Bußgelder der DSGVO: Durchsetzungspraxis der europäischen Aufsichtsbehörden

Mit dem Inkrafttreten der DSGVO wurden nicht nur die Datenschutzstandards EU-weit angehoben, sondern die Aufsichtsbehörden wurden auch ermächtigt, hohe Geldbußen zur Durchsetzung dieser Standards zu verhängen. Die Möglichkeit, Bußgelder gegen Unternehmen auf der Grundlage eines Prozentsatzes ihres Jahresumsatzes zu berechnen, zeigt, dass eine mangelnde Einhaltung der DSGVO weitreichende finanzielle Konsequenzen haben kann. Während sich die Aufsichtsbehörden zunächst bei der Ausübung ihrer Befugnisse zurückhielten, haben sie diese Zurückhaltung mittlerweile aufgegeben. EU-weit ist die Zahl der verhängten Geldbußen auf über 100 Millionen Euro gestiegen.

Rechtliche Rahmenbedingungen

Rechtsgrundlagen für die Verhängung von Geldbußen sind Artikel 58 Abs. 2 lit. i und 83 DSGVO. Diese Vorschriften ermächtigen die Aufsichtsbehörden zur Verhängung von Bußgeldern und geben Kriterien für die Bemessung der Bußgeldhöhe vor. Artikel 83 DSGVO sieht vor, dass Geldbußen verhältnismäßig, aber auch abschreckend sein sollten. Das ausdrückliche Ziel der Bußgelder soll es sein, eine konsequente Durchsetzung der DSGVO zu gewährleisten und damit ihre Wirksamkeit zu verstärken (Erwägungsgründe 148, 150). Voraussetzung für die Verhängung eines Bußgelds ist ein Verstoß gegen die in der DSGVO festgelegten Verpflichtungen, wobei je nach Art des Verstoßes unterschiedliche Bußgeldhöhen gelten. Es gibt jedoch kaum eine von der DSGVO festgelegte Verpflichtung, deren Verstoß nicht mit einer Geldbuße geahndet werden können.

Deutschland

In Deutschland haben zwei DSGVO-Bußgelder aufgrund ihres hohen Betrags die Aufmerksamkeit der Öffentlichkeit auf sich gezogen: Gegen das Immobilienunternehmen „Deutsche Wohnen SE“ wurde im Oktober 2019 eine Geldbuße in Höhe von 14,5 Millionen Euro verhängt. Eine Geldbuße für den Telekommunikationsanbieter „1 & 1“ in Höhe von 9,55 Millionen Euro folgte wenig später im Dezember desselben Jahres. Im Fall von „1 & 1“ erklärte die Aufsichtsbehörde, die verhängte Geldbuße sei milde, da sie sich aufgrund der Kooperationsbereitschaft des Unternehmens zu einer Geldbuße im unteren Bereich des Bußgeldrahmens entschieden habe.

Diese beiden hohen Bußgelder resultierten aus unterschiedlichen Verstößen gegen die DSGVO. Der Hauptgrund für die gegen „Deutsche Wohnen“ verhängte Geldbuße war die Nichteinhaltung der DSGVO-Anforderungen in Bezug „Privacy by Design“ wegen zu langer Datenaufbewahrung. Das Unternehmen verwendete ein Archivierungssystem, das nicht die Möglichkeit bot, nicht mehr benötigte Daten zu entfernen. In verschiedenen Fällen konnte auf personenbezogene Daten zugegriffen werden, von denen einige etliche Jahre alt waren, ohne dass diese Daten noch für den Zweck ihrer ursprünglichen Sammlung benötigt wurden.

Der Grund für die gegen „1 & 1“ verhängte Geldbuße war andererseits das Fehlen ausreichender technischer und organisatorischer Maßnahmen zur Gewährleistung der Informationssicherheit. Nachdem von Anrufern lediglich der Name und das Geburtsdatum zur Kundenidentifikation abgefragt worden waren, stellte die Kundendienstabteilung des Unternehmens diesen Anrufern umfassende Informationen über die betroffenen Kunden zur Verfügung.

