DSGVO-Verstoß: Hannoversche Volksbank muss Bußgeld zahlen

DSGVO-Verstoß: Hannoversche Volksbank muss Bußgeld zahlen

900.00 Euro soll die Hannoversche Volksbank für einen Verstoß gegen die Datenschutz-Grundverordnung (kurz: DSGVO) zahlen. Die Bank hatte Kundendaten ohne deren Einwilligung zu Werbezwecken ausgewertet.

Viele Unternehmen nutzen gespeicherte Daten ihrer Kunden zur Bildung eines Werbeprofils. Allerdings ist hierfür das Einverständnis der Kunden einzuholen. Ein Umstand, den die Hannoversche Volksbank nicht ausreichend berücksichtigte – und für welchen sie jetzt zur Kasse gebeten wird.

Ergänzung der Kundendaten mithilfe der Schufa

Bereits Ende 2019 beauftragte die Hannoversche Volksbank eine Wirtschaftsauskunftei – laut Medienberichten die Schufa –, um Daten aktiver und ehemaliger Kunden auszuwerten. Die Schufa analysierte daraufhin deren digitales Nutzungsverhalten. Konkret: die Einkäufe in App-Stores und die Häufigkeit der Nutzung von Kontoauszugsdruckern. Darüber hinaus wurde die Gesamthöhe von Online-Überweisungen im Vergleich zur Nutzung des Filialangebots bewertet. Anschließend reicherte die Schufa die erstellten Profile mit eigenen Daten an und übermittelte den Datensatz an die Hannoversche Volksbank.

Fehlende Zustimmung führt zu Bußgeld

Zwar wurden den betroffenen Kunden vorab entsprechende Informationsunterlagen zugeschickt. Eine Einwilligung zur Datenauswertung wurde jedoch nicht eingeholt. Ein klarer Verstoß gegen die DSGVO, meint die niedersächsische Datenschutzbeauftragte Barbara Thiel. Ihrer Meinung nach dürfe zwar im Sinne der Güterabwägung bei einem „berechtigten Interesse“ mit Kundendaten gearbeitet werden, es sei jedoch nicht gestattet, große Datenbanken auszuwerten, um Werbeprofile zu erstellen.

Hannoversche Volksbank kein Einzelfall

Das Bußgeld in Höhe von 900.000 Euro erscheint vergleichsweise hoch. Aber: Nach einer Mitteilung der niedersächsischen Landes-Datenschutzbeauftragten seien vermehrt Fälle bekannt geworden, in denen Banken so vorgingen. „Bankkunden können nicht davon ausgehen, dass ihre Neigungen zu bestimmten Produktkategorien oder Kommunikationswegen ausgespäht und mittels externer Stellen zu einem Werbeprofil verknüpft werden“, so Thiel. An einem informierten und freiwilligen Opt-in – also einem ausdrücklichen Zustimmungsverfahren – führe auch für Banken kein Weg vorbei.

Neue EU-Richtlinie: Höhere Strafen bei Datenschutz-Verstößen

Neue EU-Richtlinie: Höhere Strafen bei Datenschutz-Verstößen

Verstöße gegen bestehende Datenschutzvorschriften können für Unternehmen künftig teurer werden als bisher. Der Europäische Datenschutzausschuss (kurz: ESDA) hat ein neues Bußgeld Modell beschlossen. Betroffen sind vor allem große und umsatzstarke Unternehmen.

Der ESDA – das gemeinsame Abstimmungsgremium der europäischen Datenschutzbehörden – hat am 12. Mai 2022 einen Beschluss zur Berechnung von Bußgeldern bei Datenschutzverstößen veröffentlicht. Das 40-seitige Konzept soll in der Europäischen Union und im Europäischen Wirtschaftsraum zu einer Vereinheitlichung der Geldbußen bei DSGVO-Verstößen führen. Doch wie genau sieht das in der Praxis aus und was bedeutet das Konzept für Unternehmen?

Datenschutz-Verstöße: Das galt bisher

Die Idee eines Bußgeld-Konzepts für Datenschutz-Verstöße ist nicht neu. Bereits 2019 stellten die deutschen Datenschutzbehörden ein Modell zur Berechnung von DSGVO-Bußgeldern vor. Es galt jedoch nur für Unternehmen mit Sitz in Deutschland. Ähnliche Konzepte existierten auch in anderen europäischen Ländern.

