Ein Jahr DS-GVO: Verstöße wurden mit bis zu 80.000 Euro geahndet

Die DS-GVO ist vor einem Jahr in Kraft getreten: die Zahl der Verfahren wegen DS-GVO-Verstößen liegt bisher bundesweit bei über 100, aber die Bußgelder halten sich in Grenzen. Sehr unterschiedlich ist die Situation in den einzelnen Bundesländern. Die Mehrheit der Bundesländer hat noch gar keine Verstöße mit Bußgeldern geahndet.

Insbesondere Unternehmen sind nach der seit dem 25. Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) zum sorgfältigen Umgang bei der Verarbeitung der ihnen anvertrauten personenbezogenen Daten verpflichtet. Gemäß Art. 83 Abs. 4 lit. a i. V. m. Art. 33 DS-GVO kann die Geldbuße bis zu 10 Millionen Euro beziehungsweise im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten Jahresumsatzes des vorangegangenen Geschäftsjahrs (je nachdem, welcher der Beträge höher ist) betragen. Solche Summen blieben bis dato jedoch aus.

Auf unsere Anfrage und in ihren Tätigkeitsberichten berichteten die Datenschutzbehörden von sechs Bundesländern - Baden-Württemberg, Hamburg, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt – von über 100 Verfahren und über 50 bereits verhängten Bußgeldern auf der Grundlage der DS-GVO.

Das höchste Bußgeld in der Höhe von 80.000 Euro wurde in Baden-Württemberg für die Veröffentlichung von Gesundheitsdaten in einer digitalen Publikation verhängt. Mit 20.000 Euro wurde ein baden-württembergischer Social-Media-Anbieter bestraft. Die Passwörter seiner Nutzer waren im Klartext gespeichert und so konnten bei einem Hackerangriff personenbezogene Daten von ungefähr 330.000 Nutzern entwendet werden. Mit dem gleichen Betrag wurde eine verspätete Meldung eines Data Breaches und unterbliebene Information der Betroffenen in Hamburg sanktioniert. Andere Geldbußen fielen deutlich geringer aus. Verstöße gegen die Zweckbindung bei der Verwendung personenbezogener Daten kosteten beispielsweise 1500 und 2500 Euro (beide in Baden-Württemberg). Eine Geldbuße von 2500 Euro musste auch ein Bürger aus Sachsen-Anhalt für das Versenden von E-Mails mit einem offenen E-Mail-Verteiler bezahlen. Im Saarland wurde eine unzulässige Veröffentlichung der Parteizugehörigkeit einer Person in einem Facebook-Account mit 118,50 Euro bestraft. Die meisten Bußgeldbescheide – unter anderem für Datenerhebung mittels Dashcams oder nichterteilte Auskunft gegenüber der Behörde – sind in Nordrhein-Westfalen erlassen worden (36 in 2018), wobei hier die Höhe der Geldstrafen im Schnitt bei 433 Euro lag.

Einzelheiten zu diesen Fällen und zur Situation in einzelnen Bundesländern sind dieser Übersicht der DS-GVO-Verstöße und Bußgelder zu entnehmen.

Foto: Pixabay