RSS FeedsTwitterEnglish Version
DSGVO
Bußgelder
Datenpannen

Rückblick DSGVO-Bußgeldverfahren und Datenpannen 2023

Datum06. März 2024

Rückblick DSGVO Bußgeldverfahren und Datenpannen

Das Jahr 2023 ist Vergangenheit – und es wird wieder Zeit, einen Blick auf die Bußgeldpraxis der Datenschutzaufsichtsbehörden zurückzuwerfen. Warum die Gesamtsumme aller europäischen Bußgelder vom Vorjahr deutlich übertroffen wurde und wie sich die deutschen Aufsichtsbehörden im Vergleich mit anderen EU-Staaten in puncto Bußgeldern schlagen – wir sind diesen Fragen auf den Grund gegangen.

Höhere Bußgelder als im Vorjahr

Im Jahr 2022 berichteten wir noch, dass die Gesamtsumme nicht nur die 1 Mrd. EUR überstieg, sondern diese Marke mit 1,64 Mrd. EUR um etwa 50 Prozent überboten hatte.

In diesem Jahr ist diese Zahl erneut gestiegen. Mit einer neuen Rekordsumme von 2,11 Mrd. EUR verzeichnen die europäischen Datenschutzbehörden erneut einen Zuwachs, diesmal in Höhe von ~29 %. Dabei ist zu beachten, dass wir bei der Abfrage unserer Datenbank nur Bußgelder erfassen, bei denen das Datum des Bescheids bekannt ist. Der Zeitraum der Abfrage ist der 01. Januar – 31. Dezember 2023.

In 2023 machte vor allem ein Unternehmen Schlagzeilen: Meta. Der US-amerikanische Internetkonzern, dem die sozialen Netzwerke Facebook, Instagram und Threads sowie die Instant-Messaging-Apps WhatsApp und Messenger gehören, fängt sich gleich zwei Bußgelder in Rekordhöhe ein.

Zum einen verhängte die irische Datenschutzbehörde am 12. Mai 2023 das zweithöchste Bußgeld aller Zeiten: 1,2 Mrd. EUR, wegen eines Verstoßes gegen Art. 46 Abs. 1 der DSGVO. Im Rahmen der Bereitstellung der Plattform Facebook übermittelte Meta Ireland personenbezogene Daten aus der EU/dem EWR an die Vereinigten Staaten.

Dabei wurde kein ausreichender Schutz gegen die damit verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleistet. Zuvor hatte der EuGH die Risiken einer Datenübermittlung in einem Urteil gegen Facebook bekräftigt.

Zum anderen hatte es bereits zum Jahresbeginn am 4. Januar 2023 ein Bußgeld für Meta gegeben, welches ebenfalls von der irischen Datenschutzbehörde verhängt worden war: 390 Mio EUR Strafe für einen Verstoß gegen Art. 6 DSGVO.

Die Behörde stellte fest, dass Meta Ireland nicht berechtigt war, sich auf die Rechtsgrundlage „Vertragserfüllung “(Art. 6 Abs. 1 lit. b DSGVO) im Zusammenhang mit der Bereitstellung von verhaltensbezogener Werbung als Teil seiner Facebook- und Instagram-Dienste zu berufen. Damit verstieß es gegen das geltende Datenschutzrecht.

Allein diese zwei Bußgelder lagen mit ihrer Gesamthöhe von 1,59 Mrd. EUR bereits nahe an der Vorjahressumme.  

Deutsche Bußgelder

Die deutschen Datenschutzbehörden verhängten im Laufe des vergangenen Jahres nur 357 Bußgelder in einer Höhe von rund 4,94 Mio. EUR. Da sich nicht alle Behörden zur Anzahl und Höhe der Bußgelder geäußert haben, ist diese Zahl als Untergrenze zu verstehen.

Im Vergleich zum Vorjahr zeichnet sich ein kleiner Rückgang der Höhe und ein deutlicher Rückgang der Anzahl der Bußgelder ab – 2022 waren es noch 453 Bußgelder und eine Gesamthöhe von 5,8 Mio. EUR.

Mit 64 verhängten Bußgeldern stand, gemessen an der Anzahl, in diesem Jahr Berlin an der Spitze. Dahinter liegt Sachsen mit 60, gefolgt von Bremen und Thüringen mit jeweils 32 verhängten Bußgeldern.

Das höchste Bußgeld verhängte das Bayerische Landesamt für Datenschutzaufsicht gegen ein unbekanntes Unternehmen in siebenstelliger Höhe.

Das zweithöchste der Bußgelder aus 2023 verhängte mit 300.000 EUR die Aufsichtsbehörde aus Berlin. Die Sanktion richtete sich gegen die Kreditkartenvergabepraxis einer Berliner Bank. Das in der Pressemitteilung der Berliner Datenschutzbehörde nicht benannte Finanzinstitut hatte zur Vergabe von Kreditkarten einen Algorithmus verwendet.

