Jetzt neu!

Die ViOffice Cloud ist jetzt GRATIS für bis zu 3GB Speicherplatz. Jetzt registrieren!
Zum Inhalt springen
Startseite » Blog » DSGVO: Ein zahnloser Tiger?

DSGVO: Ein zahnloser Tiger?

Wie bereits schon mehrfach hier erwähnt, ist die Datenschutzgrundverordnung (DSGVO) eines der wichtigsten und zuweilen auch am meisten diskutierten Datenschutzgesetzen im europäischen Raum der letzten Jahrzehnte. Noch bevor die DSGVO beschlossen wurde, bis zum tatsächlichen Inkrafttreten und sogar noch weit darüber hinaus, warnten Werbekonzerne, große Medienhäuser, Gig-Unternehmen und viele weitere Interessengruppen vor möglichen negativen Konsequenzen für die Volkswirtschaften der EU-Länder sowie die mutmaßlich extrem hohen Bürden für kleinere und mittelständige Unternehmen (KMUs) oder zivile Vereine.

Vor kurzem feierte die DSGVO ihren fünften Geburtstag und rückblickend lassen sich viele der damaligen Bedenken nun in großen Teilen unbegründet oder als schlichter Versuch von IT-Konzernen deuten, weiterhin ungefragt Daten von Nutzenden für Profit zu sammeln und verkaufen zu können.

Andererseits hat die DSGVO bei weitem nicht alle Ziele erreicht, für die sie geschaffen wurde. Gerade zu Anfang und noch bis vor Kurzem, setzen die Datenschutzbehörden der europäischen Mitgliedsstaaten eher auf Verwarnungen und nicht-bindende Aufrufe an die jeweiligen Konzerne, welche Praktiken entgegen der DSGVO anwendeten.

Dies mag gerade zur Einführung solcher Gesetze sinnvoll sein und eine direkte Kommunikation oder Verwarnungen sollte in aller Regel das erste Mittel sein, jedoch kann und sollte die DSGVO ein scharfes Schwert insbesondere gegen Wiederholungstäter:innen sein. Nur wenn die Nachteile durch einen vorsätzlichen Datenmissbrauch die (in der Regel ökonomischen) Vorteile deutlich übersteigen, kann ein Datenschutzgesetz seine volle Wirkung entfalten und tatsächlich die informationelle Selbstbestimmung von EU-Bürger:innen schützen.

Dieser Zweck wird den Bußgeldern in der DSGVO auch tatsächlich eingeräumt. Sie sollen „wirksam, verhältnismäßig und abschreckend“ sein. Die maximale Höhe einer solchen Strafe kann demnach, abhängig von der Dauer, Schwere, Einsicht und Vorsatz bis zu 10 Mio Euro, beziehungsweise sogar 2% des weltweit erwirtschafteten Jahresumsatzes – nicht Gewinn – betragen (je nachdem welcher Betrag höher ist). [1, 2, 3, 4]

Die höchsten DSGVO-Bußgelder

In den vergangenen drei Jahren, beharrten die Datenschutzbehörden der europäischen Mitgliedsstaaten immer strenger auf die Einhaltung der DSGVO und setzen bei Verstößen von Konzernen die im Rahmen des Bußgeldkatalogs möglichen Strafen immer höher an, insbesondere wenn sich Datenschutzverstöße eines Konzern immer mehr häuften.

Sowohl Frankreich als auch das Vereinigte Königreich begannen bereits 2019 damit sensible Bußgelder zu verhängen. Nachdem Hacker im Juli 2018 die Webseite der British Airways kaperten und sensible Daten von über 400.000 Kund:innen erbeuteten, verhängte die britische Datenschutzbehörde zunächst eine Strafe von knapp 200 Millionen Pfund, welche im Laufe der Verhandlungen und im Lichte der bis dahin ausgebrochenen CoVid-19 Pandemie und ihren wirtschaftlichen Folgen auf Fluggesellschaften auf 20 Millionen Pfund herunter korrigiert wurde. Unterdessen verhängte die französische Datenschutzbehörde eine Strafe von 50 Millionen Euro gegen Google aufgrund von intransparenten Informationspraktiken und dem großflächigen Missachten der Einverständnispflicht. [5, 6]

In den Folgejahren verhängte Frankreich mehrere sensible Strafen von 60 Millionen Euro gegen Facebook, und jeweils 90 und weitere 60 Millionen Euro gegen Google, allesamt wegen der Nutzung von Dark-Patterns in Cookie-Bannern. [7]

Auch Irland verhängte seit 2021 mehrere hohe Strafen gegen Meta in höhe von insgesamt ca 1,3 Milliarde Euro (September 2021: 225 Millionen Euro, September 2022: 405 Millionen Euro, November 2022: 265 Millionen Euro, Januar 2023: 390 Millionen Euro) wegen fehlender Intransparenz gegenüber Nutzenden und dem wiederholten Missachten der Aufforderungen der Datenschutzbehörde, der Veröffentlichung privater Informationen von Minderjährigen, inadequater Reaktionen auf Datenleaks in Folge von Hackangriffen, und Intransparenz gegenüber Nutzenden bei der Änderung von Geschäftsbedingungen. [8, 9, 10, 11]

Das bis vor kurzem mit Abstand höchste einzelne Bußgeld im Rahmen der DSGVO verhängte die luxembourgische Datenschutzbehörde im Juli 2021 gegen Amazon. Werbe- und Datenerhebungspraktiken des Konzern, welcher vorsätzlich die Bestimmungen der DSGVO missachteten, handelten dem Konzern eine Strafe von 746 Millionen Euro ein. Vor wenigen Tagen wurde diese Strafe jedoch übertrumpft, als die europäische Datenschutzbehörde dem US-Konzern Meta eine Strafe von 1,2 Milliarde Euro für die Involvierung in staatlicher Überwachung von EU-Bürger:innen durch US-Amerikanische Geheimdienste aufzwang. [12, 13]

