Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
15. Mai 2019
Bußgeld DSGVO Deutschland
Datenschutzrecht

100 Bußgelder unter der DSGVO in Deutschland – ein Resümee

Philipp Quiel und Johanna M. Hofmann SEITE DRUCKEN   SEITE SCHICKEN

Mittlerweile sind uns 100 in Deutschland verhängte Bußgelder nach der DSGVO bekannt geworden. Sanktioniert wurden sehr unterschiedliche Datenschutzverstöße.

Kürzlich berichtete die Welt am Sonntag über 75 bislang in Deutschland verhängte DSGVO-Bußgelder. Hintergrund des Artikels war eine Umfrage der Journalisten bei den Landesdatenschutzbeauftragten, an der sich bis auf die Behörden aus Mecklenburg-Vorpommern und Thüringen alle Angefragten beteiligt haben. Abermals wurden auf diese Weise zuvor nicht öffentlich bekannte Informationen zu Bußgeldern publik.

In der Vergangenheit hatten bereits die Privacy in Germany (PinG), das Handelsblatt und die Thüringer Allgemeine über Bußgelder berichtet, von denen die Journalisten jeweils durch Umfragen oder Presse-Statements der Landesdatenschutzbeauftragten erfahren hatten.

Während die Datenschutzaufsichtsbehörden einiger Mitgliedstaaten der EU (zum Beispiel diejenigen Österreichs, Großbritanniens und Bulgariens) sämtliche Entscheidungen anonymisiert veröffentlichen, ist dies in Deutschland unüblich. Häufig erfolgt gar keine Veröffentlichung. Stattdessen scheinen Presseanfragen hierzulande häufig ergiebiger zu sein.

Uns sind von den bisherigen Berichten abweichend für Deutschland sogar insgesamt 100 öffentlich kommunizierte Bußgelder mit einer Gesamtsumme von EUR 483.500 bekannt, wobei allerdings erstens die Gesamtsumme der Bußgelder aus Thüringen unbekannt und zweitens ein Bußgeld aus Hamburg über EUR 5.000 wieder zurückgenommen worden ist.

Hinweis: Diese EUR 5.000 aus dem eingestellten Verfahren in Hamburg ziehen wir allerdings deshalb nicht von der Gesamtsumme ab, weil es uns darauf ankommt, die bekanntgewordene Bußgeldpraxis der Behörden darzustellen und wir auch im Übrigen keine Aussage darüber treffen können, ob ein Bescheid gerichtlich angegriffen wurde oder wie ausgesprochen Bestand hat.

Bußgelder nach Bundesländern

Die 100 durch verschiedene Berichte bekannt gewordenen Bußgelder teilen sich wie folgt auf acht Bundesländer auf (wir haben die Bußgelder nach durchschnittlicher Höhe geordnet):

Bekannt gewordene DSGV-Bußgelder in Deutschland
Behörde Durchschnitt je Bußgeld Gesamt-anzahl Gesamtsumme
1. Baden-Württemberg EUR 29.000 7 EUR 203.000
2. Rheinland-Pfalz EUR 13.778 9 EUR 124.000
3. Hamburg EUR 8.500 3 EUR 25.500
4. Berlin EUR 5.867 18 EUR 105.600
5. Sachsen-Anhalt EUR 2.000 1 EUR 2.000
6. Nordrhein-Westfalen EUR 433 36 EUR 15.600
7. Saarland EUR 197 3 EUR 590
8. Thüringen unbekannt 23 Unbekannt (lediglich EUR 32.000 bekannt)

 

Trotz der eher geringen Anzahl von sieben bekannt gewordenen Bußgeldern aus Baden-Württemberg, wurde hier mit EUR 203.000 beinahe die Hälfte der bekannten Gesamtsumme an Geldbußen verhängt. Damit erklärt sich auch der mit EUR 29.000 verhältnismäßig hoch ausfallende Durchschnitt einzelner Bußgelder in diesem Bundesland.

Auffallend aktiv zeigt sich die Bußgeldstelle in Nordrhein-Westfalen, die zwar bereits 36 Bußgelder erlassen hat – diese sind mit durchschnittlich EUR 433 bei einer Gesamtsumme von insgesamt EUR 15.600 jedoch vergleichsweise gering ausgefallen. Das Gleiche gilt auch für das Bundesland Saarland, in dem sich insgesamt EUR 590 auf drei Fälle aufteilen und die Geldbußen daher durchschnittlich EUR 197 betrugen.

Grund für die geringen Bußgelder könnte auch sein, dass diese zum Teil gegen Privatpersonen, kleine Betriebe oder Vereine verhängt wurden und unter Beachtung des Grundsatzes der Verhältnismäßigkeit deswegen geringer ausfielen. Ein Bußgeld in Sachsen-Anhalt spricht allerdings dagegen, dass bei solchen Arten von Verantwortlichen für Verstöße grundsätzlich nur sehr geringe Beträge fällig werden. In diesem Fall ging es um eine Privatperson, die für das wiederholte Versenden von E-Mails an einen offenen Verteiler (das heißt für alle Personen innerhalb des Verteilers sind auch alle anderen E-Mail-Adressen der übrigen Empfänger sichtbar) Adressat eines Bußgelds in Höhe von EUR 2.000 war.

