Rückblick DSGVO-Bußgeldverfahren und Datenpannen 2022
28. Februar 2023Die Aufsichtstätigkeit der europäischen Datenschutzbehörden setzte im Jahr 2022 wiederholt neue Rekorde. So überstieg die Gesamtsumme der verhängten Bußgelder nicht nur die 1 Mrd. EUR, sondern überbot diese Marke mit 1,64 Mrd. EUR um knapp 50 Prozent. Das höchste Bußgeld wurde gegen den Facebook-Konzern Meta verhängt. Aufgrund diverser Verstöße gegen die DSGVO im Bereich personalisierter Werbung legte die irische Datenschutzbehörde DPC gegen Facebook und Instagram Bußgelder in Höhe von 210 und 180 Millionen EUR fest.
Aber auch die deutschen Datenschutzbehörden waren 2022 aktiv. Wie auch in den Vorjahren hat das DSGVO-Portal bei ihnen nachgefragt, welche Bußgelder verhängt sowie wie viele Verarbeitungsverbote bzw. -beschränkungen ausgesprochen und Datenpannenmeldungen registriert wurden. Bis auf die Behörde Mecklenburg-Vorpommern haben uns alle Behörden Auskunft erteilt (s.u. für eine detaillierte Übersicht).
Höhere Bußgelder als im Vorjahr
Von den deutschen Datenschutzbehörden wurden im Laufe des vergangenen Jahres 453 Bußgelder in Höhe von insgesamt 5,8 Mio. EUR verhängt (da nicht alle Behörden sich zur Höhe der Bußgelder geäußert haben, ist diese Zahl als Untergrenze zu verstehen). Mit 113 verhängten Bußgeldern stand 2022 Hessen an der Spitze. Dahinter reihte sich Nordrhein-Westfalen (85) ein, den dritten Platz belegt Niedersachsen (44).
Im Vergleich mit den Zahlen von 2021 fällt auf, dass die Zahl der deutschen Bußgelder wieder leicht anstieg, deren Gesamthöhe aber (wieder) deutlich zugenommen hat. Obwohl die Gesamtsumme der Bußgelder aus 2022 nicht an den Rekord von über 48 Mio. EUR aus 2020 herankommt, bedeutet sie im Vergleich zu den 2,11 Mio. EUR aus 2021 nichtsdestotrotz einen Zuwachs von 175 Prozent. Zwei Entscheidungen überschritten dieses Jahr die Millionengrenze, spektakuläre Bußgelder wie in 2020 gegen H&M (33,5 Mio. EUR) und notebooksbilliger.de (10,4 Mio. EUR) jedoch blieben aus.
Das höchste der Bußgelder aus 2022 verhängte mit 1,9 Mio. EUR die Aufsichtsbehörde aus Bremen. Die Sanktion richtete sich gegen die Wohnungsbaugesellschaft BREBAU GmbH wegen Verstößen gegen Art. 5 Abs. 1 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO, Art. 12 Abs. 1 DSGVO sowie Art. 15 DSGVO. BREBAU hatte Daten von mehr als 9.500 Mietinteressentinnen und -interessenten verarbeitet, ohne dass es dafür eine Rechtsgrundlage gab. So wurden z.B. Informationen über die Haarfrisur, den Körpergeruch und das persönliche Auftreten festgehalten. In mehr als der Hälfte der Fälle wurden sogar besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO verarbeitet. Rechtswidrig verarbeitet wurden insbesondere Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand.