Doch auch deutsche Datenschutzbehörden verhängten in den vergangenen Jahren empfindliche Strafen gegen unterschiedlichste Unternehmen. Im Januar 2021 verhängte der Landesdatenschutzbeauftragte für Niedersachen ein Bußgeld von 10,4 Millionen Euro gegen das Elektronikfachgeschäft Notebooksbilliger, welche ihre Angestellten über mehrere Jahre hinweg mit Videokameras überwachten, ohne dafür eine rechtliche Grundlage zu haben und die Aufnahmen deutlich länger als erlaubt gespeichert hatten. [14]

Bereits im Jahr 2020 verhängte der hamburger Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) eine Strafe gegen den Textileinzelhandel H&M, da auch diese unerlaubt sensible Daten ihrer knapp 180,000 Angestellten erhoben. Durch ein technisches Problem wurden die Daten an alle Angestellten des Unternehmens geleaked, was neben einer Verschärfung des Verstoßes außerdem zu dessen Aufdeckung führte. [15]

Fazit

Gerade in datenschutzaffinen Kreisen drücken zum fünften Jahrestag des Inkrafttreten der DSGVO ihre teilweise Enttäuschung zur ausbleibenden Härte gegenüber enormen und wiederholten Datenschutzverstößen aus. Und in der Tat bleiben viele vorsätzliche und gravierende Verstöße nach wie vor ungeahndet oder werden lediglich mit einer Verwarnung gerügt.

Andererseits gehen europäische Datenschutzbehörden über den Zeitverlauf hinweg immer entschlossener und härter gegen Wiederholungstäter:innen – allen voran den GAMAM-Unternehmen – vor und zeigen, dass die Datenschutzgrundverordnung kein zahnloser Tiger ist, sondern das recht auf informationelle Selbstbestimmung mit einem scharfen Schwert verteidigen und langfristig durch das Mittel der Abschreckung auch forcieren kann.

Quellen

  1. Intersoft Consulting (2018): DSGVO Bußgelder / Strafen. URL: https://dsgvo-gesetz.de/themen/bussgelder-strafen/
  2. Intersoft Consulting (2018): Art. 58 DSGVO Befugnisse. URL: https://dsgvo-gesetz.de/art-58-dsgvo/
  3. Intersoft Consulting (2018): Art. 84 DSGVO Sanktionen. URL: https://dsgvo-gesetz.de/art-84-dsgvo/
  4. Intersoft Consulting (2018): Art. 83 DSGVO Allgemeine Bedingungen für die Verhängung von Geldbußen. URL: https://dsgvo-gesetz.de/art-83-dsgvo/
  5. Information Comissioner’s Office (2019): Intention to fine British Airways £183.39m under GDPR for data breach. URL: https://webarchive.nationalarchives.gov.uk/ukgwa/20211004183304/https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
  6. noyb (2020): €50 million fine for Google confirmed by French Court. URL: https://noyb.eu/en/eu50-million-fine-google-confirmed-conseil-detat
  7. Data Privacy Manager (2022): CNIL fines Google and Facebook a total of €210 million over cookies. URL: https://dataprivacymanager.net/cnil-fines-google-and-facebook-a-total-of-e210-million-over-cookies/
  8. Data Privacy Manager (2023): DPC fines META €390 million for violation of the GDPR. URL: https://dataprivacymanager.net/dpc-fines-meta-e390-million-for-violation-of-the-gdpr/
  9. Data Privacy Manager (2022): Ireland: DPC imposes €265 million fine on Meta. URL: https://dataprivacymanager.net/ireland-dpc-imposes-e265-million-fine-on-meta/
  10. European Data Protection Board (2021): EDPB requests that Irish SA amends WhatsApp decision with clarifications on transparency and on the calculation of the amount of the fine due to multiple infringements. URL: https://edpb.europa.eu/news/news/2021/edpb-requests-irish-sa-amends-whatsapp-decision-clarifications-transparency-and_en
  11. Kashyap, K. (2022): Meta Fined €405 Million for Mishandling Teenagers’ Data on Instagram. URL: https://www.spiceworks.com/marketing/customer-data/news/meta-fined-405-million-for-mishandling-teenagers-data-on-instagram/
  12. Data Privacy Manager (2021): Luxembourg DPA issues €746 Million GDPR Fine to Amazon. URL: https://dataprivacymanager.net/luxembourg-dpa-issues-e746-million-gdpr-fine-to-amazon/
  13. noyb (2023): €1.2 billion GDPR fine for Meta over US mass surveillance. URL: https://edri.org/our-work/e1-2-billion-gdpr-fine-for-meta-over-us-mass-surveillance/
  14. Landesbeauftragte für den Datenschutz Niedersachsen (2021): LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de. URL: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/lfd-niedersachsen-verhangt-bussgeld-uber-10-4-millionen-euro-gegen-notebooksbilliger-de-196019.html
  15. Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit (2020): Bußgeld wegen Datenschutzverstößen bei H&M. URL: https://web.archive.org/web/20230809132555/https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
Jan Weymeirsch
Website | + posts

Jan ist Mitgründer von ViOffice. Er kümmert sich insbesondere um die technische Umsetzung und Wartung der Software. Seine Interessen liegen insbesondere in den Themengebieten Sicherheit, Datenschutz und Verschlüsselung.

Neben seinem Studium der Volkswirtschaftslehre, später der angewandten Statistik und seiner daran anknüpfenden Promotion, hat er jahrelange Erfahrung im Bereich Softwareentwicklung, Opensource und Serveradministration.