DSGVO Geldbußen: Sie haben sicherlich von Unternehmen gehört, gegen die Millionen Geldbußen verhängt wurden, weil sie nicht DSGVO-gesetzeskonform waren. Tatsächlich können diese Sanktionen schwerwiegende Folgen für Unternehmen jeder Größe haben.
Es geht nicht nur um den Geldwert der Sanktion, sondern auch um den damit verbundenen Reputationsschaden.
In diesem Beitrag gehen wir auf die bisher höchsten Geldbußen der DSGVO ein, um Ihnen zu zeigen, welche Kriterien Europäische Datenschutzbehörden bei der Bewertung von Verstößen gegen die DSGVO berücksichtigen.
Aber lassen Sie uns zuerst kurz zusammenfassen…
Geldbußen bei Nichteinhaltung können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen (je nachdem, welcher Betrag höher ist).
Nutzer haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten nicht DSGVO-konform war, und Schadenersatz zu verlangen.
Darüber hinaus können diese Sanktionen auch amtliche Verweise (bei erstmaligen Verstößen), regelmäßige Daten und Haftungsschäden umfassen.
Gehen wir die bisher größten Geldbußen der DSGVO durch.
Die größte Geldbuße der Luxemburgischen Datenschutzbehörde wurde am 16. Juli 2021 verhängt. Die DPA verhängte eine Geldbuße von 746 Millionen Euro gegen Amazon Europe, nachdem der französische Konzern La Quad rature du Net eine Reihe von 10.000 Beschwerden eingereicht hatte.
Die Überwachungsbehörde stellte fest, dass Amazon zielgerichtete Werbung ohne angemessene ConS der Nutzer zeigte.
Am 5. September 2022 verhängte Irlands Daten Kommission eine 405 Millionen Euro Geldbuße gegen Meta Platforms, Inc.
Der DPC untersuchte die Verarbeitung Personenbezogener Daten von Kindern und stellte fest, dass das Unternehmen E-Mail-Adressen und/oder Telefonnummern von Kindern mithilfe der Instagram-Funktion für Geschäftskonten öffentlich preisgab.
👉 Möchten Sie mehr Details zu dieser Geschichte? Überprüfen Sie unseren Blog!
Am 4. Januar 2023 verhängte die irische Datenschutzkommission eine weitere Geldbuße in Höhe von 390 Millionen Euro gegen Meta Ireland Limited.
Nachdem das Europäische Zentrum für digitale Rechte (NOYB) drei verschiedene Beschwerden eingereicht hatte, kam der DPC zu dem Schluss, dass die Verarbeitung auf der Grundlage eines Vertrags über Personalisierte Anzeigen nicht DSGVO-konform ist. Meta stützte sich auf eine ConS in ihren AGB, um seinen Nutzern Personalisierte Anzeigen anzuzeigen.
👉 Diese Geschichte ist viel komplizierter als diese. Wir haben versucht, hier etwas Licht in unseren Artikel zu bringen.
Am 25. November 2022 verhängte Irlands DPC eine Geldbuße von 265 Millionen Euro gegen Meta.
Die DPA leitete im April 2021 eine Untersuchung ein, nachdem Medienberichten zufolge Facebooks Daten im Internet verfügbar gemacht worden waren. Diese Daten verletzten die personenbezogene Informationen von 533 Millionen Nutzern.
Meta wurde zu einer Geldbuße verurteilt, weil sie nicht mit den in der DSGVO festgelegten Grundsätzen Privacy by Design und Privacy by Default übereinstimmte.
Am 2. September 2021 verhängte die irische Datenschutzkommission eine Geldbuße in Höhe von 225 Millionen Euro gegen WhatsApp Ireland als Abschluss einer Untersuchung, die 2018 begonnen hatte.
WhatsApp habe den Transparenzgrundsatz der DSGVO nicht eingehalten und die Nutzer nicht ausreichend über seine Verarbeitungstätigkeiten und die Rechtsgrundlage informiert.
Am 19. Januar 2023 verhängte der DPC eine weitere Geldbuße in Höhe von 5,5 Millionen Euro.
Erfahren Sie hier mehr.
Am 31. Dezember 2021 verhängte die CNIL eine 90 Millionen Euro Geldbuße gegen GOOGLE LLC, da diese nicht dem französischen Datenschutzgesetz entsprach.
Insbesondere stellte das CNIL fest, dass YouTube Nutzer Cookies nicht so einfach Ablehnen wie Zustimmen konnten. Neben der Geldbuße erhielt Google LLC drei Monate Zeit, um das Aussehen und die Funktionsweise seines Cookie-Banners zu ändern.
Die CNIL verhängte eine kleinere Geldbuße von 60 Millionen Euro an Google Ireland Ltd.
Der Grund war immer der gleiche wie oben, aber es verwies auf die Website google.fr.
Am selben Tag, dem 31. Dezember 2021, verhängte die CNIL auch eine Geldbuße von 60 Millionen Euro gegen Facebook Ireland.
Der Grund war derselbe: Facebook Nutzer könnten Cookies nicht so einfach Ablehnen wie Zustimmen.
Am 19. Januar 2019 verhängte CNIL nach einer Reihe von Beschwerden des Europäischen Zentrums für digitale Rechte (NOYB) und von La Quadrature du Net eine Geldbuße von 50 Millionen Euro gegen Google LLC.
Hauptgrund für diese Geldbuße waren mangelnde Transparenz, unbefriedigende Informationen und fehlende gültige ConS. Nutzer hatten nicht genügend Informationen über die Verarbeitung ihrer Personenbezogenen Daten.
Dies war eine der ersten hohen Geldbußen nach DSGVO.
Am 1. Oktober 2020 verhängte der Hamburger Beauftragte für Daten und Informationsfreiheit eine Geldbuße von 35,2 Millionen Euro gegen H&M.
Seit mindestens 2014 wurden Teile der Beschäftigten ausführlich über ihr Privatleben erfasst. Diese Daten – wie Urlaubs-Nutzererfahrungen, aber auch Krankheitssymptome und Diagnosen – wurden dann erfasst, gespeichert und für Entscheidungen über ihre Beschäftigung genutzt.
Der DPA wurde dieser Verstoß nur bekannt, weil die Daten aufgrund eines technischen Fehlers für einige Stunden für alle im Unternehmen zugänglich waren.
Obwohl diese Sanktionen enorm sind, gibt es auch kleinere Geldbußen, die jeden Tag verhängt werden. Europäische Datenschutzbehörden überwachen die Einhaltung der DSGVO sehr aktiv.
Hier sind die 10 wichtigsten EU-Länder mit der höchsten Anzahl an bisher verhängten Geldbußen der DSGVO:
Ja, das kann passieren. Natürlich wird Ihr kleines Unternehmen wahrscheinlich keine so hohe Geldbuße wie die oben genannten erhalten, aber schon ein geringerer Betrag kann Ihre Prozesse wirklich beeinflussen.
Vergessen Sie auch nicht, dass eine Geldbuße nicht die einzige Folge von Verstößen ist: Amtliche Verweise, regelmäßige Daten und Haftungsschäden können ebenso beängstigend sein wie eine Geldbuße. Ganz zu schweigen vom Rufschaden, den eine Sanktion der DSGVO verursachen kann.
Aber keine Sorge! Die Einhaltung der DSGVO muss nicht schwierig sein.