Struktur der DSGVO-Bußgelder und die bisher höchsten DSGVO-Bußgelder

Die Datenschutz-Grundverordnung (DSGVO) ist ein 2018 von der Europäischen Union erlassenes Gesetz zum Datenschutz und zur Wahrung der Privatsphäre. Die Verordnung betrifft alle Unternehmen, die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten und speichern, unabhängig vom Standort des Unternehmens. Ein kritischer Aspekt der DSGVO sind die hohen Bußgelder, die bei Verstößen gegen die Vorschriften verhängt werden können. Lesen Sie diesen Blogbeitrag, um mehr über die Auswirkungen von KI auf die Cybersicherheit zu erfahren.

Struktur der DSGVO-Bußgelder

Höchstbußgelder

Die DSGVO legt Höchstgrenzen für Bußgelder fest, die recht beträchtlich sind. Die Obergrenze hängt von der Schwere des Verstoßes ab. Für die untere Stufe kann die Höchststrafe bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist.

Für die obere Stufe kann die maximale Geldbuße 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr betragen, je nachdem, welcher Betrag höher ist. Diese beträchtlichen Beträge unterstreichen, wie ernst die EU den Datenschutz und die Privatsphäre nimmt.

Es handelt sich hierbei um Höchstgrenzen. Die Höhe der Geldbuße hängt von den jeweiligen Umständen des Einzelfalls ab. Nicht jeder Verstoß führt daher zu Millionenstrafen. Das Potenzial für solch hohe Geldbußen verdeutlicht jedoch, wie wichtig die Einhaltung der DSGVO ist.

Zweistufiges Bußgeldsystem

So definiert die DSGVO die beiden Ebenen:

• Verstöße auf niedrigerer Ebene beziehen sich meist auf technische Aspekte der DSGVO, wie etwa die unzureichende Dokumentation von Verarbeitungstätigkeiten, das Unterlassen einer erforderlichen Folgenabschätzung und das Unterlassen der Benennung eines Datenschutzbeauftragten, wenn dies erforderlich ist.
• Verstöße der höheren Ebene betreffen Verstöße gegen die Grundprinzipien der DSGVO, wie etwa die Verarbeitung personenbezogener Daten ohne ausreichende Rechtsgrundlage, die Verletzung der Rechte betroffener Personen und die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation unter Verstoß gegen die DSGVO.

Das zweistufige System stellt sicher, dass die Bußgelder der Schwere des Verstoßes entsprechen und verhindert, dass geringfügige technische Verstöße zu überhöhten Bußgeldern führen.

Kriterien zur Bestimmung von Bußgeldern und Verstößen gegen die DSGVO

1. Art, Schwere und Dauer der Verletzung

Art, Schwere und Dauer des Verstoßes spielen bei der Bemessung der Geldbuße eine entscheidende Rolle. So kann beispielsweise ein geringfügiger Verstoß, der keinen erheblichen Schaden verursacht hat, mit einer geringeren Geldbuße geahndet werden als ein massiver Datenschutzverstoß, bei dem sensible personenbezogene Daten Tausender Nutzer offengelegt wurden. Auch die Dauer des Verstoßes spielt eine Rolle. Ein einmaliger Verstoß kann anders behandelt werden als ein wiederkehrender oder anhaltender Verstoß.

Darüber hinaus werden die Anzahl der von dem Verstoß betroffenen Personen und die Höhe des entstandenen Schadens berücksichtigt. Führt ein Verstoß zu schwerwiegenden Schäden wie Identitätsdiebstahl oder finanziellen Verlusten, können die verhängten DSGVO-Bußgelder hoch ausfallen. Führt der Verstoß hingegen zu minimalem Schaden, können die Bußgelder geringer ausfallen.

2. Vorsätzlicher oder fahrlässiger Charakter der Zuwiderhandlung

Ein weiterer wichtiger Aspekt bei der Festlegung von Bußgeldern gegen die DSGVO ist, ob der Verstoß vorsätzlich oder fahrlässig erfolgte. Bei einem vorsätzlichen Verstoß gegen die DSGVO-Regeln droht wahrscheinlich eine höhere Geldbuße. Bei einem fahrlässigen Verstoß kann die Geldbuße hingegen niedriger ausfallen, insbesondere wenn das Unternehmen nachweisen kann, dass es alle angemessenen Maßnahmen ergriffen hat, um einen solchen Verstoß zu verhindern.