Das führte bei der Bestrafung von Datenschutzverstößen zu einer – mitunter erheblichen – Diskrepanz. Während einige Mitgliedsstaaten eher niedrige Geldbußen verhängten, mussten Unternehmen in anderen Ländern für vergleichbare Verstöße Geldbußen in zwei- oder dreistelliger Millionenhöhe zahlen.

Europaweite Vereinheitlichung der Bußgelder

Doch damit soll jetzt Schluss sein. Das unter dem Titel „Guidelines on the calculation of administrative fines under the GDPR“ (übersetzt: Richtlinien zur Berechnung von administrativen Strafen gemäß Datenschutz-Grundverordnung) vorgestellte Dokument löst Bußgeld-Konzepte auf nationaler Ebene ab.

Zukünftig müssen alle Datenschutzbehörden der europäischen Mitgliedsstaaten das EU-Konzept bei der Verhängung von DSGVO-Bußgeldern anwenden.

Wie genau läuft das Verfahren ab?

Das EU-Konzept sieht eine 5-Schritte-Überprüfung des Datenschutzverstoßes vor. Zunächst ist zu bestimmen, welches Verhalten sanktioniert werden soll. Anschließend bewertet die Behörde die Schwere des Verstoßes und legt einen Ausgangsbetrag für das Bußgeld fest. Dieser orientiert sich am geltenden gesetzlichen Höchstbetrag und bemisst sich wie folgt:

  • Verstoß von geringer Schwere: Ausgangsbetrag zwischen 0 und 10 Prozent des gesetzlichen Höchstbetrags
  • Verstoß mittlerer Schwere: Ausgangsbetrag zwischen 10 und 20 Prozent des gesetzlichen Höchstbetrags
  • Schwerwiegende Verstöße: Ausgangsbetrag zwischen 20 und 100 Prozent des gesetzlichen Höchstbetrags

Von Bedeutung ist auch der Umsatz des Unternehmens. Es gilt: Je höher der Umsatz, desto höher das finale Bußgeld. Im nächsten Schritt prüft die Datenschutzbehörde, ob erschwerende oder mildernde Umstände vorliegen und ob die gesetzlichen Höchstbeträge eingehalten wurden. Abschließend wird festgestellt, ob der ermittelte Endbetrag wirksam, verhältnismäßig und vor allem abschreckend ist.

Je größer, desto teurer: Diese Unternehmen sind betroffen

Zweifelsohne sind umsatzstarke Unternehmen vom neuen EU-Konzept am stärksten betroffen. Während Betriebe mit einem Jahresumsatz von unter 2 Mio. Euro lediglich 0,2 Prozent des Ausgangsbetrags zahlen müssen, droht Unternehmen mit einem Jahresumsatz von mehr als 250 Mio. Euro ein Bußgeld i.H.v. mindestens 50 Prozent des Ausgangsbetrages. Ein Unterschied, der vor allem in Mitgliedstaaten, die bisher eher niedrige DSGVO-Bußgelder verhängt haben, zu deutlich höheren Strafen führt.

Allerdings gesteht die ESDA den europäischen Datenschutzbehörden einen Handlungsspielraum zu. Die Bußgeld-Berechnung solle stets anhand der konkreten Umstände des Einzelfalls erfolgen und keineswegs ein „rein mathematischer Vorgang“ sein, so das Gremium.

Wie sollten Datenschutzbeauftragte und Unternehmen reagieren?

Datenschutzbeauftragte sollten ihr Unternehmen über den neuen Beschluss und die damit verbundenen Risiko-Änderungen umfassend informieren. So lassen sich rechtzeitig entsprechende Verteidigungs- und Vermeidungsstrategien entwickeln. Erschwerend kommt hinzu, dass Unternehmen nach den neuen ESDA-Richtlinien direkt für alle Handlungen oder Unterlassungen ihrer Vertreter haften.

Aus diesem Grund ist es – insbesondere für umsatzstarke Konzerne – unerlässlich, konkrete Handlungsempfehlungen für Mitarbeiter zu formulieren, um das Risiko einer hohen DSGVO-Geldbuße zu minimieren.

Online-Sicherheit: Britischer Gesetzesvorschlag droht Tech-Führungskräften mit Gefängnis

Online-Sicherheit: Britischer Gesetzesvorschlag droht Tech-Führungskräften mit Gefängnis

Facebook, Twitter, TikTok, Instagram und Youtube stehen regelmäßig in der Kritik, nicht entschlossen genug gegen schädliche Inhalte auf ihren Plattformen vorzugehen. In Großbritannien soll ein neues Gesetz Führungskräfte von Tech-Unternehmen künftig persönlich haftbar machen und droht mit Gefängnisstrafen.

