Die Datenschutz-Grundverordnung (DSGVO) sieht bei einem Verstoß Bußgelder von bis zu 20 Millionen Euro oder aber bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Neben einem Bußgeld kann es auch noch zu Schadenersatzansprüchen kommen. Voraussetzung für den Schadenersatzanspruch ist, dass der betroffenen Person durch die unrechtmäßige Verarbeitung ihrer Daten ein Schaden entstanden ist. Dieser kann in einem Vermögensnachteil (Vermögensschaden), aber auch in einem ideellen Schaden liegen, was in ErwG 75 der DSGVO sehr umfassend beschrieben ist.
Für die Höhe des Bußgeldes können nachfolgende Kriterien herangezogen werden:
- Wie schwer ist die Datenschutzverletzung und wie lange hielt diese an?
- Wie sensible sind die Daten (z.B. Gesundheitsdaten) und wie viele Personen sind betroffen?
- Handelte das Unternehmen fahrlässig, bzw. waren die techn. und organisatorischen Sicherheitsmaßnahmen (Art. 32) nicht auf dem neuesten Stand der Technik?
- Dämmte das Unternehmen den Schaden schnellstmöglich ein?
- Handelt es sich um einen Wiederholungstäter?
- War der Datenschutzbeauftragte des Unternehmens kooperativ?
- Verschleierte das Unternehmen den Verstoß oder meldete es den Verstoß innerhalb von 72 Stunden nach Kenntniserlangung?
TOP 10 Bußgelder europaweit. Diese Fälle sollten Sie kennen.
Die Top 10 der europaweiten Bußgelder können Sie der nachfolgenden Tabelle entnehmen.
Strafe | Datenpanne | Ursache |
204 Mio. Euro Strafe gegen British Airways | Hacker-Attacke auf die Webseite, Diebstahl von 500.000 Anschriften und Kreditkartendaten der Kunden. | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO. |
110. Mio. Euro Strafe gegen Marriott International. | Datenleck bei der Marriott-Tochter Starwood, Missbrauch von 339 Millionen Nutzerdaten. | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO. |
50 Mio. Euro Strafe gegen Google | Mangelnde Transparenz bei der Verarbeitung personenbezogener Nutzerdaten. | Verstoß gegen Art. 12 DSGVO |
18 Mio. Euro gegen die Post in Österreich. | sammeln von Daten zu Parteiaffinitäten | Datenverarbeitung ohne Erlaubnistatbestand (Artt. 5,6 DSGVO) |
14,5 Mio. Euro Euro gegen Immobiliengesellschaft Deutsche Wohnen SE | Speichern personenbezogener Daten, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. | Datenverarbeitung ohne Erlaubnistatbestand (Artt. 5,6 DSGVO) |
9,5 Mio. Euro gegen die 1&1 Telecom GmbH | keine hinreichenden technischen und organisatorischen Maßnahmen (TOM, um telefonische Anrufer sicher zu authentifizieren | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO. |
2,6 Mio. Euro gegen die National Revenue Agency, Bulgarien | Hacker erhielten, Zugang in die Datenbank des bulgarischen Finanzverwalters, Diebstahl von Millionen personenbezogener Daten von Kunden und sensibler Unternehmensdaten. | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO. |
900.000 Euro gegen die niederländische Regierungsbehörde UWV | Möglicher Datenmissbrauch wegen fehlender Multi-Faktor-Authentifizierung | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO. |
645.000 Euro gegen polnische Onlinehändler morele.net | Datenpanne durch Hackerangriff | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO und fehlender Nachweisbarkeit von einzuholenden Einwilligungen zur Datenverarbeitung. |
511.000 Euro gegen die bulgarische DSK Bank | Missbrauch personenbezogener Daten von über 330.000 Bankkunden u.a.- auch biometrischer Daten. | mangelnde Sicherheitsvorkehrungen. Verstoß gegen Art. 32 DSGVO. |
Top 10 Bußgelder. Diese Risiken müssen Sie kennen.
Aus den aufgeführten Vorfällen lassen sich klar drei Risikofelder bei der Datenverarbeitung erkennen. Diese sind:
- Verstöße gegen die Sicherheit der Verarbeitung Art. 32 DSGVO (7 Bußgelder)
- Verstöße gegen die Rechtmäßigkeit der Verarbeitung Artt. 5,6 DSGVO (2 Bußgelder)
- Verstöße gegen die Rechte der Betroffenen, Art. 12 DSGVO (1)
Fazit
Als Datenschutzbeauftragter können Sie aus den Top 10 Bußgeldern und den zugrundeliegenden Ursachen deutlich ableiten, dass Sie sich vorrangig um die Sicherheit der Verarbeitung (TOMs) in Ihrem Unternehmen kümmern müssen. Hier gilt regelmäßig zu überprüfen ob die Anforderungen des Art. 32 DSGVO sachgerecht in Ihrem Unternehmen und bei Ihren Dienstleistern umgesetzt werden. Ebenso müssen Sie prüfen ob die Rechte der Betroffenen bei der Datenverarbeitung gewahrt bleiben und ob Ihr Unternehmen überhaupt einen Erlaubnistatbestand für die Datenverarbeitung hat. Haben Sie diese drei Risikofelder im Griff, sollte Ihr Unternehmen vor hohen Bußgeldern sicher sein.