Während sich diese beiden „Höchststrafen“ auf unterschiedliche Verstöße gegen die DSGVO stützen, zeigt ein genauerer Blick auf die dritt- und vierthöchsten verhangenen Bußgelder (294.000 Euro gegen ein unbekanntes Unternehmen, 195.000 Euro gegen Delivery Hero), dass Probleme im Zusammenhang mit der Vorratsdatenspeicherung ein besonderer Schwerpunkt der deutschen Aufsichtsbehörden zu sein scheinen. Beide Strafen betrafen unter anderem die Speicherung oder Nichtlöschung nicht länger benötigter personenbezogener Daten. Delivery Hero löschte Konten ehemaliger Kunden nicht, die jahrelang nicht mehr auf der Lieferserviceplattform des Unternehmens aktiv waren, während dem unbekannten Adressaten der Geldbuße in Höhe von 294.000 Euro die unnötig lange Aufbewahrung von Personalakten vorgeworfen wurde.

Großbritannien

Bisher hat das britische ICO, obwohl es als pragmatische Regulierungsbehörde bekannt ist, die von der DSGVO eingeräumte Befugnis zur Verhängung hoher Geldbußen am stärksten genutzt. Das ICO ist bisher die einzige Aufsichtsbehörde, die Geldbußen im dreistelligen Millionenbereich verhängt hat. An zwei aufeinanderfolgenden Tagen, am 8. und 9. Juli 2019, gab das ICO seine Absicht bekannt, gegen British Airways ein Bußgeld in Höhe von 183,39 Millionen GBP und gegen Marriott International ein Bußgeld in Höhe von 99,2 Millionen GBP zu verhängen. Obwohl das ICO diese Geldbußen noch die Verhängung dieser Bußgelder erst dann stattfinden soll, wenn die betroffenen Unternehmen und die beteiligten Aufsichtsbehörden anderer Mitgliedstaaten ihre Stellungnahmen eingereicht haben (voraussichtlich am 18. Mai bzw. 19. Juni 2020), hat das ICO deutlich gemacht, dass es dazu bereit ist, den von der DSGVO ermöglichten Bußgeldrahmen voll auszuschöpfen.

Nach diesen Ankündigungen verhängte das ICO im Dezember 2019 zudem ein drittes, vergleichsweise mildes Bußgeld: Eine Apotheke (Doorstep Dispensaree Ltd.) muss 275.000 GBP als Geldbuße zahlen.

Der Grund für das Bußgeld gegen British Airways ist ein Cyber-Vorfall, den das Unternehmen dem ICO im September 2018 selbst gemeldet hatte. Bei diesem Vorfall wurde der Benutzerverkehr auf der British Airways-Website teilweise auf eine betrügerische Website umgeleitet. Diese Website wurde von den Angreifern verwendet, um Kontakt- und Zahlungsdaten von Kunden zu sammeln. Der Vorfall gefährdete die personenbezogenen Daten von rund 500.000 Kunden. Das Ergebnis der ICO-Untersuchung war, dass eine große Menge an Informationen aufgrund schlechter Sicherheitsmaßnahmen kompromittiert werden konnte. Das ICO hat keine Einzelheiten darüber veröffentlicht, was genau es als „schlechte Sicherheitsmaßnahmen“ ansah, aber die Mängel müssen als erheblich angesehen worden sein, um eine Geldbuße von 183,39 Mio. GBP zu rechtfertigen.

Die Begründung des Bußgelds gegen Marriott International zeigt Ähnlichkeiten mit dem Fall British Airways. Auch hier war ein vom Unternehmen selbst gemeldeter Cyber-Vorfall der Auslöser: Eine Vielzahl personenbezogener Daten, die in rund 339 Millionen Gastdatensätzen weltweit enthalten waren, wurde offengelegt, wobei rund 30 Millionen Einwohner des Europäischen Wirtschaftsraums davon betroffen waren. Es wird angenommen, dass die Sicherheitsanfälligkeit begann, als die Systeme der Starwood-Hotelgruppe im Jahr 2014 kompromittiert wurden. Marriott erwarb Starwood im Jahr 2016, entdeckte die durch die Sicherheitslücke ermöglichte Offenlegung von Kundeninformationen aber erst 2018 entdeckt. Die Untersuchung des ICO ergab, dass Marriott keine ausreichende Due Diligence vor dem Kauf von Starwood durchgeführt hatte und auch keine ausreichenden Maßnahmen zur Sicherung der Systeme getroffen hatte.