Der Entwurf des neuen Online-Sicherheitsgesetz wurde am 17.03.22 dem Gesetzgeber zur Einsicht vorgelegt und soll noch dieses Jahr verabschiedet werden. Das Gesetz soll den Druck auf Internetunternehmen erhöhen, proaktiv und schnell gegen illegale und schädliche Inhalte auf ihren Plattformen vorzugehen. Der britischen Medienaufsichtsbehörde Ofcom werden dabei weitreichende Befugnisse erteilt, sie kann im Falle einer Nichteinhaltung der Vorgaben erhebliche Geldstrafen von bis zu 10% des globalen Jahresumsatzes verhängen, ganze Webseiten blockieren und einzelne Führungskräfte persönlich verfolgen.

Der Gesetzesentwurf im Überblick

Besonderer Fokus liegt dabei auf Inhalten, die Terrorismus, Selbstmord, Rachepornografie und sexuellen Missbrauch von Kindern fördern. Dem ursprünglichen Entwurf aus dem Jahr 2019 wurden außerdem neue Aspekte hinzugefügt:

  • Die Verfolgung von Cyber-Flashing als Straftatbestand.
  • Die verpflichtende Alter-Verifizierung bei pornografischen Inhalten.
  • Verhinderung von Online-Betrug.
  • Die Möglichkeit und das Recht des Einspruchs, wenn ein Nutzer glaubt, seine Beiträge seien zu unrecht entfernt worden
  • Eine Strafverfolgung soll bereits zwei Monate nach Inkrafttreten erfolgen können, nicht wie ursprünglich geplant nach zwei Jahren.

Zudem sieht der Entwurf die Ausweitung auf legale, aber trotzdem potentiell schädliche Inhalte vor. Was genau diese schädlichen Inhalte sind, soll später definiert werden. Nachrichteninhalte und journalistische Berichterstattung sollen laut DCMS (Department for Digital, Culture, Media and Sport) von den Regularien ausgeschlossen sein

Firmen müssen kooperieren

Aber nicht nur die Nichterfüllung der Vorgaben könnte künftig gravierende Folgen haben, Firmen werden mit Inkrafttreten des Gesetzes verpflichtet, mit der Aufsichtsbehörde zu kooperieren. Ofcom erhielte dann weitreichende Befugnisse, könnte Zutritt zu Geschäftsräumen verlangen und Daten und Ausrüstung zur Beweissicherung inspizieren. Ofcom müsste zudem der Einblick in die Algorithmen, die für das Anzeigen von Inhalten ausschlaggebend sind, gewährt werden. Falschaussagen, das Zerstören von Beweismitteln und die Behinderung der Behörde würden damit ebenfalls strafbar.

Britisches Online-Sicherheitsgesetz soll globalen Standard setzen

In einer Pressemitteilung spricht das DCMS von einem „Meilenstein“ im Kampf für ein digitales Zeitalter, das für die Nutzer sicherer ist und in dem die Technikfirmen mehr Verantwortung übernehmen müssen. Und Ben Packer, Partner der Anwaltskanzlei Linklaters sieht sogar die Möglichkeit einer Vorreiterrolle. „Die britische Regierung hofft sicherlich, dass das Online-Sicherheitsgesetz einen globalen Standard setzen wird“, sagte Packer in einer Erklärung. „Da viele Plattformen weltweit eine weitgehend konsistente Benutzererfahrung aufrechterhalten möchten, kann dies letztendlich der Fall sein.“ 

Rekordstrafe: WhatsApp soll 225 Millionen Euro zahlen

Rekordstrafe: WhatsApp soll 225 Millionen Euro zahlen

Irlands Datenschützer haben eine Strafe in Höhe von 225 Millionen Euro gegen WhatsApp verhängt. Der Vorwurf: fehlende Transparenz bei der Weitergabe persönlicher Nutzerdaten. WhatsApp hat angekündigt in Berufung zu gehen.

Die Ermittlungen in diesem Fall wurden bereits im Dezember 2018 aufgenommen. WhatsApp wurde vorgeworfen, nicht den Bestimmungen der DSGVO zu folgen und die Erfassung und Weitergabe persönlicher Nutzerdaten nicht transparent zu machen. Im Besonderen ging es dabei um den Datenaustausch zwischen WhatsApp und anderen Unternehmen der Facebook-Gruppe, zu der seit 2014 auch WhatsApp gehört.

