RSS FeedsTwitterEnglish Version
DSGVO
Datenpannen
Bußgelder

Rückblick DSGVO-Bußgeldverfahren und Datenpannen 2021

Rückblick DSGVO-Bußgeldverfahren und Datenpannen 2021
Datum09. März 2022

Im Jahr 2021 gab es wieder Einiges an Momentum im europäischen und deutschen Datenschutz. So begannen Aufsichtsbehörden im Juni, Datenübermittlungen in die USA zu überprüfen, nachdem das „Schrems II“-Urteil des EuGHs vom 16. Juli 2020 das Privacy-Shield- Abkommen mit den USA für nichtig erklärt hatte. Dazu hat die EU neue Standarddatenschutzklauseln (SCC) veröffentlicht. In Deutschland trat zum 1. Dezember das TTDSG in Kraft.

Auch die Aufsichtstätigkeit der europäischen Datenschutzbehörden hat neue Rekorde gesetzt. So überstieg die Gesamtsumme der verhängten Bußgelder erstmals 1 Mrd. EUR. Ebenfalls erging mit dem von der luxemburgischen Aufsichtsbehörde CNPD verhängten 746 Mio. EUR Bußgeld gegen Amazon Europe Core S.r.l. das bis dato höchste Bußgeld auf Grundlage der DSGVO.

Nach Auffassung der CNPD hatte Amazon bei der Ausgestaltung des Mechanismus, der dafür verantwortlich ist, welche Werbung Nutzern angezeigt wird, in eklatanter Weise gegen geltendes Datenschutzrecht verstoßen. Das Verfahren war bereits 2018 von der französischen Bürgerrechtsorganisation „La Quadrature du Net“ initiiert worden. Amazon hatte angekündigt, Rechtsmittel gegen die Entscheidung einlegen zu wollen. Entsprechend ist der Bescheid zum gegenwärtigen Zeitpunkt noch nicht rechtskräftig. Da sich die CNPD nicht selbst zu Einzelfällen äußern darf, sind nur wenige Details zum Fall bekannt.

Auch die deutschen Datenschutzbehörden waren 2021 aktiv. Wie schon die letzten Jahre hat das DSGVO-Portal bei ihnen nachgefragt, welche Bußgelder verhängt sowie wie viele Verarbeitungsverbote bzw. -beschränkungen ausgesprochen und Datenpannenmeldungen registriert wurden. Bis auf den Landesbeauftragten für Datenschutz und Informationssicherheit Mecklenburg-Vorpommern und das Bayerische Landesamt für Datenschutzaufsicht haben uns alle Behörden Auskunft erteilt (s.u. für eine genaue Übersicht).

Niedrigere Bußgelder als im Vorjahr

Von den deutschen Behörden wurden im Laufe des vergangenen Jahres 373 Bußgelder mit einem Gesamtbetrag in Höhe von über 2,11 Mio. EUR verhängt (da nicht alle Behörden sich zur Höhe der Bußgelder geäußert haben, ist diese Zahl als Untergrenze zu verstehen). Mit 72 Bescheiden stand die Thüringer Aufsicht an der Spitze. Auf Platz zwei und drei folgten Nordrhein-Westfalen (57) und Niedersachsen (42).

Vergleicht man diese Zahlen mit denjenigen des Vorjahres, so wird deutlich, dass zwar die Zahl der deutschen Bußgelder zugenommen, deren Gesamthöhe allerdings merklich abgenommen hat. Die 284 Sanktionen aus dem Jahr 2020 beliefen sich noch auf eine Höhe von über 48 Mio. EUR. Ebenso fällt auf, dass 2021 spektakuläre Entscheidungen aufseiten der deutschen Aufsichtsbehörden – wie 2020 z.B. die Bußgelder gegen H&M (33,5 Mio. EUR) und notebooksbilliger.de (10,4 Mio. EUR) – ausblieben. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit hat im Jahr 2021 wiederum keinen einzigen Bußgeldbescheid ausgestellt.

Das höchste der Bußgelder aus 2021 verhängte mit 901 Tsd. EUR dabei erneut die Aufsichtsbehörde in Hamburg. Sanktioniert wurde der Energieversorger Vattenfall Europe Sales GmbH wegen Verstößen gegen Art. 12 Abs. 1 DSGVO und Art. 13 DSGVO. Vattenfall hatte zwischen August 2018 und Dezember 2019 die Daten von 500 Tsd. Kunden mit früheren Vertragsbeziehungen abgeglichen, ohne die Betroffenen auf transparente Weise darüber zu informieren. Die Abgleiche standen mit Sonderverträgen im Zusammenhang, welche der Neukundenwerbung dienten und mit lukrativen Wechselboni für die Kunden einhergingen. Mit ihnen sollte ausgeschlossen werden, dass die Interessenten derartige Verträge regelmäßig wiederholt in Anspruch nahmen – d.h. den Vertrag abschlossen, den Bonus erhielten, kündigten, erneut den Vertrag schlossen usw. –, so dass diese Verträge für Vattenfall ggf. sogar zum Verlustgeschäft wurden.