Platz zwei im Ranking belegte 2022 das 1,1 Mio. EUR Bußgeld der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegen Volkswagen wegen Verstößen gegen Art. 13 DSGVO, Art. 28 DSGVO, Art. 30 DSGVO sowie Art. 35 DSGVO. Das Bußgeld stand mit der Erprobung eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen durch einen von Volkswagen beauftragten Dienstleister im Zusammenhang. Die LfD Niedersachsen hatte Ermittlungen gegen den Autohersteller aufgenommen, nachdem eines der für die Probefahrten eingesetzten Fahrzeuge 2019 in eine Verkehrskontrolle der österreichischen Polizei geraten war. An dem kontrollierten Wagen waren keine Schilder angebracht worden, die auf die Kameras der Assistenzsysteme und die mit dem Kameraeinsatz einhergehende Datenverarbeitung hinwiesen. Des Weiteren hatte Volkswagen die Tätigkeit des mit der Durchführung der Fahrten beauftragten Dienstleisters nicht in einem Vertrag über Auftragsverarbeitung geregelt und getroffene technische und organisatorische Sicherheitsmaßnahmen nicht ordnungsgemäß im Verzeichnis der Verarbeitungstätigkeiten dokumentiert. Auch eine Datenschutzfolgenabschätzung war nicht durchgeführt worden.
Die meisten Bußgelder bewegten sich 2022 allerdings wieder in vier- oder niedriger fünfstelliger Höhe. Wie auch im Vorjahr zählten zu den am häufigsten geahndeten Verstößen die unrechtmäßige Verarbeitung von Daten ( Art. 5 und 6 DSGVO), etwa durch unzulässige Videoaufzeichnungen, Datenbankabfragen oder Übermittlung an Dritte, Verletzungen der Auskunfts- und Informationspflichten ( Art. 12 bis 15 DSGVO) sowie unzulängliche technische und organisatorische Sicherheitsmaßnahmen (Art. 32 DSGVO). Erneut fällt auf, dass wie schon 2020 und 2021 in mehreren Fällen Polizeibeamte aufgrund von unzulässigen Abfragen der Polizeidatenbank sanktioniert wurden.
Aus unseren Anfragen geht außerdem hervor, dass die deutschen Aufsichtsbehörden 2022 in drei Fällen Beschränkungen bzw. Verbote von Datenverarbeitungen nach Art. 58 Abs. 2 lit. f DSGVO verfügt hatten. In Berlin erließ der Beauftragte für Datenschutz und Informationsfreiheit eine Anordnung gegen ein Immobilienunternehmen, welches unzulässigerweise Mieterdaten in einem Onlinespeicher bereitgestellt, und damit gegen Art. 6 Abs. 1 S. 1 DSGVO verstoßen hatte. Leider spezifizierten die anderen Behörden die Beschränkungen in ihren Mitteilungen nicht genauer.
Vergleich mit anderen EU-Staaten
Ebenfalls interessant ist der Vergleich zwischen der Tätigkeit der deutschen Behörden mit der Bußgeldpraxis anderer großer EU-Staaten. Exemplarisch haben wir dafür Frankreich, Spanien und Italien betrachtet.
Im Vorjahr berichteten wir über den Anstieg der Aktivität der spanischen Aufsichtsbehörde AEPD, und auch dieses Jahr zeichnet sich der Trend fort. 290 Bußgelder wurden ausgestellt, im Vergleich zu den 242 Bußgeldern von 2021 ein Anstieg von fast 20 Prozent. Zwar bewegte sich die Höhe der meisten Bußgelder ebenfalls im niedrigen vier- oder fünfstelligen Bereich, einige Ausnahmen gab es aber erneut. So verhängte die AEPD gegen den Tech-Giganten Google LLC (10 Mio. EUR), das Telekommunikationsunternehmen VODAFONE ESPAÑA (3,94 Mio. EUR), die ABANCA Corporación Bancaria, S.A. (3,0 Mio. EUR), in zwei Fällen gegen die CAIXABANK PAYMENTS & CONSUMER EFC (3,0 Mio. EUR) und die CAIXABANK S.A. ( 2,52 Mio. EUR) sowie AMAZON ROAD TRANSPORT SPAIN, S.L. (2,0 Mio. EUR) eine Reihe von Sanktionen in Millionenhöhe. Zusammengefasst lässt sich festhalten, dass die spanische AEPD die deutschen Behörden sowohl in der Höhe der ausgestellten Bußgeldbescheide, als auch in der Gesamtzahl der Sanktionen deutlich übertraf.