WhatsApp und Facebook immer wieder in der Kritik

WhatsApp steht schon lange in der Kritik, Daten an den Mutterkonzern Facebook weiterzuleiten.
Bereits 2017 wurde Facebook zu einer Strafe von 110 Millionen verurteilt, weil das Unternehmen 2014 behauptet hatte, es sei nicht möglich Nutzerdaten von WhatsApp mit anderen Diensten der Facebook-Gruppe zusammenzuführen – dies später aber doch gemacht hatte.

Ein Blick in die aktuelle Datenschutzrichtlinie zeigt deutlich, dass auch weiterhin sehr wohl Daten ausgetauscht werden:

„Als Teil der Facebook-Unternehmen erhält WhatsApp Informationen von anderen Facebook-Unternehmen und teilt auch Informationen mit anderen Facebook-Unternehmen […]“ WhatsApp – Datenschutzrichtlinie

„WhatsApp arbeitet auch mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit diesen […]“ WhatsApp – Datenschutzrichtlinie

Als Zweck dieses Datentransfers wird in der Datenschutzrichtlinie das Fördern von Sicherheit und Integrität der Dienste bzw. das Verbessern, Betreiben, Anpassen und Vermarkten der Dienste angegeben.

Und Facebook liest doch mit!

Was die Inhalte der Chats betrifft, so verweist WhatsApp auf seine Ende-zu-Ende Verschlüsselung. Heißt: Die Nachricht wird auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Niemand – auch nicht das Unternehmen selbst – könne die Nachrichten einsehen.

„Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur du und die Person, mit der du kommunizierst, lesen bzw. hören könnt, was gesendet wurde – und niemand dazwischen, nicht einmal WhatsApp“ WhatsApp – Sicherheit und Datenschutz

Das Investigative Journalistennetzwerk ProPublika beschreibt in einem Beitrag „How Facebook Undermines Privacy Protections for Its 2 Billion WhatsApp Users“, wie Facebook das Versprechen umgeht: Nachrichten die über den „Report“-Button als vermeintliche Verstöße gegen die Nutzungsbedingungen gemeldet werden, werden unverschlüsselt an des Unternehmen gesendet.

„WhatsApp erhält die neuesten Nachrichten, die du von dem gemeldeten Benutzer oder der gemeldeten Gruppe empfangen hast, sowie Informationen zu deinen neuesten Interaktionen mit diesem Benutzer oder dieser Gruppe.“ WhatsApp – Sicherheit und Datenschutz

Wird eine Nachricht gemeldet, so werden laut ProPublika die entsprechende Nachricht, sowie die vier Vorherigen des Absenders inklusive aller Bilder und Videos in unverschlüsselter Form an WhatsApp geleitet. Diese Nachrichten werden von Mitarbeitern – mehr als tausend davon soll es laut ProPublica für diese Aufgabe geben – schließlich bezüglich der gemeldeten Verstöße geprüft.

Metadaten abgegriffen

WhatsApp könne zumindest in dieser Hinsicht nicht komplett alle Nachrichten mitlesen, aber das Prozedere über die Meldefunktion sei letztendlich auch nur ein Teil einer breiter angelegten Überwachung. Zusätzlich würden automatisiert die unverschlüsselten Daten der Nutzer erfasst und mit verdächtigen Kontoinformationen und Nachrichtenmustern abgeglichen. Teil dieser Daten seien Name, Profilbild, Statusnachricht, Telefonnummer, IP-Adresse, Telefon-ID und Facebook- und Instagram Konten des Nutzers. Diese Daten ließen sich mit anderen Inhalten verknüpfen.

Entsprechende Vorwürfe kratzen weiterhin am Bild des sicheren Messengers, das der Konzern selbst gerne zeichnet. Dass WhatsApp – anders als Facebook und Instagram – keine entsprechenden Transparenz-Reports, die eine prüfende und moderierende Tätigkeit der Mitarbeiter offenlegen, herausgibt, ist ebenfalls Anlass zur Kritik.

Max Schrems zum Urteil

Der Datenschützer Max Schrems von Noyb hat sich zum Urteil zu Wort gemeldet, seine Organisation begrüße die erste Entscheidung der irischen Aufsichtsbehörde. Er relativiert aber auch, die 225 Millionen Euro entsprächen lediglich 0,08 Prozent des Umsatzes der Facebook Gruppe, die DSGVO sehe aber Geldbußen von bis zu vier Prozent des Umsatzes vor. Zudem habe die DPC von anderen europäischen Datenschutzbehörden erst gezwungen werden müssen, die Strafe von ursprünglich 50 Millionen Euro auf 225 Millionen Euro zu erhöhen. Das zeige, dass die irische Datenschutzbehörde immer noch extrem dysfunktional sei.

