DSGVO ist bekannt für seine kostspieligen Strafen bei Verstößen. Amazon wurde berüchtigt im Jahr 2021 mit über 880 Millionen Dollar für die Verfolgung von Benutzerdaten ohne entsprechende Zustimmung bestraft, und Google hat mehrere Strafen in Höhe von über 200 Millionen Dollar gezahlt.
Erfahren Sie unten mehr über DSGVO-Geldbußen und -Strafen.
Stufen der DSGVO-Geldbußen und -Strafen
Es gibt zwei Stufen von Strafen, abhängig von der Schwere des Verstoßes. Weniger schwerwiegende Verstöße können zu Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist.
Die zweite Stufe der Strafen betrifft die Verletzung der Kernprinzipien der DSGVO, einschließlich des Zustimmungsrechts, der Rechte der betroffenen Personen und der Grundsätze der Datenverarbeitung. Diese Verstöße können zu Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist. Zudem haben die von der Verletzung Betroffenen das Recht, Schadensersatz zu verlangen.
Wie hoch ist eine DSGVO-Geldbuße?
Das hängt davon ab. Nach der DSGVO werden Geldbußen von der Datenschutzbehörde in jedem EU-Mitgliedstaat verhängt. Die Datenschutzbehörde wird zwei Dinge feststellen: erstens, ob ein Verstoß vorliegt, und zweitens, wie schwer die Strafe ist.
Wenn eine Untersuchung mehrere DSGVO-Verstöße aufdeckt, wird das Unternehmen nur für den schwerwiegendsten bestraft (sofern alle Verstöße Teil desselben Verarbeitungsvorgangs sind).
Um zu bestimmen, ob eine Geldbuße verhängt wird und in welcher Höhe, verwendet die Datenschutzbehörde die folgenden zehn Kriterien:
- Schwere und Art: Was ist passiert? Wie ist es passiert und warum? Wie viele Personen waren betroffen und wie hoch war der Schaden? Wie lange dauerte es, bis das Problem behoben war?
- Absicht: War der Verstoß absichtlich oder das Ergebnis von Fahrlässigkeit?
- Minderung: Hat das Unternehmen versucht, den Schaden für die von dem Verstoß Betroffenen zu mindern?
- Vorsorgemaßnahmen: Wie viel technische und organisatorische Vorbereitung hat das Unternehmen vor dem Verstoß unternommen, um DSGVO-konform zu sein?
- Geschichte: Gab es frühere Verstöße?
- Kooperation: Hat das Unternehmen mit der Aufsichtsbehörde zusammengearbeitet, um den Verstoß zu entdecken und zu beheben?
- Datenkategorie: Welche Art von personenbezogenen Daten wurde durch den Verstoß betroffen?
- Benachrichtigung: Hat das Unternehmen den Verstoß proaktiv der Aufsichtsbehörde gemeldet?
- Zertifizierung: War das Unternehmen zuvor zertifiziert? Wenn nicht, hat es den genehmigten Verhaltenskodex befolgt?
- Erhöhte/mildernde Umstände: Wurden durch den Verstoß finanzielle Vorteile erzielt oder Verluste vermieden?
Beispiele für DSGVO-Verstöße
Seit Inkrafttreten der DSGVO im Jahr 2018 gab es mehrere berichtenswerte Beispiele für Verstöße, insbesondere die DSGVO-Bußgelder von Amazon und Google.
Im Folgenden sind 10 DSGVO-Verstöße mit den höchsten verhängten Geldstrafen aufgeführt und was Sie daraus lernen können.
1. Amazon - 746 Millionen €
Jahr der Ausgabe: 2021
Bußgeldtyp: Nichteinhaltung der allgemeinen Prinzipien der Datenverarbeitung
Im Jahr 2021 verhängte die luxemburgische Nationale Kommission für Datenschutz (CNPD) gegen Amazon Europe Core S.a.r.l. eine Geldbuße von 746 Millionen € wegen Nichteinhaltung der allgemeinen Prinzipien der Datenverarbeitung. Es ist die höchste Strafe, die seit Inkrafttreten der DSGVO im Jahr 2018 von einer europäischen Datenschutzbehörde verhängt wurde.
Obwohl der Öffentlichkeit nur begrenzte Informationen zur Verfügung stehen, ist die Strafe höchstwahrscheinlich das Ergebnis von Verstößen gegen das Werbetargetingsystem von Amazon.
Lernen daraus:
- Holen Sie sich die Zustimmung der Verbraucher ein, indem Sie klare, einfache Sprache verwenden und erklären, wie die Daten verwendet werden, zu welchem Zweck und von wem.
