Direkt nach Inkrafttreten der DSGVO wurde vielerorts die große „Bußgeldwelle“ befürchtet. Diese blieb bekanntermaßen aus. Innerhalb des ersten Jahres wurden innerhalb Deutschlands zwar einige Fälle mit Bußgeldern sanktioniert, doch zeigten sich sowohl bei der Anzahl auch in der Höhe starke Unterschiede zwischen den Ländern. Die Aufsicht über den Datenschutz obliegt in Deutschland den Bundesländern, weshalb zunächst keine einheitliche Linie zu erkennen war.
Wer keine Gewinne macht, zahlt auch kein Bußgeld – oder?
Im Oktober 2019 einigte sich dann die Datenschutzkonferenz (DSK) als Zusammenschluss der Landesdatenschutzbeauftragten und des Bundesdatenschutzbeauftragten auf ein bundesweit geltendes Konzept zur Bußgeldbemessung. Hiernach wird, grob zusammengefasst, das Bußgeld am weltweiten Tagesumsatz festgemacht und anschließend mit einem Faktor zwischen 1 und 12, der für die Schwere des Verstoßes steht, multipliziert. So können bei Großkonzernen unabhängig vom Gewinn des Unternehmens Bußgelder in Millionenhöhe fällig werden.
Dies traf beispielsweise die Bekleidungskette H&M, bei welcher ein Bußgeld in Höhe von 35,2 Millionen Euro verhängt wurde. Wie herauskam, erhob H&M systematisch Daten über die privaten Lebensumstände der Beschäftigten eines Service-Centers in Nürnberg. Familienstreitigkeiten, Urlaubserlebnisse, religiöse Ansichten und vieles weiteres wurden in einer großen Datei gespeichert und zahlreichen Führungskräften zugänglich gemacht. Auf die ohnehin prekäre finanzielle Lage der Einzelhandelskette wurde bei der Bemessung des Bußgeldes keine Rücksicht genommen.
Wofür musste am meisten gezahlt werden…
Auffällig bei der Betrachtung der in Deutschland verhängten Bußgelder ist, dass ein großer Anteil aufgrund der unerlaubten Verarbeitung von Kundendaten angeordnet wurde. Dies betrifft im besonderen Umfang die sogenannten Cold-Calls, also unerwünschte Anrufe zu Werbezwecken. Hier wurden einige bekannte Unternehmen wie mobilcom-debitel oder Sky Deutschland mit Bußgeldern in Höhe von bis zu 250.000 Euro belegt.
…und wie viel?
Während in Deutschland das vorläufig höchste Bußgeld mit 35,2 Millionen Euro beziffert wurde, lohnt sich auch der Blick zu den europäischen Nachbarn. Frankreich verhängte in drei separaten Bußgeldern bislang Strafen in Höhe von 160 Millionen Euro allein gegen den Internetsuchdienst Google, die irische Datenschutzbehörde bat nach einem aufwendigen Verfahren den zum Meta-Konzern (vormals Facebook Inc.) gehörenden Messenger-Dienst „WhatsApp“ mit 225 Millionen Euro zur Kasse und das höchste europäische Bußgeld kommt ausgerechnet aus dem kleinsten Mitgliedsstaat: Die luxemburgische Aufsichtsbehörde bemaß eine Strafzahlung durch das Internetkaufhaus Amazon mit 746 Millionen Euro. Es bleibt abzuwarten, wann sich die deutschen Aufsichtsbehörden den Internetgiganten widmen…