Thought Leadership
In den letzten fünf Jahren haben europäische Datenschutzbehörden die Sanktionsmöglichkeiten der Datenschutz-Grundverordnung (DSGVO) intensiv genutzt. Das zeigt die vierte Auflage des jährlichen Enforcement Tracker Reports, den die internationale Wirtschaftskanzlei CMS veröffentlicht hat. Weniger als zwei Monate nach Anwendbarkeit der DSGVO ab dem 25. Mai 2018, wurde in Portugal das erste Bußgeld unter dem neuen (nahezu) vollständig harmonisierten Datenschutzrecht verhängt: 400.000 Euro musste der Betreiber eines Krankenhauses wegen zu weitreichender Zugriffsmöglichkeiten auf Patientendaten zahlen.
Seither sind sowohl die Anzahl der öffentlich bekannten Fälle als auch die Summe der verhängten Bußgelder stetig angestiegen. Besondere Aufmerksamkeit erregten dabei naturgemäß die Fälle mit besonders hohen Bußgeldsummen, wie die ersten Fälle mit zwei- beziehungsweise dreistelligen Millionenbeträgen: Frankreich, 50 Millionen Euro im Januar 2019 und Luxemburg, 746 Millionen Euro im Juli 2021.
Im aktuellen Analysezeitraum zwischen März 2022 und März 2023 sind insgesamt 545 neue Bußgeldfälle bekannt geworden. Damit stieg die Gesamtzahl der Fälle seit Ende Mai 2018 auf 1.576 an. Die Gesamtsumme aller Bußgelder beträgt rund 2,77 Milliarden Euro (+1,19 Milliarden Euro) und überstieg zum ersten Mal die Zwei-Milliarden-Euro-Grenze. Wesentlicher Treiber für die Steigerung der Summen waren erneut mehrere Fälle mit dreistelligen Millionenbußgeldern gegen „Big Tech“-Unternehmen, die in diesem Jahr alle die irische Datenschutzbehörde verhängte.
Hauptauslöser für die Verhängung von DSGVO-Bußgeldern war auch in diesem Jahr die Verarbeitung personenbezogener Daten ohne hinreichende Rechtsgrundlage. In diese Kategorie fallen fünf von zehn der höchsten Geldbußen in Europa. Weitere Auslöser für Bußgelder waren das Nichteinhalten der sogenannten „Grundsätze für die Verarbeitung personenbezogener Daten“ und unzureichende Maßnahmen zur Gewährleistung der Informationssicherheit.
Unternehmen aus dem ‚Business-to-consumer‘-Umfeld rücken häufiger in den Fokus der Datenschutzbehörden. In den Branchen ‚Industry & Commerce‘ sowie ‚Media, Telecoms and Broadcasting‘ wurden jeweils 358 beziehungsweise 213 Bußgelder verhängt; insgesamt mehr als die Hälfte aller Bußgelder im aktuellen Analysezeitraum. Die höchsten und am häufigsten verhängten Bußgelder betrafen auch in diesen Branchen die Rechtsgrundlage für die Datenverarbeitung und die Maßnahmen zur Datensicherheit. Eine relevante Anzahl von Bußgeldern bezog sich auf Videoüberwachung (CCTV) in unterschiedlichen Branchen und durch Privatpersonen sowie auf unzulässige Direktwerbung.
„Zum fünften Geburtstag der DSGVO bleibt die Sanktionspraxis im Datenschutz dynamisch. Zuletzt hat das Vorgehen der italienischen Datenschutzbehörde gegen einen Anbieter generativer KI gezeigt, dass auch die behördlichen Befugnisse jenseits der Bußgelder ernst zu nehmen sind“, sagt Michael Kamps, Rechtsanwalt und Partner bei CMS Deutschland. „Wenn eine Behörde anordnet, dass die Verarbeitung personenbezogener Daten beschränkt werden muss oder ganz untersagt wird, hat dies erhebliche Auswirkungen. Bußgelder sind derzeit allerdings noch die häufigere Sanktion. Die öffentlich bekannten Fälle können Anhaltspunkte für Handlungsschwerpunkte und ‚rote Linien‘ der Behörden geben.“
Dr. Fiona Savary aus dem Enforcement Tracker-Team von CMS Deutschland ergänzt: „Auch bei der Anwendung der Sanktionsvorschriften der DSGVO bestehen, trotz der fünfjährigen Praxiserfahrungen, nach wie vor rechtliche Unsicherheiten. In vielen Fällen wird erst der Europäische Gerichtshof abschließend entscheiden. Es lohnt sich deshalb immer, die Rechtsauffassung einer Behörde kritisch zu prüfen. Das gilt ebenso für Bußgeldbescheide. Ein tragfähiges Compliance-Konzept im Bereich Datenschutz bleibt aber unerlässlich.“
www.cms.law