Auch die Sanktionstätigkeit der italienischen Datenschutzbehörde konnte einen deutlichen Zuwachs im Vergleich zum Vorjahr erzielen. Während 2021 noch 82 Bußgelder verhängt wurden, waren es 2022 nun 137 Verfahren. Darunter befanden sich erneut einige Verfahren in Multimillionenhöhe. So verhängte die Behörde Bußgelder gegen Clearview AI (20,0 Mio. EUR), Uber B.V. (2,12 Mio. EUR) sowie Uber Technologies Inc. (2,12 Mio. EUR), Alpha Exploration (2,0 Mio. EUR), Douglas Italia SpA (1,4 Mio. EUR) sowie Areti SpA (1,0 Mio. EUR). Erneut wurden auch verschiedene Gemeinden des Landes im Zusammenhang mit Verstößen während der Corona-Pandemie sanktioniert.
Auch mit Blick auf Frankreich lässt sich eine klare Linie erkennen. Obwohl die französische Aufsichtsbehörde CNIL 2022 nur 14 Bußgelder verhängte, waren diese vergleichsweise hoch angesetzt. Adressaten der Bußgeldbescheide waren beispielsweise Microsoft Ireland Operations Limited (60,0 Mio. EUR), Clearview AI (20,0 Mio. EUR), Dedalus Biologie (1,5 Mio. EUR) sowie TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE (1,0 Mio. EUR). Aber auch unterhalb der Millionenmarke gab es interessante Entscheidungen, wie etwa das Bußgeld gegen Discord Inc. (800 Tsd. EUR)
Im direkten Vergleich zu anderen großen EU-Staaten fallen die deutschen Aufsichtsbehörden etwas zurück, und folgen dem Vorjahrestrend mit rückläufigen Zahlen im europäischen Vergleich. Spektakuläre Bußgelder gegen große Konzerne bleiben eher die Seltenheit.
Datenpannen
Im Jahr 2022 wurden mit 21.170 Tsd. Meldungen erneut weniger Datenpannen gemäß Art. 33 DSGVO an die deutschen Aufsichtsbehörden übermittelt als noch im Rekordjahr 2020 (26 Tsd. Meldungen), dafür mehr als 2021 (13,89 Tsd. Meldungen). Da zum Zeitpunkt der Veröffentlichung dieses Artikels nicht von allen Aufsichtsbehörden Statistiken zu gemeldeten Datenpannen vorlagen, ist auch diese Zahl als Untergrenze zu verstehen. Wie schon 2021 wurden die meisten Pannen dabei in Baden-Württemberg verzeichnet (2.747), gefolgt von Hessen (1.754) und Niedersachsen (1.149). Ein Großteil der Datenpannen stand mit Hackerangriffen, Datenverlust, Falschversand von Dokumenten oder technischen Mängeln im Zusammenhang.
Auch wenn der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) 2022 erneut kein Bußgeld verhängt hat, so notierte er in seinem 31. Jahresbericht einen leichten Zuwachs bei den gemeldeten Datenpannen. Waren es 2021 noch 10.106, stieg diese Zahl 2022 auf 10.614. Grundsätzlich ist aber festzuhalten, dass nach den vielen Beschwerden zum Start der DSGVO das Interesse und der Beratungsbedarf etwas zurückgegangen ist.
Ausblick
Bereits zum Jahresbeginn gab das Bußgeld gegen Meta Platforms Ireland Ltd. (390 Mio. EUR) einen Vorgeschmack für das Jahr 2023. Es ist davon auszugehen, dass die Entscheidung eine Präzedenz für das weitere Vorgehen gegen Onlinedienste, welche sich über verhaltensbasierte Werbung finanzieren, geschaffen hat. Als Grundsatzentscheidung über eine der wichtigsten Streitfragen des europäischen Datenschutzes könnte sie zukünftige Entwicklungen maßgeblich beeinflussen.
