Die vorsichtige Anfangsphase des Jahres 2018, in der sich Behörden an ihre neuen Befugnisse aus der DSGVO herantasteten und Unternehmen den Pflichtenkatalog zur Einhaltung der neuen Datenschutz-Vorgaben abarbeiteten, ist unstreitig vorbei. Das erste laute Klingeln war bereits Anfang 2019 zu hören, als die französische Datenschutzbehörde CNIL gegen Google ein Bußgeld in Höhe von 50 Millionen Euro verhängte. Es war bis letztes Jahr das höchste Bußgeld überhaupt. Die CNIL begründete ihr Bußgeld damals mit Googles ungenügender Transparenz gegenüber den Nutzern und der mangelhaften Einwilligung für Marketingmaßnahmen.
Das Jahr 2021 brachte aber ganz neue Maßstäbe der Bußgelder mit sich. Im Vergleich zur Vorjahresbilanz erhöhte sich die Gesamtsumme der Bußgelder um 1,3 Milliarden Euro. Der rasante Anstieg der Bußgelder in diesem Jahr ist hauptsächlich auf Rekord-Bußgelder gegen „Big Tech“-Unternehmen zurückzuführen, die die Behörden auch als Signal ihrer Entschlossenheit zur Vollstreckung gegen Datenschutzverstöße einsetzten: Amazon traf es in Luxemburg mit 746 Millionen Euro und dem bisher mit weitem Abstand höchsten Bußgeld. WhatsApp in Irland musste 225 Millionen Euro und Google nochmals in Frankreich 90 Millionen Euro zahlen. Die hohen Summen sind deshalb möglich, weil die Behörden das Bußgeld auf bis zu 4 Prozent des weltweiten Unternehmensumsatzes festsetzen können. Dies führt bei den erfolgreichen Internetgiganten zu eben jenen hohen Summen – auch um einen ausreichenden Abschreckungseffekt zu erzielen.
Der Enforcement Tracker von CMS Deutschland kategorisiert die bislang veröffentlichten über 1.000 Bußgeldverfahren. Der Enforcement Tracker Report analysiert die den Bußgeldern zugrunde liegenden Erwägungen der Behörden im Detail. Die Analyse soll nicht Angst schüren, sondern sachlich aufzeigen, welche Verstöße Bußgelder heraufbeschwören und welche Branchen besonders betroffen sind. Der Enforcement Tracker Report liefert mit den Kategorien der Datenschutzverstöße die wichtigsten Erkenntnisse, um die DSGVO vollständig umzusetzen und das Risk Management im Unternehmen entsprechend aufzustellen. Die am häufigsten sanktionierten Verstöße sind:
1) Fehlende Rechtfertigung für die Datenverarbeitung, zum Beispiel keine wirksame Einwilligung der Betroffenen eingeholt (342 Bußgelder, durchschnittlich 1,2 Millionen Euro).
2) Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung wie der Transparenz über umfassende Datenschutzerklärungen (223 Bußgelder, durchschnittlich 3,5 Millionen Euro).
3) Unzureichende Datensicherheit beziehungsweise mangelhafte technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit (198 Bußgelder, durchschnittlich 400.000 Euro).
Bei dieser Top 3-Liste fällt auf, dass die Kategorie „Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung“ die Datensicherheitsmaßnahmen auf Platz 2 abgelöst hat. Das Bußgeld gegen WhatsApp in Irland soll die neue zweitplatzierte Kategorie veranschaulichen: WhatsApp hat insbesondere gegen seine Transparenzpflichten gegenüber Kunden verstoßen, also gegen die Pflicht, die Nutzer über die Details der Datenverarbeitungsvorgänge in Datenschutzerklärungen zu informieren. Intransparent war WhatsApp vor allem in Bezug auf den Datenaustausch mit dem Konzernunternehmen Facebook. Die irische Datenschutzbehörde rügte zudem, dass WhatsApp die Nutzer nicht in verständlicher und leicht zugänglicher Form über die Einzelheiten informierte, wie es die DSGVO fordert. Darüber hinaus basiert das Bußgeld auf der als rechtswidrig gerügten Praxis von WhatsApp, die auf den Telefonen der Nutzer gespeicherten Kontakte zu durchsuchen, was sich nicht nur auf aktive WhatsApp-Nutzer beschränkt, sondern auch auf Kontakte erstreckt, die kein WhatsApp-Konto haben.
Der Enforcement Tracker Report lässt auch Schlussfolgerungen auf die am meisten von Bußgeldern getroffenen Branchen zu: Dies sind die Branchen „Industry and Commerce“ sowie „Media, Telecoms and Broadcasting“. Für die Betroffenheit gerade dieser Branchen gibt es zwei Gründe: Erstens sind die Branchen vom unmittelbaren Kontakt zwischen Unternehmen und Verbrauchern geprägt. Betroffene Verbraucher wissen oft um ihre Datenschutzrechte und sind heute eher geneigt, den Datenschutzbehörden vermeintliche Verstöße mitzuteilen. Zweitens setzt die Medien- und Telekommunikationsbranche auf ständig neue technische Innovationen. Dabei kommt es regelmäßig zu risikoreichen Verarbeitungsvorgängen, denn diese enthalten oft die systematische Verarbeitung von großen Mengen personenbezogener Daten, zum Beispiel beim Targeted Marketing.
Unternehmen sollten sich insbesondere die Top 3 der Arten der Datenschutzverletzungen aus dem Enforcement Tracker Report – fehlende oder mangelhafte Rechtsgrundlage für die Datenverarbeitung, Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung wie der Transparenz, unzureichende Datensicherheit – als To Do-Liste zu Herz nehmen. Jeder Datenverarbeitungsvorgang muss gerechtfertigt sein und auf einer datenschutzrechtlichen Befugnis beruhen. Dazu gehört, dass Verantwortliche wirksame Einwilligungen der Betroffenen einholen müssen. Das gilt zum Beispiel für Cookie-Einwilligungen, bei denen Nutzer eine unmissverständliche Wahl haben müssen, um Cookies auch ablehnen zu können.
Zudem müssen Unternehmen ihre Kunden transparent über die Details der Datenverarbeitungsvorgänge informieren. Datenschutzerklärungen müssen auch Aufschluss darüber geben, mit welchen Unternehmen (gegebenenfalls konzernverbundenen Unternehmen) die Nutzerdaten geteilt werden. Datensicherheitsmaßnahmen wie zum Beispiel ausreichende Verschlüsselung und Multi-Faktor-Authentifizierung sollten heute zum Standard zählen. Zudem sollten Unternehmen sämtliche Datenschutz-Maßnahmen laufend daraufhin überprüfen, ob sie den Datenverarbeitungsvorgängen noch gerecht werden und up to date sind.
René Sandor
ist Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS Deutschland. Er berät Mandanten zum deutschen und europäischen Datenschutzrecht, insbesondere zur Umsetzung der Datenschutz-Grundverordnung und zum internationalen Datentransfer.
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.