Platz zwei im Ranking belegte 2021 das 300 Tsd. EUR Bußgeld der baden-württembergischen Datenschutzbehörde gegen den Fußballverein VfB Stuttgart 1893 AG. Der Club war seiner Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nicht nachgekommen. Komplettiert wird das Treppchen von einem 200 Tsd. EUR Bußgeld der niedersächsischen Aufsicht. Da deutsche Behörden die Bußgeldbescheide in der Regel nicht veröffentlichen und auch Pressemitteilungen bis auf wenige Ausnahmen nicht erfolgen, sind bislang leider keine weiteren Details zu Letzterem bekannt.

Die meisten Bußgelder bewegten sich in vier- oder niedriger fünfstelliger Höhe. Zu den am häufigsten geahndeten Verstößen zählten die unrechtmäßige Verarbeitung von Daten (Art. 5 und 6 DSGVO), etwa durch unzulässige Videoaufzeichnungen, Datenbankabfragen oder Übermittlungen an Dritte, Verletzungen der Auskunfts- und Informationspflichten (Art. 12 bis 15 DSGVO) sowie unzulängliche technische und organisatorische Sicherheitsmaßnahmen (Art. 32 DSGVO). Dabei fällt auf, dass – wie bereits 2020 – in mehreren Fällen Polizeibeamte aufgrund von unzulässigen Abfragen aus der Polizeidatenbank sanktioniert wurden.

Aus unseren Anfragen geht zudem hervor, dass die deutschen Aufsichtsbehörden 2021 mehrere Beschränkungen bzw. Verbote von Datenverarbeitungen nach Art. 58 Abs. 2 lit. f DSGVO verfügt hatten. Am interessantesten ist hier eine – leider nicht weiter spezifizierte – Maßnahme, welche die Hamburger Datenschutzbehörde gegen Facebook Ireland Limited durchgeführt hat.

Vergleich mit anderen EU-Staaten

Spannend wird es, vergleicht man die Tätigkeit der deutschen Behörden mit der Bußgeldpraxis anderer großer EU-Staaten, insbesondere von Frankreich, Italien und Spanien.

Letztes Jahr hatten wir noch darüber berichtet, dass im ca. 36 Mio. Einwohner zählenden Spanien mit insgesamt 152 Bußgeldern – gerechnet pro Kopf – ähnlich viele Sanktionen wie in Deutschland verhängt worden waren. 2021 nahm die Aktivität der spanischen Aufsichtsbehörde AEPD im Gegensatz zur deutschen Seite allerdings deutlich zu: 242 Bußgelder wurden ausgestellt. Obwohl sich die allermeisten davon wieder im niedrigen vier- oder fünfstelligen Bereich bewegen, ergingen gegen das Telekommunikationsunternehmen VODAFONE ESPAÑA (8,15 Mio. EUR), den Supermarktbetreiber MERCADONA (2,52 Mio. EUR), das Energieunternehmen EDP (EDP ENERGÍA): 1,5 Mio. EUR, EDP COMERCIALIZADORA: 1,5 Mio. EUR) sowie gegen die Finanzdienstleister CAIXABANK PAYMENTS & CONSUMER EFC (3 Mio. EUR) und EQUIFAX IBÉRICA (1 Mio. EUR) eine Reihe von Sanktionen in Millionenhöhe. In anderen Worten: 2021 übertraf die spanische AEPD die deutschen Behörden in der Höhe der ausgestellten Bußgeldbescheide – und relativ zur Einwohnerzahl auch in der Gesamtzahl der Sanktionen – erheblich.

Die italienische Datenschutzbehörde GPDP verhängte in 2021 insgesamt 82 Bußgelder – eine deutliche Steigerung zum Vorjahr mit 45 Verfahren. Darunter befanden sich auch mehrere Sanktionen in Multimillionenhöhe. Zu diesen zählten die Bußgelder gegen die Energiekonzerne Enel Energia (26,5 Mio. EUR) und Iren Mercato (2,86 Mio. EUR), gegen das Telekommunikationsunternehmen Fastweb (4,5 Mio. EUR), gegen den Pay-TV-Anbieter Sky Italia (knapp 3,3 Mio. EUR) sowie gegen die Lieferdienste Foodinho (2,6 Mio. EUR) und Deliveroo Italy (2,5 Mio. EUR). Zudem wurden mehrere öffentliche Stellen mit Geldstrafen sanktioniert, darunter erneut die Stadtverwaltung Roms (800 Tsd. EUR) sowie verschiedene Gemeinden des Landes. Anders als in Italien oder den nordischen Staaten werden Datenschutzverstöße staatlicher Institutionen in einigen EU-Ländern (wie etwa Frankreich) nicht mit Bußgeldern belegt.