Auch der Fall Clearview AI wird voraussichtlich noch nicht abgeschlossen sein. Nachdem gegen das US-Unternehmen bereits in Frankreich, Italien, Griechenland und Großbritannien Bußgelder in Millionenhöhe verhängt wurden, ist mit weiteren Bußgeldern durch andere europäische Behörden zu rechnen. Die Art. 55 und 56 DSGVO legen fest, dass für den Fall, dass ein Verantwortlicher mit Sitz außerhalb der EU bzw. des EWR eine grenzüberschreitende Verarbeitung durchführt, jedoch keine Hauptniederlassung oder gar keine Niederlassung in der Union besitzt, das Verfahren des One-Stop-Shops nach Art. 60 DSGVO nicht zur Anwendung kommt und folglich die nationalen Aufsichtsbehörden für die Überwachung der Einhaltung der DSGVO im eigenen Hoheitsgebiet zuständig sind. Sowohl in Deutschland als auch in Österreich drohen bereits Bußgelder - und es ist von weiteren auszugehen.
Auch die Entscheidung des EuGH gegen die Deutsche Wohnen steht noch aus. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte 2019 ein Bußgeld in Höhe von 15,4 Mio. EUR gegen das Unternehmen verhängt, nachdem dieses ausufernd Mieterdaten gespeichert hatte. Hiergegen hatte die Deutsche Wohnen Widerspruch eingelegt, was im Nachgang zur Aufhebung des Bußgeldbescheids führte. Ursächlich dafür war, dass Datenschutzverstöße in Deutschland bisher als Ordnungswidrigkeiten gelten und damit nur von natürlichen Personen begangen werden können - im Fall der Deutschen Wohnen wurde im Bescheid allerdings kein Nachweis des Verschuldens eines konkreten Unternehmensorgans erbracht. Gemäß dieser Rechtsauffassung wären Bußgelder gegen große Unternehmen in der Praxis sogut wie nicht möglich, da bei diesen ein Nachweis einer persönlichen Verursachung, etwa in der Unternehmensleitung, kaum erbracht werden kann. Entsprechend wird von der EhGH-Entscheidung erwartet, dass sie feststellt, dass Bußgelder gegen juristische Personen auch ohne einen zwingenden Nachweis des Veschuldens konkreter natürlicher Personen verhängt werden können, und dass dadurch die derzeit bestehende Diskrepanz zwischen deutschem und EU-Recht aufgelöst wird.
Übersicht nach Aufsichtsbehörden
| Aufsichtsbehörde | Bußgelder | Gesamt in € | Datenpannen |
|---|---|---|---|
| Baden-Württemberg | 19 | 145.950 | 2.747 |
| Bayern (nicht-öffentl. Bereich) | n.a. | n.a. | n.a. |
| Bayern (öffentl. Bereich) | 0 | 0 | n.a. |
| Berlin | 35 | 716.575 | 1.068 |
| BfDI | 0 | 0 | 10.614 |
| Brandenburg | 13 | 123.000 | 451 |
| Bremen | 21 | 2.075.820 | 162 |
| Hamburg | 15 | 60.473 | 859 |
| Hessen | 113 | 44.350 | 1.754 |
| Mecklenburg-Vorpommern | n.a. | n.a. | n.a. |
| Niedersachsen | 51 | 2.200.000 | 1.149 |
| Nordrhein-Westfalen | 85 | 80.350 | n.a. |
| Rheinland-Pfalz | 4 | n.a. | n.a. |
| Saarland | 11 | 135.550 | 543 |
| Sachsen | 16 | 11.600 | 790 |
| Sachsen-Anhalt | 13 | 182.035 | 287 |
| Schleswig-Holstein | 2 | 100 | 485 |
| Thüringen | 55 | 31.165 | 261 |
| Gesamt | 453 | 5.806.968 | 21.170 |
Der Artikel wurde am 23. März 2023 und am 24. April 2023 um nachgereichte Angaben der Aufsichtsbehörden Berlin und Hessen aktualisiert.