Dieser Aspekt der DSGVO-Durchsetzung unterstreicht, dass sich Unternehmen ihrer Verantwortung bewusst sein und geeignete Maßnahmen zum Datenschutz ergreifen müssen. Führt Fahrlässigkeit zu einer Datenschutzverletzung, drohen dem Unternehmen dennoch hohe Geldstrafen.

3. Maßnahmen des Verantwortlichen oder Auftragsverarbeiters zur Schadensminderung

Auch die Maßnahmen des Verantwortlichen oder Auftragsverarbeiters zur Schadensbegrenzung werden berücksichtigt. Hätte das Unternehmen rasche und wirksame Maßnahmen ergriffen, um den Verstoß einzudämmen, die betroffenen Personen zu informieren und den Schaden zu minimieren, könnte dies die Höhe der Geldbuße möglicherweise reduzieren.

Dieser Faktor unterstreicht die Bedeutung eines robusten Reaktionsplans für Datenschutzverletzungen. Durch eine schnelle und effektive Reaktion auf eine Datenschutzverletzung können Unternehmen nicht nur den Schaden für Einzelpersonen begrenzen, sondern auch die möglicherweise drohenden finanziellen Strafen mindern.

4. Grad der Verantwortung des Verantwortlichen oder Auftragsverarbeiters

Der Grad der Verantwortung des Verantwortlichen oder Auftragsverarbeiters ist ein weiterer entscheidender Faktor bei der Festlegung von Bußgeldern nach der DSGVO. Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zur Gewährleistung des Datenschutzes. Kommen sie ihren Pflichten nicht nach und kann ihnen vorsätzliche Fahrlässigkeit nachgewiesen werden, drohen ihnen hohe Bußgelder.

Der Grad der Verantwortung wird anhand mehrerer Faktoren bewertet, darunter die vom Unternehmen getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz und die Einhaltung der Verpflichtungen des Unternehmens gemäß der DSGVO. Kann das Unternehmen nachweisen, dass es alle notwendigen Schritte zum Schutz personenbezogener Daten und zur Einhaltung der DSGVO-Regeln unternommen hat, kann dies die Höhe der Geldbuße möglicherweise reduzieren.

5. Relevante frühere Verstöße

Auch frühere Verstöße werden bei der Festlegung von DSGVO-Bußgeldern berücksichtigt. Bei wiederholten Verstößen kann eine höhere Geldbuße drohen. Denn wiederholte Verstöße deuten auf eine Missachtung der Datenschutzbestimmungen und mangelndes Engagement bei der Korrektur vergangener Fehler hin.

Es kommt jedoch nicht nur auf die Anzahl der bisherigen Verstöße an, sondern auch auf deren Art und Schwere. Ein einzelner schwerwiegender Verstoß kann schwerwiegender sein als mehrere geringfügige Verstöße. Daher sollten Unternehmen nicht nur versuchen, Verstöße zu verhindern, sondern auch rasch Maßnahmen ergreifen, um auftretende Verstöße zu beheben.

6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde

Der Grad der Zusammenarbeit mit der Aufsichtsbehörde ist ein weiterer Faktor, der die Höhe der DSGVO-Bußgelder beeinflussen kann. Eine umfassende Zusammenarbeit mit der Aufsichtsbehörde kann die Höhe des Bußgeldes möglicherweise reduzieren. Die Zusammenarbeit kann unter anderem die unverzügliche Meldung des Verstoßes, die Bereitstellung aller erforderlichen Informationen an die Behörde und die Unterstützung bei der Untersuchung umfassen.

Versucht das Unternehmen hingegen, den Verstoß zu vertuschen oder die Untersuchung zu behindern, droht ihm eine höhere Geldstrafe. Daher liegt es im Interesse der Unternehmen, im Falle einer Datenschutzverletzung uneingeschränkt mit der Aufsichtsbehörde zu kooperieren.