Auch mit Blick auch Frankreich setzt sich das Muster der letzten Jahre fort. So stellte die französische Aufsichtsbehörde CNIL 2021 mit nur 18 zwar vergleichsweise wenige Bußgeldbescheide aus, jedoch befanden sich darunter einige der höchsten Bußgelder, die EU-weit verhängt wurden. Diese richteten sich mit Google (GOOGLE LLC: 90 Mio. EUR, GOOGLE IRELAND LIMITED: 60 Mio. EUR) und Facebook (FACEBOOK IRELAND LIMITED: 60 Mio. EUR) wieder gegen führende US-amerikanische Technologiekonzerne. Schon 2020 hatte die CNIL mit ihren Entscheidungen gegen Google (Google LLC: 60 Mio. EUR, Google Ireland Limited: 40 Mio. EUR) und Amazon Europe Core (35 Mio. EUR) die höchsten Bußgelder der gesamten EU verhängt. Andere beachtenswerte Sanktionen in Millionenhöhe betrafen den Einrichtungskonzern IKEA (1 Mio. EUR) und die Versicherung SGAM AG2R LA MONDIALE (1,75 Mio. EUR).

In unserem vorigen Jahresrückblick hatten wir in der Tätigkeit der deutschen Aufsichtsbehörden noch den begrüßenswerten Trend bestätigt gesehen, dass immer mehr Bürger sich der Rechte an ihren Daten bewusstwerden und die Möglichkeiten der DSGVO nutzen. Vor diesem Hintergrund erscheint die deutsche Datenschutzbilanz für 2021 gerade auch im Vergleich zu den Institutionen anderer großer EU-Staaten etwas ernüchternd. Während sich dort trotz der COVID19-Pandemie der Trend hin zu mehr und höheren Bußgeldern fortzusetzen schien, ging die Sanktionshöhe auf deutscher Seite trotz der gestiegenen Anzahl der Bußgelder wahrnehmbar zurück.

Datenpannen

Im Jahr 2021 wurden deutlich weniger Datenpannen gemäß Art. 33 DSGVO an die deutschen Aufsichtsbehörden gemeldet als noch im Rekordjahr 2020. Während damals mehr als 26 Tsd. Meldungen registriert wurden, beliefen sich diese 2021 lediglich auf 13.890 (da zum Zeitpünkt der Veröffentlichung dieses Artikels nicht von allen Aufsichtsbehörden Statistiken zu gemeldeten Datenpannen vorlagen, ist auch diese Zahl als Untergrenze zu verstehen). Die meisten Pannen wurden dabei in Baden-Württemberg verzeichnet (3136), gefolgt von Hessen (2016) und Niedersachsen (1658). Wie schon 2020 standen viele davon mit dem Falschversand von Dokumenten, Hackerangriffen, Datenverlust oder technischen Mängeln im Zusammenhang.

Ausblick

Im laufenden Jahr wird eine endgültige Entscheidung bzgl. des luxemburgischen Rekordbußgelds gegen Amazon erwartet. Der Konzern hatte die Entscheidung der Aufsichtsbehörde scharf kritisiert und die Einlegung von Rechtsmitteln angekündigt. Bereits am 17. Dezember 2021 hatte das Verwaltungsgericht des Großherzogtums Luxemburg die von der Datenschutzbehörde an Amazon erteilte Anordnung, seine Datenschutzpraxis bis zum 15. Januar 2022 anzupassen, aufgrund unklarer Formulierungen suspendiert. Zum eigentlichen Bußgeld hatte sich das Gericht damals aber nicht geäußert.

Übersicht nach Aufsichtsbehörden

 

Aufsichtsbehörde Bußgelder Gesamt in € Datenpannen
Baden-Württemberg 14 319.700 3.136
Bayern (nicht-öffentl. Bereich) n.a. n.a. n.a.
Bayern (öffentl. Bereich) 0 0 n.a.
Berlin 23 133.350 1.163
BfDI 0 0 n.a.
Brandenburg 23 13.430 510
Bremen 5 n.a. 196
Hamburg 18 1.053.348,84 783
Hessen 29 n.a. 2016
Mecklenburg-Vorpommern n.a. n.a. n.a.
Niedersachsen 42 269.675 1.658
Nordrhein-Westfalen 57 n.a. 1.637
Rheinland-Pfalz 16 87.850 815
Saarland 16 36.330 499
Sachsen 38 15.800 923
Sachsen-Anhalt 16 108.380 273
Schleswig-Holstein 4 14.000 n.a.
Thüringen 72 61.325 281
Gesamt 373 2.113.118,84 13.890