Dieser beruhte auf diversen Informationen, die Antragsteller in einem Online-Formular auf dessen Website eingeben mussten. Ein Betroffener hatte sich bei der Datenschutzbehörde über den Vorgang beschwert, nachdem sein Antrag trotz eines guten Schufa-Scores und eines regelmäßig hohen Einkommens ohne besondere Begründung abgelehnt wurde.

Platz drei im Ranking belegte 2023 ebenfalls ein Bußgeld aus Berlin - diesmal gegen die Humboldt Forum Service GmbH. In dem Unternehmen wurde tabellarisch eine Übersicht über alle Beschäftigten in der Probezeit erstellt, wobei die Weiterbeschäftigung von mehreren Personen offen als „kritisch“ oder „sehr kritisch“ eingestuft wurde. Als Gründe wurden sensible personenbezogene Daten, wie Inanspruchnahme einer Psychotherapie oder Interesse an der Gründung eines Betriebsrates, aufgeführt.

Außerdem bemängelte die Behörde die fehlende Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste und dass diese im Verarbeitungsverzeichnis nicht erwähnt wurden sowie die verspätete Meldung einer Datenpanne. Die Verstöße summierten sich schlussendlich zu einem Bußgeld in Höhe von 215.000 EUR.

Bußgelder der Bundesnetzagentur

In diesem Jahr haben wir neben den deutschen Datenschutzbehörden auch bei der Bundesnetzagentur nachgefragt. Zwar verhängt diese Behörde keine Bußgelder nach der DSGVO, jedoch betreffen die Bußgelder oft datenschutzrelevante Themen, wie unerlaubte Kontaktaufnahme zu Werbezwecken.

2023 verhängte die BNetzA acht Bußgelder mit einer Gesamthöhe von 1,43 Mio. EUR. Die meisten Fälle drehten sich um sogenannte Cold Calls, bei denen Verbraucherinnen und Verbraucher mit unerlaubten Werbeanrufen konfrontiert werden. Diese Anrufe stellen gemäß § 7 Abs. 2 Nr. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) eine unzumutbare Belästigung dar. Solche Belästigungen können gemäß § 20 Abs.1 Nr. 1 sowie Absätze 2 und 3 UWG von der Bundesnetzagentur als Ordnungswidrigkeit mit einem Bußgeld von bis zu 300.000 Euro geahndet werden.

Vergleich mit anderen EU-Staaten

Wie auch in den vergangenen Jahren haben wir die Tätigkeit der deutschen Behörden mit der Bußgeldpraxis anderer großer EU-Staaten verglichen. Auch dieses Jahr haben wir dafür Frankreich, Spanien und Italien betrachtet. 

Frankreich

Die Französische Datenschutzbehörde CNIL verzeichnet im Jahr 2023 einen Zuwachs im Vergleich zum Vorjahr. Waren es 2022 nur 14 Bußgelder, so ist diese Zahl in 2023 auf 42 Sanktionen angewachsen. Der Gesamtwert der Sanktionen betrug dabei 89.179.500 EUR.

Interessant: 24 dieser Verfahren sind im Rahmen des vereinfachten Sanktionsverfahren beschlossen worden. Sie werden ohne eine große Beratung und ohne öffentliche Sitzung bearbeitet, sind im Fall von Bußgeldern bei 20.000 EUR gedeckelt und dürfen nicht öffentlich gemacht werden. Zu ihrer Höhe äußerte sich die CNIL trotzdem in ihrem Jahresbericht – 229.500 EUR betrug die Gesamthöhe dieser Sanktionen.

Doch abseits der vereinfachten Sanktionsverfahren gab es definitiv Highlights. So erhielt Criteo ein Bußgeld über 40 Mio. EUR - Amazon France Logistique kassierte 32 Mio. EUR, Yahoo EMEA Limited 10 Mio. EUR, Voodoo 3 Mio. EUR und TikTok zum Anfang des Jahres 2,5 Mio. EUR.

Besonders relevant waren 2023 die Bußgelder, welche aufgrund von unzulässiger Werbung verhängt wurden. Die Behörde machte deutlich, dass Werbung, ungeachtet ihrer Art, ob als elektronische Nachricht oder als gezielter Hinweis, erst nach Zustimmung der betroffenen Person angezeigt werden darf.

Spanien

Die spanische Datenschutzbehörde folgte ihrem in den Vorjahren begonnenen Trend und verhängte 2023 insgesamt 309 Bußgelder mit einer Gesamthöhe von 9.345.760 EUR. Auch in 2023 bestand der Großteil der verhängten Bußgelder der spanischen Behörde aus kleineren Summen im niedrigen vier- oder fünfstelligen Bereich.

