3 der höchsten Geldstrafen wegen Missachtung des Datenschutzes

01. September 2022 - Minuten Lesezeit

Die DS-GVO hat seit dem Inkrafttreten im Jahr 2018 niemanden unbewegt gelassen. Nicht zuletzt aufgrund der Tatsache, dass bei Verstößen gegen die DS-GVO hohe Bußgelder verhängt werden können. 

Datenschutz - hohe Strafen wegen Missachtung

Die Gründe, weshalb Unternehmen zur Zahlung von Bußgeldern verpflichtet werden, können sehr unterschiedlich sein. In der Praxis treten die folgenden Datenschutzverstöße am häufigsten auf:

  • Eine fehlende vertragliche Absicherung bei Auftragsverarbeitungen
  • Das Setzen von Cookies ohne vorherige Einwilligung der Nutzer
  • Der Versand von Bewertungsanfragen ohne vorherige Einwilligung
  • Die Missachtung des DS-GVO Auskunftsrechts

Zuständig für das Verhängen von Bußgeldern sind die nationalen Aufsichtsbehörden (Bundesdatenschutzbeauftragte sowie die Datenschutzbeauftragten der einzelnen Länder).
Die Höhe des Bußgeldes richtet sich nach dem Schadensausmaß, der Anzahl der Geschädigten und der Schwere bzw. der eingetretenen oder möglichen Folgen für die Betroffenen. Es sind Bußgelder von bis zu 20 Millionen Euro, oder auch darüber hinaus bei größeren Konzernen in Höhe von bis zu 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ausfällt.

Wie hoch das tatsächliche Bußgeld letzten Endes ausfällt, liegt immer bei der zuständigen Aufsichtsbehörde. Diese richten sich dabei am Konzept der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen.

Die Kriterien, welche Einfluss auf die Berechnung des Bußgeldes haben, sind folgende: 

  • Der Jahresumsatz des Unternehmens
  • Der eigentliche Datenschutzverstoß
  • Der Grad des Verschuldens
  • Ob eine Wiederholung vorliegt
Datenschutz-Missachtung-Strafen

Um die Brisanz und Wichtigkeit dieses Themas hervorzuheben, haben wir drei aktuelle deutsche Fälle aus dem Jahr 2022 aufgeführt, in denen Unternehmen wegen Missachtung des Datenschutzes Strafen erhielten. Die betroffenen Unternehmen sind aus den unterschiedlichsten Branchen, ebenso wie die Verstöße gegen die DS-GVO.

Fall 1:  
1.900.000 Euro Bußgeld gegen die BREBAU GmbH

Am 26. Juli 2022 verhängte die Landesbeauftragte für den Datenschutz Bremen ein Bußgeld nach Artikel 83 Datenschutz-Grundverordnung (DS-GVO) in Höhe von 1.900.000 € gegen die BREBAU GmbH.

Das oben genannte Unternehmen hat mehr als 9.500 Daten über Mieterinteressenten verarbeitet, ohne dass es eine Rechtsgrundlage hierfür gab. Bei über der Hälfte der Fälle handelte es sich um Daten, die nach Artikel 9 DS-GVO als besonders schützenswert zu betrachten sind. Rechtswidrig verarbeitet wurden unter anderem Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand der jeweiligen potenziellen Mieter.

Die Geldbuße hätte aufgrund der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz auch noch deutlich höher ausfallen können, jedoch hat das Unternehmen im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperiert. Man war vorbildlich bemüht um Schadensminimierung, die eigene Aufklärung des Sachverhalts und dafür Sorge zu tragen, dass sich solch ein Verstoß nicht mehr wiederholt.

Fall 2:  
1.100.000 Euro Bußgeld gegen die Volkswagen Aktiengesellschaft

Am 26. Juli 2022 verhängte die Landesbeauftragte für den Datenschutz Niedersachsen ein Bußgeld nach Artikel 83 DS-GVO in Höhe von 1.100.000 € gegen die Volkswagen Aktiengesellschaft. Die Gründe dafür sind Datenschutzverstöße im Kontext des Einsatzes eines Dienstleisters bei Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen.

2019 wurde durch die österreichische Polizei ein Erprobungsfahrzeug für eine Verkehrskontrolle angehalten. Den Polizisten sind dabei merkwürdige Anbauten am Fahrzeug aufgefallen, welche sich als Kameras herausstellten. Zur Fehleranalyse wurde das komplette Verkehrsgeschehen rund um das Fahrzeug aufgezeichnet. Am Fahrzeug selbst waren weder Kameraschilder angebracht, noch waren die vorgeschriebenen Informationspflichten für die Betroffenen angebracht.