7. Kategorien der von der Verletzung betroffenen Personenbezogene Daten

Auch die Kategorien der von der Datenschutzverletzung betroffenen personenbezogenen Daten können die Höhe der DSGVO-Bußgelder beeinflussen. Werden sensible personenbezogene Daten wie Finanzinformationen, Gesundheitsdaten oder andere Daten besonderer Kategorien bei einer Datenschutzverletzung offengelegt, muss das Unternehmen wahrscheinlich mit einer höheren Geldbuße rechnen.

Denn die Offenlegung solcher Daten kann zu schwerwiegenden Schäden für Einzelpersonen führen, darunter Identitätsdiebstahl, finanzielle Verluste, Rufschädigung usw. Daher müssen Unternehmen besonders darauf achten, sensible personenbezogene Daten zu schützen, um hohe Geldstrafen zu vermeiden.

8. Art und Weise der Kenntniserlangung der Aufsichtsbehörde

Auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, kann sich auf die Höhe der DSGVO-Bußgelder auswirken. Meldet das Unternehmen den Verstoß unverzüglich und freiwillig, kann dies die Höhe des Bußgeldes mindern. Wurde der Verstoß hingegen durch eine Beschwerde Dritter oder ein Audit entdeckt, kann das Bußgeld höher ausfallen.

Dieser Faktor unterstreicht die Bedeutung von Transparenz und einer zeitnahen Meldung im Falle einer Datenschutzverletzung. Durch die umgehende Meldung der Verletzung können Unternehmen nicht nur ihren gesetzlichen Verpflichtungen nachkommen, sondern möglicherweise auch die ihnen drohenden finanziellen Strafen abmildern.

9. Einhaltung von Maßnahmen gegen den Verantwortlichen oder Auftragsverarbeiter

Die Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen ist ein weiterer Faktor, der die Höhe der DSGVO-Bußgelder beeinflussen kann. Kommt das Unternehmen den von der Aufsichtsbehörde angeordneten Maßnahmen unverzüglich und vollständig nach, kann dies die Höhe des Bußgeldes möglicherweise reduzieren. Kommt das Unternehmen den Maßnahmen hingegen nicht nach, kann es mit einem höheren Bußgeld rechnen.

Dieser Faktor unterstreicht die Bedeutung der Einhaltung aller gesetzlichen Verpflichtungen gemäß der DSGVO. Durch die Einhaltung der von der Aufsichtsbehörde angeordneten Maßnahmen können Unternehmen nicht nur den Verstoß beheben, sondern möglicherweise auch die ihnen drohenden Geldstrafen mindern.

10. Einhaltung von Verhaltenskodizes oder genehmigten Zertifizierungsmechanismen

Schließlich kann sich auch die Einhaltung von Verhaltenskodizes oder anerkannten Zertifizierungsmechanismen auf die Höhe der DSGVO-Bußgelder auswirken. Hält sich ein Unternehmen an solche Kodizes oder Mechanismen, kann dies die Höhe des Bußgeldes möglicherweise reduzieren. Denn eine solche Einhaltung demonstriert das Engagement des Unternehmens für den Datenschutz und die Einhaltung der DSGVO-Regeln.

Daher sollten Unternehmen bestrebt sein, die entsprechenden Verhaltenskodizes oder Zertifizierungsmechanismen einzuhalten, um ihr Engagement für den Datenschutz unter Beweis zu stellen und möglicherweise drohende Geldstrafen zu vermeiden.

Beispiele für die bisher höchsten DSGVO-Bußgelder

Meta

Meta, ehemals bekannt als Facebook, wurde mit einer der bislang höchsten DSGVO-Bußgelder belegt. Im Juli 2021 verhängte die luxemburgische Nationale Datenschutzkommission (CNPD) eine Geldstrafe von 746 Millionen Euro gegen Meta wegen Verstoßes gegen die DSGVO. Die Geldbuße wurde verhängt, weil das Unternehmen Nutzerdaten nicht ausreichend schützte und personenbezogene Daten für Werbezwecke missbrauchte.