2. Meta - 405 Millionen €
Jahr der Ausgabe: 2022
Bußgeldtyp: Nichteinhaltung der allgemeinen Prinzipien der Datenverarbeitung
Im Jahr 2022 verhängte die irische Datenschutzbehörde eine Rekordbuße von 405 Millionen € gegen Meta wegen der Behandlung der Daten von Kindern auf Instagram. Genauer gesagt, wurden die Konten von Kindern im Alter von 13 bis 17 standardmäßig auf öffentlich gesetzt, und Teenagern mit Geschäftskonten auf Instagram wurde ermöglicht, ihre E-Mail-Adressen und Telefonnummern öffentlich zu machen.
Lernen daraus:
- Die rechtliche Grundlage für das Sammeln und Verarbeiten personenbezogener Daten muss gültig sein — zum Beispiel müssen Sie nachweisen, dass die Datenverarbeitung zur Erfüllung eines Vertrags erforderlich ist.
3. WhatsApp - 225 Millionen €
Jahr der Ausgabe: 2021
Bußgeldtyp: Unzureichende Erfüllung der Informationspflichten
Im Jahr 2021 verhängte die irische Datenschutzbehörde eine Strafe von 225 Millionen € gegen WhatsApp. Zu diesem Zeitpunkt war es die höchste von der irischen Datenschutzbehörde verhängte DSGVO-Strafe. In ihrer Entscheidung erklärte die Aufsichtsbehörde, dass WhatsApp nicht genügend Informationen darüber bereitgestellt habe, wie Daten "in einer prägnanten, transparenten, verständlichen und leicht zugänglichen Form, unter Verwendung klarer und einfacher Sprache" gesammelt werden.
Lernen daraus:
- Schreiben Sie klare und umfassende Datenschutzrichtlinien, damit die Nutzer verstehen, wie ihre Daten verarbeitet werden.
4. Google LLC und Irland - 150 Millionen €
Jahr der Ausgabe: 2021
Bußgeldtyp: Unzureichende rechtliche Grundlage für die Datenverarbeitung
Die französische Datenschutzbehörde (CNIL) verhängte eine Geldstrafe von 150 Millionen € gegen Google (90 Millionen € für Google LLC und 60 Millionen € für Google Ireland) wegen Nichteinhaltung der lokalen (und EU-weiten) Cookie-Zustimmungsregeln. Genauer gesagt, macht es das Unternehmen nicht so einfach, alle Cookies abzulehnen, wie es ist, alle auf google.fr und youtube.com zu akzeptieren.
Lernen daraus:
- Bieten Sie den Nutzern die Möglichkeit, nicht notwendige Cookies ebenso einfach abzulehnen wie die Option, alle zu akzeptieren.
5. Facebook - 60 Millionen €
Jahr der Ausgabe: 2021
Bußgeldtyp: Unzureichende rechtliche Grundlage für die Datenverarbeitung
Im Jahr 2021 verhängte die CNIL auch eine Geldstrafe von 60 Millionen Euro gegen Facebook, weil es den Nutzern keine einfachen Methoden zur Ablehnung von Cookies auf der Website bereitstellte.
Zu lernende Lektionen:
- Stellen Sie eine klare Möglichkeit für Benutzer bereit, Cookies abzulehnen.
6. Google LLC - €50M
Jahr der Ausgabe: 2019
Art der Strafe: Unzureichende rechtliche Grundlage für die Datenverarbeitung
Im Jahr 2019 verhängte die französische Datenschutzbehörde (CNIL) gegen Google eine Geldstrafe von 50 Millionen Euro wegen unklarer Datenschutzvereinbarungen, die keine freiwillige Zustimmung der Verbraucher zur Werbeausrichtung einholten. Bei ihrer Untersuchung stellte die CNIL fest, dass Google es versäumt hatte, transparent zu arbeiten und Informationen in einer für die Benutzer leicht zugänglichen Weise bereitzustellen, und keine rechtliche Grundlage für die Verarbeitung der Daten der Benutzer zum Zwecke der personalisierten Werbung hatte.
Zu lernende Lektionen:
- Formulieren Sie Datenschutzvereinbarungen, die klar vermitteln, wie Sie personenbezogene Daten verarbeiten werden, einschließlich für Zwecke der Werbepersonalisierung.
7. H&M - €35M
Jahr der Ausgabe: 2020
Art der Strafe: Unzureichende rechtliche Grundlage für die Datenverarbeitung
Die Hamburger Datenschutzbehörde verhängte gegen H&M eine Geldstrafe von 30 Millionen Euro wegen mitarbeiterbezogener Vergehen. Eine der bemerkenswertesten Verletzungen war das Aufzeichnen und Speichern von Einzelgesprächen mit Mitarbeitern und die Verwendung der in diesen Gesprächen bereitgestellten Details für Entscheidungen bezüglich der Mitarbeiter. Es war die höchste Strafe, die von der Hamburger Datenschutzbehörde nach DSGVO verhängt wurde.
