Bußgelder bei Verstoß gegen Datenschutzrecht

Der Beitrag zeigt, welche Bußgelder (wofür und in welcher Höhe) bislang verhängt wurden und wie die Praxis der zuständigen Behörden hierzu aussieht.

Die Einführung der neuen Datenschutz-Grundverordnung ("DS-GVO") hatte letztes Jahr für einige Verunsicherung gesorgt, die teilweise immer noch anhält.

Bei besonders schwerwiegenden Verstößen beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder - im Fall eines Unternehmens - bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert höher ist.

Es ist insofern nachvollziehbar, dass sich Verantwortliche fragen, wie die Praxis der Datenschutzbehörden bei der Verhängung von Bußgeldern aussieht.

Anders als in anderen Mitgliedstaaten der EU werden Bußgelder in Deutschland nicht veröffentlicht. Man kommt daher nur an Zahlen, wenn man die einzelnen Behörden anschreibt und um Auskunft bittet. Teilweise veröffentlichen einzelne Behörden Fälle auf ihrer Webseite.

Es scheint so zu sein, dass bislang insgesamt etwa 100 Bußgelder in Deutschland verhängt wurden. Die Gesamtsumme dieser Bußgelder betrug etwa eine halbe Million Euro.

In Hamburg sind etwa 2-3 Fälle bekannt geworden mit einem Gesamtvolumen von etwa 25.000 Euro.

Was wurde bestraft?

Die Behörden haben sehr verschiedene Verstöße geahnet. Die Palette reicht von der wiederholten Versendung einer Email mit offenem Verteiler über unzureichende Schutzmaßnahmen vor Hackerangriffen bis zu unzulässigen Werbe-Emails und Videoüberwachung.

Beispiele:

Der baden-württembergische Datenschutzbeauftragte hatte gegen ein soziales Netzwerk ein Bußgeld in Höhe von 20.000 Euro verhängt, weil es Passwörter von Nutzern unverschlüsselt gespeichert hatte. Dies führte dazu, dass bei einem Hackerangriff rund 800.000 Email-Adressen sowie mehr als 1,8 Mio Pseudonyme und Passwörter "erbeutet" und im Internet veröffentlicht wurden.

Ein Polizeibeamter in Baden-Württemberg hat Halterdaten einer privaten Zufallsbekanntschaft abgefragt und die Mobiltelefonnummer seiner "Angebeteten" herausgefunden. Dies alles ohne dienstliche Veranlassung oder Einwilligung der Umworbenen. Der Datenschutzbeauftragte des Landes hatte daraufhin ein Bußgeld iHv EUR 1.400,00 verhängt, das mittlerweile bestandskräftig ist.