Im Jahr 2023 erhielt Meta von der irischen Datenschutzkommission eine noch höhere Geldstrafe in Höhe von 1,2 Milliarden Euro, weil es personenbezogene Daten europäischer Nutzer ohne angemessene Datenschutzmechanismen in die USA übermittelt hatte.

Amazonas

Im Juli 2021 erhielt Amazon die bislang höchste DSGVO-Strafe. Die luxemburgische Nationale Datenschutzkommission (CNPD) verhängte gegen den E-Commerce-Riesen eine Geldbuße von 746 Millionen Euro. Grund für die Geldbuße war die Nichteinhaltung der DSGVO-Vorschriften durch Amazon in seinen Werbepraktiken.

TikTok

Auch die beliebte, in chinesischem Besitz befindliche Social-Media-Plattform TikTok musste eine DSGVO-Strafe verhängen. Im Juli 2021 verhängte die niederländische Datenschutzbehörde (DPA) eine Geldstrafe von 750.000 Euro gegen TikTok wegen Verstoßes gegen die DSGVO-Bestimmungen. Der Verstoß war darauf zurückzuführen, dass TikTok keine Datenschutzerklärung auf Niederländisch zur Verfügung stellte, wodurch viele junge Nutzer die Datenverarbeitungsmethoden des Unternehmens nicht verstehen konnten. Im Jahr 2023 erhielt TikTok dann eine Geldstrafe von 12,7 Millionen Pfund für die illegale Verarbeitung der Daten von 1,4 Millionen Kindern unter 13 Jahren ohne elterliche Zustimmung.

WhatsApp

Der beliebte Messaging-Dienst WhatsApp wurde im September 2021 von der irischen Datenschutzkommission (DPC) mit einer Geldstrafe von 225 Millionen Euro belegt. Grund für die Geldstrafe war die mangelnde Transparenz von WhatsApp bei der Verarbeitung von Nutzerdaten. Dieser Fall zeigt, dass selbst Unternehmen, die hauptsächlich kostenlose Dienste anbieten, mit erheblichen DSGVO-Bußgeldern rechnen müssen, wenn sie die Datenschutzgesetze nicht einhalten.

Google LLC

Im März 2020 verhängte die schwedische Datenschutzbehörde (DPA) eine Geldbuße von 7 Millionen Euro gegen Google LLC, weil das Unternehmen das Recht auf Vergessenwerden gemäß der DSGVO nicht eingehalten hatte. Die Geldbuße wurde verhängt, weil Google zwei Suchergebnisse, deren Löschung Einzelpersonen beantragt hatten, nicht ausreichend entfernt hatte. Dies zeigt, wie wichtig es ist, den Anfragen von Nutzern nach Datenlöschung nachzukommen.

CRITEO

Im Dezember 2020 verhängte die französische Datenschutzbehörde (CNIL) gegen CRITEO eine Geldstrafe von 225.000 Euro wegen Verstoßes gegen die DSGVO-Regeln zur Einwilligung in Cookies. Das Unternehmen wurde für schuldig befunden, weiterhin Werbe-Cookies auf den Computern der Nutzer platziert zu haben, nachdem diese ihre Einwilligung verweigert hatten.

HM

Im Rahmen einer der größten DSGVO-Bußgelder im Zusammenhang mit Mitarbeiterdaten wurde H&M im Oktober 2020 vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) mit einer Geldbuße von 35 Millionen Euro belegt. Grund für die Geldbuße war die unrechtmäßige Überwachung mehrerer hundert Mitarbeiter in H&Ms Nürnberger Service-Center.

Clearview KI

In einem richtungsweisenden Fall wurde Clearview AI, ein Unternehmen für Gesichtserkennung, im Januar 2022 von der italienischen Datenschutzbehörde (Garante) mit einer Geldstrafe von 20 Millionen Euro belegt. Dem Unternehmen wurde ein Verstoß gegen die DSGVO zur Last gelegt, da es biometrische Daten ohne Einwilligung der Nutzer sammelte. Dieser Fall zeigt, dass Unternehmen, die sensible biometrische Daten missbrauchen, mit Bußgeldern nach der DSGVO belegt werden können.

