehmen für die Verweigerung des Zugangs zu den Geschäftsräumen ggü. der Datenschutzbehörde bei einer unangekündigten Kontrolle.
- 27.05.2021 Bußgeld in Höhe von 65.500 Euro an einen Online-Shop-Betreiber für den Betrieb eines Online-Shops mit veralteter, unsicherer Version der Shop-Software (xt:Commerce) mit substantiellen Schwachstellen.
- 10.03.2021 Bußgeld in Höhe von 300.000 Euro an VfB Stuttgart 1893 AG für fahrlässige Verletzung der datenschutzrechtlichen Rechenschaftspflicht.
- 03.03.2021 Bußgeld in Höhe von 200 Euro an Privatperson für Unverschlüsselte E-Mail mit Beweismaterial zu Verkehrsverstößen an die Bußgeldabteilung der Stadt Magdeburg.
- 17.02.2021 Bußgeld in Höhe von 260.000 Euro an KiKxxl GmbH für Unerlaubte Telefonwerbung ohne Prüfung der Einwilligung und trotz Widerspruchs der Betroffenen.
- 11.02.2021 Bußgeld in Höhe von 250.000 Euro an mivolta GmbH für Unerlaubte Telefonwerbung im Zusamenhang mit Energieversorgung und unterstellte Vertragabschlüsse.
- 10.02.2021 Bußgeld in Höhe von 148.000 Euro an Vodafone NRW GmbH für Telefonwerbung ohne vorherige ausdrückliche Einwilligung.
- 28.01.2021 Bußgeld in Höhe von 9.444 Euro an ein Gastronomieunternehmen für rechtswidrige ganztägige Videoüberwachung der Beschäftigten sowie von Kunden und Passanten.
- 28.01.2021 Bußgeld in Höhe von 1.500 Euro an einen Gewerbebetrieb für rechtswidrige ganztägige Videoüberwachung der Beschäftigten sowie von Kunden und Passanten.
- 28.01.2021 Bußgeld in Höhe von 4.000 Euro an ein Labor für die Weiterleitung von Mitarbeiterdaten an unberechtigte Dritte.
- 28.01.2021 Bußgeld in Höhe von 5.832 Euro an einen Steuerberater für die unsachgemäße Lagerung vertraulicher Mandantenakten (in einem Parkhaus).
- 28.01.2021 Bußgeld in Höhe von 7.638 Euro an ein Labor für die fehlende Datenschutzerklärung auf der Website und die unrechtmäßige Nutzung von Google-Tools.
- 28.01.2021 Bußgeld in Höhe von 300 Euro an einen Polizeibeamten für den Versand / Übermittlung von Bildern über Whatsapp.
- 28.01.2021 Bußgeld in Höhe von 13.021 Euro an ein Unternehmen für Erwachsenenbildung für eine fehlende Vereinbarung zur gemeinsamen Verantwortlichkeit mit der Konzernmutter.
- 28.01.2021 Bußgeld in Höhe von 500 Euro an eine Arztpraxis für den Falschversand eines Befunds und die verspätete Meldung einer Datenpanne.
- 28.01.2021 Bußgeld in Höhe von 1.200 Euro an ein Handelsunternehmen für die Nichterteilung einer Auskunft an einen Betroffenen.
- 28.01.2021 Bußgeld in Höhe von 800 Euro an ein Fetisch-Portal für inadäquate Schutzmaßnahmen in Form von Nichtentfernung der Standortdaten bei Foto/Video-Uploads (kein Privacy by Default).
- 28.01.2021 Bußgeld in Höhe von 3.000 Euro an ein Gastronomieunternehmen für rechtswidrige Videoüberwachung der Beschäftigten.
- 28.01.2021 Bußgeld in Höhe von 250 Euro an einen Beschäftigten eines Restaurants (als Privatperson) für die Nutzung von Kontaktdaten, die zur Kontaktverfolgung (Corona) erhoben wurden, zu privaten Zwecken.
- 28.01.2021 Bußgeld in Höhe von 9.000 Euro an ein KMU / einen Soloselbständigen für unzureichenden Datenschutz durch Technikgestaltung.
- 28.01.2021 Bußgeld in Höhe von 6.200 Euro an ein KMU / einen Soloselbständigen für unzulässige Datenverarbeitung.
- 08.01.2021 Bußgeld in Höhe von 10.400.000 Euro an notebooksbilliger.de AG für Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden über einen Zeitraum von mindestens zwei Jahren.
- 04.01.2021 Bußgeld in Höhe von 145.000 Euro an Cell it! GmbH & Co. KG für Unerlaubte Telefonwerbung ohne Einwilligung der Betroffenen und Inrechnungstellung von Zusatzdienstleistungen.
- 01.10.2020 Bußgeld in Höhe von 35.258.708 Euro an H&M Hennes & Mauritz Online Shop A.B. & Co. KG für die Bespitzelung hunderter Mitarbeiter des Service Centers Nürnberg.