Bei Doorstep Dispensaree bestand ebenfalls ein erheblicher Mangel in Bezug auf Datensicherheit: Das Unternehmen hatte etwa 500.000 Dokumente mit personenbezogenen Daten in nicht verschlossenen Behältern aufbewahrt und diese Dokumente nicht physisch geschützt, was dazu führte, dass die Dokumente durch Wasser beschädigt wurden. Die Geldbuße dürfte im Vergleich für British Airways und Marriott viel niedriger ausgefallen sein, weil es keinen Hinweis auf einen unbefugten Zugriff auf die personenbezogenen Daten gab, und die finanzielle Situation des Unternehmens bei der Festlegung der Bußgeldhöhe zu berücksichtigen ist.

Rest von Europa

Im übrigen Europa fielen drei Bußgelder aufgrund ihrer Größe auf.

Im Januar 2019 verhängte die französische Behörde CNIL eine Geldstrafe von 50 Millionen Euro gegen Google wegen angeblicher Datenschutzverletzungen im Zusammenhang mit der Einrichtung von Google-Konten für Mobiltelefone mit Android-Betriebssystem. Die CNIL kritisierte einen Mangel an Transparenz, unzureichende Informationen zur Datenverarbeitung und eine fehlende wirksame Einwilligung betroffener Nutzer in eine Personalisierung von Werbeanzeigen. Es wurde angegeben, dass die eingeholten Einwilligungserklärungen nicht „spezifisch“ und „eindeutig“ waren, was gem. Art. 4 Nr. 11 DSGVO erforderlich ist.

Im Januar 2020 verhängte die italienische Aufsichtsbehörde gegen TIM (einen Telekommunikationsbetreiber) eine Geldbuße in Höhe von 27,8 Millionen Euro. Wiederum führten mehrere Gründe zu dieser Entscheidung, insbesondere mangelnde Zustimmung für Marketingaktivitäten (Telemarketing und Kaltakquise), Adressierung von betroffenen Personen, die nicht mit Marketingangeboten kontaktiert werden wollten, ungültige Einwilligungserklärungen, die in TIM-Apps gesammelt wurden, mangelnde Sicherheitsmaßnahmen zum Schutz personenbezogener Daten und das Fehlen eindeutiger Aufbewahrungsfristen für Daten.

Im Oktober 2019 wurde der österreichischen Post eine hohe Geldbuße auferlegt. Wegen der Erstellung von Profilen über mehr als drei Millionen Österreicher mit Informationen über deren Heimatadressen, persönliche Vorlieben, Gewohnheiten und mögliche Parteibeziehungen wurde ein Bußgeld in Höhe von 18 Millionen Euro verhangen. Die erstellten Profile wurden von der österreichischen Post zum Beispiel an politische Parteien und Unternehmen verkauft.

Fazit

Die verschiedenen europäischen Aufsichtsbehörden haben unterschiedliche Prioritäten, bei der Verhängung von Bußgeldern wegen DSGVO-Verstößen, und grundsätzlich kann jede Nichteinhaltung der Datenschutzbestimmungen zu erheblichen Bußgeldern führen. Ein gewisser Schwerpunkt scheint jedoch in Bezug auf die Nichteinhaltung der Aufbewahrungs- und Sicherheitsanforderungen sowie auf das Fehlen einer angemessenen Rechtsgrundlage für die von den Unternehmen durchgeführten Datenverarbeitungen zu bestehen. Zwar dürften in Zukunft hohe Bußgelder auch wegen Verstößen gegen andere Regelungen der DSGVO zu erwarten sein, jedoch dürften Mängel in Bezug auf Rechtsgrundlagen, Sicherheits- und Aufbewahrungspflichten auch weiterhin einen Schwerpunkt der Datenschutzbehörden bilden.