Steigen die Bußgelder im Zusammenhang mit der DSGVO?

Kurz gesagt: Ja, die Bußgelder im Zusammenhang mit der DSGVO sind durch eine schrittweise Steigerung sowohl der Häufigkeit als auch der Höhe der Strafen gekennzeichnet.

Nach der Umsetzung der DSGVO im Mai 2018 lag der Schwerpunkt der Durchsetzung zunächst eher auf der Sensibilisierung und Einhaltung der Vorschriften. In den Jahren 2019 und 2020 kam es jedoch zu einer deutlichen Zunahme der Durchsetzungsmaßnahmen, die durch hohe Bußgelder wie die 50-Millionen-Euro-Strafe der französischen CNIL gegen Google wegen unzureichender Datenschutzrichtlinien deutlich wurde.

Dieser Trend beschleunigte sich im Jahr 2021 weiter, wie die Geldbuße von 746 Millionen Euro gegen Amazon wegen Nichteinhaltung von Datenverarbeitungsstandards und mehrere hohe Geldbußen gegen Meta im Jahr 2022 zeigten, darunter eine Strafe von 225 Millionen Euro wegen Verstößen gegen die Datenschutzrichtlinien von WhatsApp.

Das Jahr 2023 markierte einen Wendepunkt in der DSGVO-Durchsetzung und brachte Rekordstrafen mit sich, die die Gesamtsumme auf über 1,6 Milliarden Euro ansteigen ließen. Ein bemerkenswertes Beispiel ist die beispiellose Geldbuße von 1,2 Milliarden Euro, die die irische Datenschutzkommission gegen Meta verhängte. Dieser dramatische Anstieg sowohl der Höhe als auch der Gesamtsumme der Bußgelder unterstreicht einen aggressiveren Ansatz bei der DSGVO-Durchsetzung und signalisiert das starke Engagement der Europäischen Union für den Datenschutz.

DSGVO-Konformität mit Exabeam

Die Aktualisierung von Datenschutzrichtlinien und -praktiken mag zwar entmutigend erscheinen, doch der Einsatz von Tools, die speziell zur Verbesserung der Ökosystem-Überwachung entwickelt wurden, trägt wesentlich zum Schutz sensibler Vermögenswerte und Informationen bei. Exabeam Security Operations Platform ermöglicht Datenschutzbeauftragten, alle Datenzugriffsaktivitäten effektiver zu überwachen und darauf zu reagieren und unterstützt Unternehmen dabei, sowohl die technologischen als auch die operativen Anforderungen der DSGVO zu erfüllen.

• Reduzierung externer Bedrohungen: Exabeam arbeitet mit bestehenden Sicherheitslösungen zusammen und nutzt KI-gesteuerte Verhaltensanalysen, um ungewöhnliche Aktivitäten zu identifizieren, die auf den Versuch eines Hackers hindeuten könnten, Daten zu finden und darauf zuzugreifen.
• Reduzierung interner Bedrohungen: Exabeam arbeitet mit Identitäts- und Zugriffsverwaltungslösungen zusammen, um Sicherheitsvorfälle zu verhindern, die durch versehentlichen oder böswilligen Missbrauch zugewiesener Berechtigungen entstehen. Durch die Kennzeichnung von Aktivitäten, die für einen bestimmten Benutzer nicht der Norm entsprechen, hilft Exabeam potenziellen Datendiebstahl zu erkennen.
• Übersicht und rechtzeitige Benachrichtigung: Exabeam fungiert nicht nur als zentraler Informationspunkt im Sicherheitsökosystem des Kunden, sondern bietet auch Forensik und eine genaue Visualisierung der Aktivitäten für eine bessere Compliance-Berichterstattung.

Im Rahmen der DSGVO-Konformität richtet Exabeam seine Sicherheitsmaßnahmen an handelsüblichen Zertifizierungen aus. Weitere Informationen zu Zertifizierungen und DSGVO-Konformität finden Sie auf der Exabeam des Exabeam Trust Center.