- 03.09.2020 Bußgeld in Höhe von 8.000 Euro an einen nicht näher benannten Rechtsanwalt für Unerlaubte Verarbeitung der Daten eines mutmaßlichen Schuldners und eines unbeteiligten Ehepaars.
- 17.07.2020 Bußgeld in Höhe von 145.000 Euro mobilcom-debitel GmbH DE Unerlaubte Werbeanrufe ohne wirksame Einwilligung.
- 30.06.2020 Bußgeld in Höhe von 1.240.000 Euro AOK Baden-Württemberg für die Verwendung der Daten von 500 Gewinnspielteilnehmern für Werbezwecke.
- 03.04.2020 Bußgeld in Höhe von 6.000 Euro Berliner Landesverband der NPD für die Veröffentlichung der Kontaktdaten von Flüchtlingshelfern über Google Maps.
- 24.03.2020 Bußgeld in Höhe von 50.000 Euro an ein nicht näher spezifiziertes Unternehmen für Fehlender AV-Vertrag und Verstoß gegen Transparenz- und Verständlichkeitsgebot.
- 24.03.2020 Bußgeld in Höhe von 12.000 Euro an den Betreiber eines Schwimmbades für unerlaubte Videoüberwachung im Schwimmbad, fehlender AV-Vertrag und keine Benennung eines DSB.
- 14.03.2020 Bußgeld in Höhe von 229 Euro an einen LKW-Fahrer für den Betrieb einer Dashcam im Straßenverkehr und Veröffentlichung von Aufnahmen über Youtube.
- 11.03.2020 Bußgeld in Höhe von 2.000 Euro an ein Restaurant für unerlaubte Kameraüberwachung des Gastraumes eines Restaurants.
- 13.02.2020 Bußgeld in Höhe von 51.000 Euro an Facebook Germany GmbH für unterlassene Mitteilung über den Wechsel des Datenschutzbeauftragten.
- 13.02.2020 Bußgeld in Höhe von 20.000 Euro an Hamburger Verkehrsverbund GmbH für Verspätete Meldung einer Datenpanne an betroffene Personen und Aufsichtsbehörde.
- 30.01.2020 Bußgeld in Höhe von 100.000 Euro an Lebensmittelhandwerksunternehmen für unzureichenden Schutz personenbezogener Daten in einem Bewerberportal.
- 23.12.2019 Bußgeld in Höhe von 250.000 Euro an Sky Deutschland Fernsehen GmbH & Co. KG für wiederholte Werbeanrufe für Pay-TV-Abonnements ohne Einwilligung (Cold-Calls) in mindestens 1.000 Fällen.
- 09.12.2019 Bußgeld in Höhe von 9.550.000 Euro an 1&1 Telecom GmbH weil Unberechtigte konnten durch mangelnde Authentifizierung bei der Kundenbetreuung andere Kundendaten erhalten. (Nachtrag vom 11.11.2020: Das Bußgeld wurde mit Urteil des Landsgerichts Bonn (Az. 29 OWi_1/20 LG) vom 11.11.2020 auf 900.000 Euro reduziert.)
- 09.12.2019 Bußgeld in Höhe von 10.000 Euro an Rapidata GmbH für die fehlende Benennung eines Datenschutzbeauftragten.
- 03.12.2019 Bußgeld in Höhe von 105.000 Euro an Universitätsmedizin der Johannes Gutenberg-Universität Mainz für eine Patientenverwechselung bei der Aufnahme eines Patienten.
- 05.11.2019 Bußgeld in Höhe von 14.500.000 Euro an Deutsche Wohnen SE für die Speicherung von Daten ehemaliger Mieter in einem Archivsystem ohne Rechtsgrundlage und ohne Löschmöglichkeit. (Aktuell wegen Formfehlern ausgesetzt.)
- 19.09.2019 Bußgeld in Höhe von 195.407 Euro an Delivery Hero Germany GmbH für die Missachtung von persönlichen Rechten, keine Löschung ehemaliger Kundendaten und unerwünschte Werbe-Emails.
Wie Sie ganz schnell sehen können: Einiges davon kann auch Ihr Unternehmen jederzeit treffen. Sorgen Sie daher bitte jetzt vor. Wir unterstützen Sie gerne!
Spektakuläre Bußgelder aus anderen Europäischen Ländern
Wer jetzt glaubt, dass nur Deutschland hohe Datenschutz-Bußgelder gemäß der EU-DSGVO vergibt: Weit gefehlt! Auch in anderen Ländern wurden Bußgelder vergeben. Hier ein paar aufmerksamkeitserregende:
- 10.09.2021 Bußgeld in Höhe von 800.000 Euro an die Stadtverwaltung Rom für unzureichenden Schutz der Daten parkender Personen, keine Speicherbegrenzung und keine Erarbeitung eines Verarbeitungsverzeichnisses.
- 02.09.2021 Bußgeld in Höhe von 225.000.000 Euro an WhatsApp Ireland Ltd. für die Verletzung der Informationspflichten, insbesondere bzgl. Datenübermittlung an andere Facebook-Unternehmen.