Einige Ausnahmen gab es aber doch: So kassierte Openbank ein 2,5 Mio. EUR Bußgeld, da Kunden aufgefordert worden waren, sensible Bankdaten ungesichert per E-Mail an das Unternehmen zu schicken. Gegen die Banco Bilbao Vizcaya Argentaria verhängte die Behörde 800.000 EUR, nachdem die Bank einer Karten-Sperrungsanfrage nicht nachgekommen war. 

Italien

Die Sanktionstätigkeit der italienischen Datenschutzbehörde lag in 2023 mit 124 verhängten Bußgeldern etwas hinter dem Vorjahr. Mit 25.057.100 EUR liegt die Behörde dafür im europäischen Vergleich auf dem dritten Platz, nur in Frankreich und Irland waren die Bußgelder dieses Jahr höher.

Maßgeblich verantwortlich war beispielsweise das 10 Mio. EUR Bußgeld gegen Axpo Italia – der Energieversorger hatte über ein Netzwerk von etwa 280 Verkäufern von Tür zu Tür neue Verträge abgeschlossen. Bei diesen Aktionen wurden keine angemessenen Kontrollmechanismen zur Überprüfung der eingetragenen Daten angewendet.

Das Telekommunikationsunternehmen TIM kassierte ein Bußgeld über ~7,6 Mio. EUR, nachdem sich die Beschwerden über unerwünschte Werbeanrufe häuften – manche Opfer wurden teils fünfmal am Tag mit unerwünschten Anrufen bombardiert.

Auch Edison Energia fiel durch wiederholte Werbeanrufe auf, woraufhin die Behörde dem Unternehmen ein Verbot von Telefonwerbung sowie ein Bußgeld in Höhe von 2,45 Mio. EUR aussprach.

Ergebnis des Vergleichs

Im direkten Vergleich zu anderen großen EU-Staaten fallen die deutschen Aufsichtsbehörden dieses Jahr erneut zurück und folgen dem Vorjahrestrend mit rückläufigen Zahlen im europäischen Vergleich. Spektakuläre Bußgelder gegen große Konzerne, wie im vergangenen Jahr, sind rar.

Datenpannen

Im Jahr 2023 erreicht die Zahl der gemäß Art. 33 DSGVO an die deutschen Aufsichtsbehörden gemeldeten Datenpannen mit 24.749 ein leichtes Hoch. Mit einem kleinen Anstieg im Vergleich zum Vorjahr (21.170),und erneut mehr als 2021 (knapp 13.900) stellt 2023 eine stetige Entwicklung dar.

Da zum Zeitpunkt der Veröffentlichung dieses Artikels nicht von allen Aufsichtsbehörden Statistiken zu gemeldeten Datenpannen vorlagen, wird der Artikel bei Nachmeldung entsprechend überarbeitet.

Baden-Württemberg verzeichnete 2023 die meisten Pannen (2.913), gefolgt von Bayern (2.753) und Nordrhein-Westfalen (2.039). Der Großteil der Datenpannen stand mit Hackerangriffen, Datenverlust, Falschversand von Dokumenten oder technischen Mängeln im Zusammenhang.

Abseits der Aufsichtsbehörde war der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit die Behörde mit den meißten gemeldeten Pannen, ganze 9.234 Verstöße wurden gemeldet.

Das Interesse und der Beratungsbedarf in Sachen DSGVO scheinen wieder etwas gestiegen zu sein. Zahlen wie noch zum Start der DSGVO werden jedoch vorerst nicht erreicht.

Gerichtsentscheidungen

Mit der Veröffentlichung unserer neuen Gerichtsentscheidungsdatenbank  möchten wir die Gelegenheit nutzen, ihnen auch über die besonderen Entscheidungen dieses Jahres zu berichten.

So machte beispielsweise der EuGH zum Ende des Jahres Schlagzeilen: Mit der Grundsatzentscheidung C-340/21 wurde ein Grundstein für effektive Schadensersatzansprüche gegenüber Unternehmen gelegt. Der EuGH stellte fest, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten einen immateriellen Schaden darstellen kann. Die Position der Opfer von Sicherheitsvorfällen bei Unternehmen wurde dadurch massiv gestärkt.

Auch die Entscheidung Az. C-807/21 des EuGH gegen Deutsche Wohnen sorgte für Spannung. So klärte der EuGH endlich die Grundsatzfrage der Zurechnung von Fehlverhalten bei juristischen Personen bei der Verhängung von Sanktionen nach Art. 83 DS-GVO. Für die Bußgelder hat diese Gerichtsentscheidung eine direkte Auswirkung. Mehrfach wurde durch die Datenschutzbehörden darauf verwiesen, dass mit der EuGH-Entscheidung einige Verfahren gegen Unternehmen ihren Abschluss finden werden. Mehr dazu im Ausblick!