Die Irische Datenschutzbehörde DPC (Data Protection Commission) spielt häufig eine Schlüsselrolle bei Verfahren gegen internationale Tech Unternehmen, die aus steuerlichen Gründen ihre Hauptsitze für den Europäischen Raum gerne nach Irland verlegen.

WhatsApp hat Berufung angekündigt

WhatsApp bezeichnet die Strafe als „vollkommen unangemessen“ und will in Berufung gehen. Laut Schrems zeigt sich hier ein weiteres Problem: „Im irischen Gerichtssystem bedeutet das, dass es Jahre dauern wird, bis die Strafe tatsächlich gezahlt wird.“ Er könne sich vorstellen, dass die DPC einfach nicht zu viele Ressourcen in den Fall stecken oder sich mit WhatsApp in Irland irgendwann „einigen“ werde. Gleichzeitig kündigt Schrems auch an: „Wir werden diesen Fall genau beobachten, um sicherzustellen, dass die Datenschutzbehörde diese Entscheidung auch wirklich umsetzt.“

DS-GVO Verstoß: Amazon soll 746 Millionen Euro Strafe zahlen

DS-GVO Verstoß: Amazon soll 746 Millionen Euro Strafe zahlen

Der Internetriese Amazon wurde in Luxemburg wegen eines Verstoßes gegen die DSGVO zu einer Strafe von 746 Millionen Euro verurteilt. Wir haben das Urteil und die Hintergründe im Detail analysiert.

Die Luxemburger Datenschutzbehörde CNPD (Commission Nationale pour la Protection des Données) hat dem US-Konzern eine Strafe von fast einer Dreiviertel Milliarde Euro auferlegt. Ausschlaggebend soll ein bislang nicht von offizieller Seite erläuterter Verstoß gegen die DSGVO sein. Das Großherzogtum Luxemburg ist Sitz der Europäischen Tochtergesellschaft von Amazon, daraus ergibt sich auch die Zuständigkeit der Behörde.

Hintergründe zum Urteil

Auslöser für das aktuelle Urteil ist eine mehr als drei Jahre zurückliegende und durch die Aktivisten der französischen Organisation La Quadrature du Net initiierte Sammelklage. Mehr als 10.000 in Frankreich ansässige Personen schlossen sich der Klage an. In einem Blogpost vom 30. Juli 2021 begrüßt die Organisation die Entscheidung und sieht sich durch das aktuelle Urteil final bestätigt: zielgerichtete Werbung auf Amazon beruhe nicht auf freier Zustimmung des Nutzers und verstoße deswegen gegen die DSGVO.

Was wird Amazon genau vorgeworfen?

Amazon listet in seiner Datenschutzerklärung Beispiele für Informationen, die bei der Nutzung seiner Dienste verarbeitet werden. Dazu zählen (amazon.de Datenschutzerklärung Stand 04.12.2020):

gesuchte Produkte und Dienstleistungen in den Stores

  • heruntergeladene, gestreamte oder angezeigte Inhalte
  • Bilder, Videos und andere Dateien, die auf Prime Photos, Amazon Drive oder andere Amazon-Services hochgeladen oder gestreamt werden
  • Logins, Email Adressen und Passwörter
  • IP-Adressen
  • URL Clickstream, d.h. Reihenfolge der Seiten, die aufgerufen werden, einschließlich Datum und Zeit, sowie Interaktion zwischen den Seiten (z.B. Scrolling, Klicken, Mouse-overs)

Die Erfassung und Weiterverarbeitung dieser Daten sei laut Anklage weder durch berechtigte Interessen gedeckt, noch durch eine Notwendigkeit im Zuge der Vertragserfüllung. Außerdem werde durch Amazon vom Nutzer keine explizite Zustimmung zum Ad-Tracking eingeholt.

Mit dem Urteil bestätigt nun die luxemburgische Datenschutzbeh , dass Amazon personenbezogene Daten rechtswidrig weiterverarbeitet. Die ursprüngliche Klage vom 28. Mai 2018 ist auf der Webseite von La Quadrature du Net als Download in französischer Sprache  .

Wer ist La Quadrature du Net?