- 02.08.2021 Bußgeld in Höhe von 2.500.000 Euro an Deliveroo Italy s.r.l., einen italienischen Essenslieferdienst, für zahlreiche Datenschutzverstöße beim Einsatz zentralisierter automatisierter Systeme zur Fahrerverwaltung.
- 02.08.2021 Bußgeld in Höhe von 2.000.000 Euro an die REWE-Tochter "Unser Ö-Bonus Club GmbH" für intransparente Einwilligungserklärungen und unrechtmäßige Verarbeitung von Kundendaten zum Profiling.
- 30.07.2021 Bußgeld in Höhe von 746.000.000 Euro an Amazon Europe Core S.à r.l für Verstöße im Zusammenhang mit der Anzeige von Werbung und der Weitergabe von Daten an Dritte.
- 27.07.2021 Bußgeld in Höhe von 2.520.000 Euro an MERCADONA, S.A. für die Nutzung einer Gesichtserkennungs-Lösung in 40 Supermärkten. Diese erfasste uneingeschränkt jede Person. Es wurde keine Datenschutz-Folgenabschätzung (DS-FA) durchgeführt.
- 22.07.2021 Bußgeld in Höhe von 750.000 Euro an Tiktok für die Verwendung einer ausschließlich auf Englisch verfügbarer Datenschutzerklärung ggü. niederländischen App-Nutzern.
- und viele mehr...
Geldbuße oder Bußgeld - Was denn nun? (auf schwäbisch: Hä?)
Unter dem Begriff "Geldbuße" versteht man im Verwaltungsrecht eine Geldzahlung, die bei geringfügiger Verletzung der Rechtsnormen wegen Ordnungswidrigkeit durch Behörden verhängt wird. Dieser Begriff ist dabei gleichbedeutend mit dem Begriff "Bußgeld". Weshalb die EU-DSGVO den Begriff "Geldbuße" nennt und §43 des neuen Bundesdatenschutzgesetzes (BDSG-neu) mit "Bußgeldvorschriften" überschrieben wird - man weiß es nicht...
Feststeht: Wir wollen beides nicht verhängt bekommen.
Wer ist „Verantwortlicher“?
Geldbußen sind nur gegen „Verantwortliche“ möglich. Der Begriff legt nahe, dass bei einem Verstoß in einem Unternehmen zunächst der intern Verantwortliche gesucht wird und dass ihn dann die Geldbuße trifft. Doch weit gefehlt: Die EU-DSGVO definiert den Begriff „Verantwortlicher“ in ihrem Art. 4 Nr. 7 ganz anders: „Verantwortlicher“ ist das Unternehmen selbst, nicht der Mitarbeiter! Geldbußen gegen einzelne Mitarbeiter sieht die EU-DSGVO nicht vor.
Kein Freibrief für pflichtvergessene Mitarbeiter!
Eine gute Nachricht für Mitarbeiter, die es mit dem Datenschutz nicht so genau nehmen? Nicht wirklich. Denn eine Geldbuße für ihre Pflichtverletzung wird dann logischerweise gegen das Unternehmen verhängt. Als Folge für die Mitarbeiter selbst stehen Abmahnungen oder sogar ernstere arbeitsrechtliche Schritte im Raum. Das wiegt mindestens genauso schwer wie eine direkte Geldbuße.
Der „Freischuss“ – ein rechtliches Märchen!
Immer wieder macht das Gerücht die Runde, dass die Datenschutz-Aufsichtsbehörden bei erstmaligen Verstößen sehr nachsichtig seien. Manche sprechen sogar von einem angeblichen „Freischuss“, der jedem Unternehmen zustehe.
Bei näherem Hinsehen stimmt an diesem Gerücht schlicht nichts. Natürlich kann es vor-kommen, dass ein leichter, lediglich fahrlässiger Verstoß gegen Vorschriften nur zu einer Ermahnung führt. Das kennt jeder schon von Verkehrsverstößen. Aber wenn der Verstoß gravierend ist, scheidet eine solche Nachsicht aus. Dann kann auch schon ein erstmaliger Verstoß eine Geldbuße in beträchtlicher Höhe nach sich ziehen.
Aufrüstung der Aufsichtsbehörden
Manche fragen sich, warum man von solchen Fällen fast nie hört. Der Grund ist einfach: Auch die Aufsichtsbehörden für den Datenschutz müssen sich erst auf die neuen Regelungen der EU-DSGVO einstellen. Zudem müssen sie neues Personal anlernen. Aber in einigen Monaten sieht das schon anders aus. Und dann besteht ein echtes Risiko von Geldbußen.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele
Unser yourIT-Datenschutz-Team steht bereit, um diese sicherlich herausfordernden Verbesserungen mit Ihnen in die Realität umzusetzen. Wir freuen uns auf Ihre Anfrage und darauf, Sie und Ihr Unternehmen kennen zu lernen. Fordern Sie uns!