Nicht zuletzt war die Entscheidung des EuGH im Verfahren C-683/21 wegweisend. Demnach kann gegen einen Verantwortlichen eine Geldbuße auch für Verarbeitungsvorgänge verhängt werden, die von einem Auftragsverarbeiter in seinem Namen durchgeführt wurden. Es sei denn, dieser Auftragsverarbeiter hat Daten für eigene Zwecke verarbeitet oder ist von der ursprünglichen Vereinbarung stark abgewichen.

Die Welle an Klagen gegen Facebook nach dem Data-Scraping-Vorfall nahm ebenfalls nicht ab. Für Verfahren wie vor dem Landgericht Münster, 017 O 344-22, könnte die EuGH Entscheidung ebenfalls bereits realistische Folgen haben, da der bisher pauschal verneinte Tatbestand des "konkret erlittenen, kausalen Schadens" nun doch greifen könnte.

Um über neue Gerichtsentscheidungen auf dem Laufenden zu bleiben, oder ältere Verfahren zu durchstöbern, werfen Sie gerne einen Blick in unsere neue Datenbank!

Ausblick

Bereits 2022 hatte uns mit dem Fall Clearview AI das Verhältnis von DSGVO und künstlicher Intelligenz beschäftigt, und auch 2023 änderte sich daran nichts. Die rasante Entwicklung von KI stellte die europäischen Datenschutzbehörden vor neue Fragen und Probleme. So wurde beispielsweise ChatGPT von der italienischen Datenschutzbehörde für eine gewisse Zeit gesperrt – aktuell stehen eine erneute Sperre und ein Bußgeld im Raum. Es bleibt abzuwarten, ob der Datenschutz durch den Einsatz künstlicher Intelligenz in ausreichendem Maß gewahrt werden kann.

Die Datenschutzbehörden haben 2023 in diversen Ländern der unerlaubten Telefon- und Internetwerbung den Kampf angesagt. Die großen Bußgelder in Frankreich und Italien geben einen Ausblick, was uns 2024 erwarten wird – die Grenzen im Bereich der Werbung werden noch einmal deutlicher gezogen und es ist von weiteren Bußgeldern auszugehen.

Aber auch in Deutschland wird das Jahr 2024 spannend. So ist zu erwarten, dass es aufgrund diverser Sicherheitsvorfälle im Jahr 2023 zu Bußgeldern kommen wird. Da wäre beispielsweise die Ransomware-Attacke auf die Hotelkette Motel One, bei der es Hackern der Gruppe ALPHV gelang, Zugriff auf 24 Millionen Dateien im Umfang von 6 TB zu erhalten.

Über 5 TB dieser Daten wurde bislang im Darknet verkauft, was ein massives Problem darstellt – die veröffentlichten Daten beinhalten wohl Millionen an privaten Rechnungsadressen, Geburtsdaten als auch nahezu lückenlose Listen der Übernachtungen der letzten Jahre.

Aufgrund der vom EuGH geklärten Frage der Zurechnung von Datenschutzverstößen zu juristischen Personen gehen wir von einem deutlichen Anstieg der Bußgeldverfahren in Deutschland aus. Insbesondere dürften sich die Behörden wieder an hohe Bußgelder wagen und noch laufende Verfahren mit mehr Rechtssicherheit zum Abschluss bringen. Die wachsende Zahl an Cyberangriffen wird auch für Nachschub bei den Bußgeldfällen sorgen.

Übersicht nach Aufsichtsbehörden

Die Tabelle umfasst die uns von den Aufsichtsbehörden übermittelten Bußgelder. Bei Nachreichungen der Behörden wird sie entsprechend aktualisiert.

Aufsichtsbehörde Bußgelder Gesamt in € Datenpannen
Baden-Württemberg 11 15.800 2.913
Bayern (nicht-öffentl. Bereich) n.a. 3.800.000 2.753
Bayern (öffentl. Bereich) 0 0 n.a.
Berlin 64 549.410 1.129
BfDI 0 0 9234
Brandenburg 10 13.900 495
Bremen 32 147.465 176
Hamburg 8 86.480 925
Hessen 124 56.810 1.934
Mecklenburg-Vorpommern n.a. n.a. n.a.
Niedersachsen n.a. n.a. n.a.
Nordrhein-Westfalen n.a. n.a. 2039
Rheinland-Pfalz 8 6.630 678
Saarland 8 208.375 727
Sachsen 60 28.090 949
Sachsen-Anhalt n.a. n.a. n.a.
Schleswig-Holstein 0 0 498
Thüringen 32 31.490 299
Gesamt 357 4.944.411 24.749