Jene Betroffene müssen jedoch laut Artikel 13 DS-GVO bei einer Datenverarbeitung unter anderem darüber aufgeklärt werden, wer die Verarbeitung zu welchem Zweck durchführt und wie lange die Aufzeichnungen gespeichert werden.

Bei weiteren Prüfungen kam noch ans Tageslicht, dass die Volkswagen Aktiengesellschaft keinen Auftragsverarbeitungsvertrag mit dem Unternehmen, welches die Fahrten durchführte, abgeschlossen hatte. Dies entspricht einem Verstoß nach Artikel 28 DS-GVO.

Um die Fahrten durchführen zu können, wäre nach Artikel 35 DS-GVO zusätzlich eine Datenschutz-Folgenabschätzung nötig gewesen, welche vor Beginn der Verarbeitung nötig gewesen wäre, um mögliche Risiken und deren Eindämmung bewerten zu können. Auch fehlten die technischen und organisatorischen Maßnahmen sowie die Aufnahme der Tätigkeit in das Verzeichnis der Verarbeitungstätigkeiten, was einen Verstoß gegen die Dokumentationspflichten nach Artikel 30 DS-GVO darstellt. 

Datenschutzrechtliche-Maßnahmen-um-Datenschutzverstoesse-in-Ihrem-Unternehmen-zu-vermeiden
Datenschutzrechtliche-Maßnahmen-um-Strafen-wegen-Missachtung-zu-vermeiden

Fall 3:  
900.000 Euro Bußgeld gegen die Hannoversche Bank

Am 28. Juli 2022 verhängte die Landesbeauftragte für den Datenschutz Niedersachsen ein Bußgeld nach Artikel 83 DS-GVO in Höhe von 900.000 € gegen die Hannoversche Volksbank. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig.

Hintergrund des Bußgeldbescheides war, dass die Hannoversche Volksbank die Daten von aktuellen und früheren Kundinnen und Kunden bezüglich deren digitalem Nutzerverhalten, ohne Rechtsgrundlage auswertete. Es wurde beispielsweise analysiert, wie oft die Betroffenen in App-Stores einkaufen, wie oft sie den Kontoauszug-Drucker verwendet haben oder auch wie viele und über welche Summen Überweisungen über das Online-Banking getätigt worden sind.

Für die Auswertung dieser gesammelten Daten wurde ein Dienstleister beauftragt. Die so gewonnenen Ergebnisse wurden anschließend mit den vorhandenen Informationen einer Wirtschaftsauskunftei verglichen und entsprechend ergänzt.

Die Bank hat die Betroffenen im Vorfeld über die Analyse informiert, jedoch wurde keine Einwilligung eingeholt. Bei der Datenauswertung konnte sich das Unternehmen nicht auf das berechtigte Interesse (Artikel 6 Abs. 1 lit. f DS-GVO) stützen. Danach kann ein Verantwortlicher personenbezogene Daten auf der Grundlage einer Interessenabwägung verarbeiten. Im Falle der Bank, so entschied die Landesbeauftragte für den Datenschutz Niedersachsen, überwog jedoch ganz klar das Interesse der Betroffenen gegenüber dem des Verantwortlichen. 

Was tun, zur Vermeidung von Bußgeldern?

Datenschutz-Strafen-wegen-Missachtung-mit-der-Unterstuetzung-eines-Datenschutzbeauftragten-vermeiden

Wie man den geschilderten Fällen entnehmen kann, sind die Bußgelder unter Umständen nicht unerheblich. Um sich vor Geldstrafen durch Datenschutzverstöße zu schützen, sollte man die Rechtsvorschriften sowie alle relevanten Risiken kennen und aktiv an ihrer Umsetzung arbeiten.

Sollten Sie bereits Datenschutzmaßnahmen ergriffen haben, so sollten diese regelmäßig geprüft und dokumentiert werden. Dies kann beispielsweise durch folgende Maßnahmen geschehen: 

  • Datenschutzaudits zur Identifizierung von Schwachstellen
  • Ein allumfassendes Datenschutzkonzept, welches auf einem Datenschutz-Managementsystem (DSMS) basiert. 
  • Die Benennung eines Datenschutzbeauftragten (DSB). Der DSB hilft dabei, die DS-GVO bei Ihnen umzusetzen. Mit der Benennung eines externen Datenschutzbeauftragten werden in der Regel - natürlich abhängig vom vereinbarten Leistungsumfang - alle notwendigen Schritte veranlasst, um sicherzustellen, dass Sie datenschutzkonform handeln und dadurch die Haftungsrisiken minimieren. 

Externer Datenschutzbeauftragter

Erhalten Sie weitere Informationen zum externen Datenschutzbeauftragten und unseren Leistungen im Bereich Datenschutz.

Antonio Morales

Antonio Morales
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>