Die Gründe für das Auseinanderklaffen der Bußgelder sind bislang nicht ersichtlich.

Sanktioniert werden die unterschiedlichsten Verhaltensweisen

Neben der jeweiligen Höhe einzelner Bußgelder ist vor allem interessant, welche Arten von Verstößen gegen die DSGVO durch die Aufsichtsbehörden mit einem Bußgeld sanktioniert wurden. Soweit bisher bekannt, führten in Deutschland folgende Verhaltensweisen zu Bußgeldern:

  1. Unzureichende technische und organisatorische Maßnahmen…
  • sodass nicht ausgeschlossen werden konnte, dass bei einem Hackerangriff auf Kreditkarten- oder andere Kundendaten aus dem Buchungssystem eines Hotels unbefugt zugegriffen werden könnte,
  • bei der Speicherung von Passwörtern eines sozialen Netzwerkes.
  1. Offenlegung von Gesundheitsdaten…
  • im Internet aufgrund unzureichender interner Kontrollmechanismen,
  • an den falschen Patienten durch ein Krankenhaus.
  1. Offenlegung von…
  • Kontoauszügen gegenüber Unbefugten beim Online-Banking,
  • E-Mail-Adressen im offenen Verteiler,
  • Daten, die sich auf einen Dritten beziehen durch unbefugte Weitergabe,
  • Daten, die sich auf zahlreichende Betroffene beziehen durch unzulässige, Datenübergabe an einen Geschäftsnachfolger,
  • Kundendaten durch Kopie bei Hackerangriff auf einen Webshop.
  1. Aufzeichnung…
  • sämtlicher ausgehender und eingehender Anrufe bei einer Feuerwehr des Landes Bremen,
  • mit und Nutzung einer Dashcam,
  • von Kunden und Arbeitnehmern durch unzulässige Videoüberwachung.
  1. Sonstiges:
  • Unzulässige Werbe-E-Mails,
  • unbefugte Verarbeitung personenbezogener Daten ehemaliger Kundinnen und Kunden durch eine Bank.

Acht Bundesländer ohne Bußgelder

Obwohl laut Welt am Sonntag acht Bundesländer bisher keine Bußgelder verhängt haben sollen, gibt es Abweichungen: Die Tatsache, dass in dem Zeitungartikel keine Rede vom zuvor öffentlich bekannt gewordenen Bußgeld aus Sachsen-Anhalt ist, zeigt, dass die Kommunikation der Behörden gegenüber verschiedenen Journalisten scheinbar nicht einheitlich ist. Es sieht vielmehr danach aus, als seien bei den verschiedenen Anfragen verschiedene Angaben gemacht worden.

Mehrere Aufsichtsbehörden hatten bereits verlautbaren lassen, dass sie sich in naher Zukunft verstärkt auf die Sanktionierung von Verstößen konzentrieren wollen. Die Anzahl an Meldungen, Fragen und Beschwerden ist im Vergleich zur alten Rechtslage in allen Bundesländern stark angestiegen und hat wohl auch dazu geführt, dass bislang insgesamt noch relativ wenig Bußgelder verhängt wurden. Zudem führen komplexere Sachverhalte auch zu längeren datenschutzrechtlichen Prüfungen und Verfahren. Hinzu kommt die unterschiedliche Ausstattung der Behörden der einzelnen Bundesländer, von denen viele regelmäßig über Ressourcenknappheit klagen.

Es bleibt vor diesem Hintergrund abzuwarten, ob sich irgendwann eine einheitlichere Linie in der Bußgeldpraxis abzeichnen wird. Mit Blick auf die Unabhängigkeit der Aufsichtsbehörden erscheint dies zwar fraglich – gleichwohl wäre eine einheitliche Linie aus Rechtssicherheitsgesichtspunkten und zur Verhinderung von Forum Shopping bei der Wahl des Standortes von Unternehmen wünschenswert.

CMS Enforcement-Tracker

Derzeit ist nur wenig über einzelne in- und ausländische DSGVO-Bußgelder bekannt. CMS hat sich deshalb zur Aufgabe gemacht, Ihnen stets einen aktualisierten Überblick über öffentlich bekannt gewordene Bußgelder zu bieten, die durch deutsche und andere EU-Aufsichtsbehörden verhängt wurden: Unter enforcementtracker.com halten wir Sie mit Hintergrundinformationen zu DSGVO-Bußgeldern auf dem Laufenden.

Tags: 100 Bußgeld Deutschland DSGVO Übersicht


Avatar-Foto

Philipp Quiel

weitere Artikel des Autors
Avatar-Foto

Johanna M. Hofmann

weitere Artikel der Autorin
nach oben
© CMS Hasche Sigle 2024