La Quadrature du Net wurde 2008 von fünf französischen Aktivisten gegründet und hat seine Wurzeln in der Opposition der Urheberrechts-Gesetzgebung in Frankreich. Auf ihrer Webseite präsentiert sich die Organisation als „Verteidiger der Grundfreiheiten in der digitalen Welt“. Ziel sei es, gegen „Zensur und Überwachung, sowohl von stattlicher Seite als auch von privaten Unternehmen“ zu kämpfen und für ein „freies, dezentrales und ermächtigendes Internet“ zu arbeiten.

Amazon widerspricht den Anschuldigungen

Publik gemacht hat die Entscheidung Amazon selbst, in einem Quartalsbericht für die Börsenaufsichtsbehörde SEC (Securities and Exchange Commission). Dort finden sich unter Rubrik „Legal Proceedings“ ein paar Zeilen zum Sachverhalt. Neben der Höhe der Strafzahlung wird als Datum für das Urteil der 16. Juli 2021 genannt. Außerdem wird kurz angemerkt, dass neben der Zahlung auch eine entsprechende Überarbeitung der Geschäftspraxis (corresponding practice revisions) Teil der Auflagen sei. Die exakte Art des Verstoßes bleibt auch hier weitgehend im Unklaren, es wird lediglich erwähnt, bei den Vorwürfen gehe es um die nicht DSGVO-konforme Verarbeitung persönlicher Daten.

Auch hierzu hat sich La Quadrature du Net im bereits erwähnte Blogpost geäußert: es gehe bei der Klage auch gar nicht um gelegentliche Verletzungen der Sicherheitsstandards, sondern um das System der gezielten Werbung an sich .

Rekordzahlung möglich

Sollte Amazon mit seiner Berufung erfolglos bleiben, würde es sich um die höchste Strafe handeln, die je ein Unternehmen wegen eines Verstoßes gegen die DS-GVO zahlen muss. Rund 15 mal mehr, als die 50 Millionen Euro, zu denen Google im Jahr 2019 verurteilt wurde.

Aber man muss die Summe von 746 Millionen Euro auch in den Gesamtkontext einordnen und den möglichen Strafrahmen betrachten. Laut DS-GVO können Strafzahlungen bis zu vier Prozent des Jahresumsatzes betragen und der lag bei Amazon im Jahr 2020 bei rund 380 Milliarden Dollar. 746 Millionen Euro entsprächen da gerade einmal 0,22 Prozent.

Die Datenschützer von La Quadrature du Net jedenfalls feiern die Entscheidung, die Geldstrafe sei historisch und treffe direkt ins Herz des „Raubtiersystems Big Tech“. Gleichzeitig kritisieren sie die Irische Datenschutzbehörde, die es in drei Jahren nicht geschafft habe, eine ihrer anderen Beschwerden gegen Facebook, Microsoft, Apple und Google zum Abschluss zu bringen.

Letztendlich bleibt es spannend, wie sich das Ringen zwischen Datenschützern und Tech-Giganten zukünftig gestalten wird. Noch höhere Strafen sind durchaus wahrscheinlich.

 

Bußgelder steigen stark an

Bußgelder steigen stark an

Die Umsetzung der DS-GVO und gestiegene Anzahl an behördlichen Prüfungen führt zu immer höheren Bußgeldern.

Hohe Strafe für deutschen Immobilienkonzern

Nach dem alten BDSG waren maximal 300.000 Bußgeld möglich. Nun können nach der DS-GVO bis zu 20 Millionen Euro fällig werden – oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes.

Auch wenn der volle Bußgeldrahmen noch nicht ausgeschöpft wurde, steigen die Bußgelder stark an: Das höchste Bußgeld in Deutschland wurde gegen die Immobilienfirma Deutsche Wohnen verhängt. Die Berliner Datenschutzbehörde erließ hier im November letzten Jahres ein Bußgeld in Höhe von 14,5 Millionen Euro wegen der unerlaubten Speicherung von Mieterdaten im Konzern.

Verhängte Bußgelder haben sich vervierfacht

Auch wenn spektakuläre Bußgelder wie die oben dargestellten bislang kaum vorkommen, ist doch ein Trend erkennbar: Die Anzahl der gemeldeten Verstöße und Bußgelder nehmen im letzten halben Jahr stark zu. Im Jahr 2018 hatten die Behörden „nur“ 40 Bußgelder ausgesprochen. Im abgelaufenen Jahr war wurden mehr als 185 Bußgelder verhängt.