DSGVO-Strafen in 2020: wofür Strafen verhängt werden und wie man sie vermeidet

Im Jahr 2020 wurden bislang bereits empfindliche DSGVO-Strafen und -Bußgelder verhängt. Mittlerweile ist es mehr als zwei Jahre her, seit die Datenschutzgrundverordnung (DSGVO) in der EU und im Europäischen Wirtschaftsraum umgesetzt wurde. Die Bußgelder und Strafen, die Datenschutzbehörden in der EU im Rahmen der DSGVO verhängt haben, zeigen, welche Länder am meisten gegen die DSGVO verstoßen. Auch die Gesamtstrafe der EU-Länder seit Jahresbeginn (2020) ist interessant.

DSGVO-Strafen zeigen: Datenschutz wird ernst genommen

Wir haben die Daten aus dem BIPR Enforcement Tracker, einer Bußgelder Datenbank, gezogen. Die Strafen und Geldbußen datieren 2020. Nicht alle Geldstrafen werden öffentlich gemacht, daher bleibt das Ranking auf öffentlich die zugänglichen Geldbußen beschränkt.

Das Strafmaß

Die gesamten DSGVO-Strafen belaufen sich auf 60.181.250 Euro. Die häufigste Verletzung der DSGVO ist die unzureichende Rechtsgrundlage für die Datenverarbeitung. Das Land mit den meisten Verstößen gegen die DSGVO ist Spanien mit 76 Fällen von DSGVO-Strafen. Italien ist mit 45,6 Mio. EUR das Land mit der höchsten DSGVO-Strafe.

EU‑Länder nach DSGVO-Strafen im Jahr 2020
Rang Land Strafsumme Anzahl Strafen
1 Italien 45.609.000,00 Euro 13
2 Schweden 7.031.800,00 Euro 4
3 Niederlande 2.080.000,00 Euro 3
4 Spanien 1.952.810,00 Euro 76
5 Deutschland 1.240.000,00 Euro 1
6 Norwegen 742.060,00 Euro 8
7 Belgien 717.000,00 Euro 7
8 Ungarn 299.300,00 Euro 6
9 Finnland 200.500,00 Euro 4
10 Irland 115.000,00 Euro 2
Quelle

Fünf häufige Fragen zu DSGVO-Strafen

Wie hoch sind DSGVO-Strafen?

DSGVO-Strafen erreichen eine Höhe von bis 20 Millionen Euro. Teurer kann es werden, wenn die Verstöße von einem weltweit tätigen Unternehmen begangen werden. Hier kann die DSGVO-Strafe bis zu 4 Prozent des Umsatzes des Jahres betragen. Dieser betrag kann die 20 Millionengrenze übersteigen.

Wonach errechnet sich die Höhe von DSGVO Bußgeldern?

Es hängt vom Einzelfall ab. Bei der Ermittlung der Höhe einer DSGVO-Strafe wird berücksichtigt: (vereinfacht und zusammengefasst)

  • Art, Schwere und Dauer des Verstoßes
  • Art, Umfangs und Zweck der Verarbeitung
  • Wie viele Personen sind von der Verarbeitung betroffenen?
  • Wie hoch ist der erlittene Schaden?
  • Geschah der Verstoß vorsätzlich oder fahrlässig?
  • Welche Maßnahmen zur Minderung des Schadens wurden vom Verantwortlichen oder dem Auftragsverarbeiter getroffen
  • Wie ist der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters?
  • Gab es frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters gegen die DSGVO?
  • Wie verlief die Zusammenarbeit mit der Aufsichtsbehörde?
  • Welche Kategorien personenbezogener Daten sind von dem Verstoß betroffen?
  • Wie wurde der Verstoß der Aufsichtsbehörde bekannt?
  • Gab es früher Maßnahmen gemäß Artikel 58 Absatz 2 gegen den Verantwortlichen oder Auftragsverarbeiter zum selben Gegenstand und wurden diese eingehalten?
  • Wurden genehmigte Verhaltensregeln nach Artikel 40 oder genehmigte Zertifizierungsverfahren nach Artikel 42 eingehalten?
  • Gab es durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste?

Welche Unternehmen treffen die DSGVO-Strafen ganz besonders?

Man gewinnt den Eindruck, dass derzeit besonders große Unternehmen im Visier der Behörden stehen. Nachdem aber auch kleine und mittlere Unternehmen DSGVO-Strafen erhielten, sollte ein jedes Unternehmen wachsam sein.

Können DSGVO-Strafen gegen Behörden verhängt werden?

Die Bundesrepublik Deutschland hat von ihrer Wahlmöglichkeit Gebrauch gemacht und entschieden, dass gegen Behörden keine DSGVO-Strafen verhängt werden können. Dies findet sich in § 43 Absatz 3 des Bundesdatenschutzgesetzes.

Wie kann man DSGVO-Strafen vermeiden?

Für den Bereich der Online-Plattformen und der daran angeschlossenen innerbetrieblichen Arbeitsprozesse ist eine Abstimmung aller Planungen und Umsetzungen von Veränderungen an der Plattform und an den Arbeitsprozessen mit dem Datenschutzbeauftragten sowie mit der ausführenden technischen Agentur wichtig. Es muss unter anderem klar dokumentiert werden,

  • welche Daten bei einzelnen Prozessschritten anfallen,
  • wo diese gespeichert werden,
  • wer im Rahmen der Verarbeitung Zugang zu den Daten hat,
  • wer sonstigen Zugang zu den Daten hat,
  • wie Zugriffe protokolliert werden.

Wenn Sie unsicher sind, wie Daten auf Ihren Online-Plattformen gehändelt werden, fragen Sie uns nach einer Analyse. Wir dokumentieren den Sachstand gerne und schaffen für Sie so eine gute Grundlage für Planungsmaßnahmen.

Rufen Sie mich jetzt an: +49 6131 / 30 292-13

Ihr Hans-Jürgen Schwarzer