Zu lernende Lektionen:
- Das Sammeln und Speichern umfangreicher personenbezogener Daten über das persönliche Leben Ihrer Mitarbeiter ist ein Verstoß gegen die DSGVO und ihre Bürgerrechte.
8. TIM - €27,8M
Jahr der Ausgabe: 2020
Art der Strafe: Unzureichende rechtliche Grundlage für die Datenverarbeitung
Im Jahr 2020 verhängte die italienische Datenschutzbehörde gegen den italienischen Telekommunikationsbetreiber TIM (früher bekannt als Telecom Italia) eine Geldstrafe von 27,8 Millionen Euro wegen einer Reihe von Verstößen bei der Datenerhebung und -verarbeitung im Zusammenhang mit Marketingkampagnen. Zu den Verstößen gehörten das Versenden unerwünschter Mitteilungen und das Führen von Werbeanrufen an Millionen von Personen, einschließlich solcher auf Nichtkontakt- und Ausschlusslisten.
Zu lernende Lektionen:
- Erstellen Sie spezifische Opt-Ins für verschiedene Marketingaktivitäten.
- Verwalten und aktualisieren Sie Sperrlisten ordnungsgemäß.
9. Enel Energia - €26,5M
Jahr der Ausgabe: 2021
Art der Strafe: Unzureichende rechtliche Grundlage für die Datenverarbeitung
Die italienische Datenschutzbehörde (Garante) verhängte eine Geldstrafe von 26,5 Millionen Euro gegen Enel Energia wegen mehrerer Datenschutzverletzungen, einschließlich unerwünschter Werbeanrufe ohne die erforderliche Zustimmung der Nutzer. Enel Energia wurde auch dafür bestraft, dass es während der Untersuchung nicht ausreichend mit dem Garante kooperiert hatte.
Zu lernende Lektionen:
- Kooperieren Sie mit der Datenschutzbehörde während jeder Untersuchung möglicher DSGVO-Verstöße.
10. British Airways - €22M
Jahr der Ausgabe: 2020
Art der Strafe: Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit
Im Jahr 2020 wurde British Airways von der britischen Informationskommission (ICO) wegen unzureichender technischer und organisatorischer Maßnahmen zu einer Geldstrafe von 20 Millionen Euro verurteilt, die zu einer Datenpanne führte, bei der die persönlichen und Kreditkartendaten von mehr als 400.000 Kunden betroffen waren. Die Geldstrafe wurde erheblich reduziert von 204,6 Millionen Euro, dem Betrag, den die ICO ursprünglich im Jahr 2019 verhängen wollte.
Zu lernende Lektionen:
- Ergreifen Sie angemessene Sicherheitsmaßnahmen, um die persönlichen Daten der Kunden zu schützen.
FAQs
Was sind die Strafstufen unter der DSGVO?
Unter der DSGVO gibt es zwei Strafstufen:
- Stufe 1 für weniger schwere Verstöße: Kann Geldstrafen von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Unternehmens aus dem vorherigen Geschäftsjahr zur Folge haben, je nachdem, welcher Wert höher ist.
- Stufe 2 für schwerere Verstöße: Kann Geldstrafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens aus dem vorherigen Geschäftsjahr zur Folge haben, je nachdem, welcher Wert höher ist.
Was sind die Geldstrafen gegen Einzelpersonen nach der DSGVO?
Die Höchststrafe für Einzelpersonen ist die gleiche wie für Organisationen: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des vorhergehenden Geschäftsjahres, je nachdem, welcher Wert höher ist. Beispiele für Geldstrafen gegen Einzelpersonen finden Sie im DSGVO-Durchsetzungs-Tracker. Zu den jüngsten Beispielen gehören eine Geldstrafe von 5.000 Euro gegen einen Arzt wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung und eine Geldstrafe von 240 Euro gegen eine Privatperson wegen unzureichender Rechtsgrundlage für die Datenverarbeitung.
Was ist der häufigste Verstoß gegen die DSGVO?
Laut dem DSGVO-Durchsetzungs-Tracker sind die häufigsten Verstöße eine unzureichende Rechtsgrundlage für die Datenverarbeitung (520) und die Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung. Bis November 2023 gibt es 520 Beispiele für jede Art von Verstoß. Andere häufige Beispiele sind:
- Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit (364)
- Unzureichende Erfüllung der Rechte der betroffenen Personen (194)
- Unzureichende Erfüllung der Informationspflichten (185)
- Unzureichende Zusammenarbeit mit der Aufsichtsbehörde (91)
