Rückblick DSGVO-Bußgelder, Gerichtsentscheidungen und Sicherheitsvorfälle 2024
31. Januar 2025Rückblick DSGVO Bußgeldverfahren, Gerichtsentscheidungen und Sicherheitsvorfälle 2024
Mit dem Ende des Jahres 2024 möchten wir auch, wie die Jahre zuvor, einen Rückblick wagen. Neben einem Blick auf die Bußgeldpraxis der Datenschutzaufsichtsbehörden haben wir uns dazu entschieden, dieses Jahr auch den relevanten Gerichtsentscheidungen und Sicherheitsvorfällen einen Platz in unserem Rückblick zu geben. Es ist viel passiert – Zeit, das Jahr Révue passieren zu lassen.
Rückgang der Gesamtsumme
Während die Summe der Bußgelder in den letzten zwei Jahren stetig angewachsen ist, muss für 2024 ein Rückgang verzeichnet werden. Lag 2023 die Summe noch bei 2,11 Mrd. EUR, so fiel sie dieses Jahr auf 1,22 Mrd. EUR. Dabei ist zu beachten, dass wir bei der Abfrage unserer Datenbank nur Bußgelder erfassen, bei denen das Datum des Bescheids bekannt ist. Der Zeitraum der Abfrage erstreckte sich vom 01. Januar – 31. Dezember 2024. Der Rückgang ist zum Teil darauf zurückzuführen, dass die Zahlen von 2023 durch das 1,2 Mrd. EUR Bußgeld der irischen Datenschutzbehörde gegen Meta verzerrt sind. Ein solch rekordverdächtiges Bußgeld gab es dieses Jahr nicht, jedoch mehrere Bußgelder in mehrstelliger Millionenhöhe. So fingen sich unter anderem LinkedIn, Meta und Uber heftige Strafen ein.
Im Oktober verhängte die irische Datenschutzbehörde ein 310 Mio. EUR Bußgeld gegen LinkedIn, nachdem sich 2018 das französische Non-Profit La Quadrature du Net beschwert hatte. Das Unternehmen hatte selbst und über Drittanbieter gesammelte personenbezogene Daten verwendet, um Verhaltensanalysen ihrer Nutzer durchzuführen und gezielte Werbung zu schalten. Die Nutzenden hatten hierfür keine Einwilligung erteilt und wurden nicht ausreichend über die Sammlung und Verarbeitung informiert.
Kurz vor Weihnachten erwischte es wieder Meta: Aufgrund einer Systemschwachstelle war es zu einer Datenkompromittierung gekommen, bei welcher es zu einem unbefugten Zugriff auf 29 Mio. Facebook-Nutzerkonten gekommen war, von denen sich 3 Mio. in der EU befanden. Die Täter nutzten einen Exploit im "View As"-Feature der Plattform, um gefälschte User-Tokens zu erstellen, um so auf die Accounts zuzugreifen. Die Behörde erließ daraufhin ein 251 Mio. EUR Bußgeld.
Nachdem es vermehrt zu Beschwerden gekommen war, stellte die niederländische Datenschutzbehörde Untersuchungen bei dem Ride-Hailing-Unternehmen Uber an. Dabei wurde festgestellt, dass das Unternehmen personenbezogene Daten seiner Fahrer in die USA übermittelte, ohne dafür einen ausreichenden Schutz zu gewährleisten. Der Verstoß zog ein 290 Mio. EUR Bußgeld nach sich.
Deutsche Bußgelder
Die deutschen Datenschutzbehörden verhängten im Laufe des vergangenen Jahres nur 266 Bußgelder in einer Höhe von rund 2,5 Mio. EUR. Da sich nicht alle Behörden zur Anzahl und Höhe der Bußgelder geäußert haben, ist diese Zahl als Untergrenze zu verstehen. Im Vergleich zum Vorjahr zeichnet sich ein klarer Rückgang der Höhe und der Anzahl der Bußgelder ab – 2023 waren es noch 357 Bußgelder und eine Gesamthöhe von 4,94 Mio. EUR. Mit 73 verhängten Bußgeldern stand, gemessen an der Anzahl, in diesem Jahr Bremen an der Spitze. Dahinter liegen Hessen mit 47 gefolgt von Thüringen mit 38 verhängten Bußgeldern.
Das höchste Bußgeld verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen einen Dienstleister mit 900 Tsd. EUR. Dieser hatte bis Mitte November 2023 Datensätze im sechsstelligen Bereich gesammelt, die allesamt personenbezogene Informationen enthielten. Diese waren teilweise fünf Jahre über den Ablauf der Aufbewahrungsfrist hinaus gespeichert worden. Hierfür gab es keine Rechtsgrundlage.
Das zweithöchste Bußgeld aus dem Jahr 2024 mit 220 Tsd. EUR verhängte der Landesbeauftragte für den Datenschutz Niedersachsen gegen ein Kreditinstitut. Dieses hatte personenbezogene Informationen seiner Kunden verwendet, um Profile von ihnen zu erstellen, auf Basis derer es die Kunden gezielt zu Werbezwecken kontaktierte. Nach Ansicht des Datenschützers stellte dies eine Zweckveränderung dar, die von den Kunden nicht erwartet werden konnte.
Bußgelder der Bundesnetzagentur
Wie auch im Vorjahr haben wir neben den deutschen Datenschutzbehörden auch bei der Bundesnetzagentur (BNetzA) nachgefragt. Zwar verhängt diese Behörde keine Bußgelder nach der DSGVO, jedoch betreffen die Bußgelder oft datenschutzrelevante Themen, wie unerlaubte Kontaktaufnahme zu Werbezwecken. 2024 verhängte die BNetzA elf Bußgelder mit einer Gesamthöhe von 1,373 Mio. EUR. Wie auch 2023 drehten sich die meisten Fälle um sogenannte Cold Calls, bei denen Verbraucherinnen und Verbraucher mit unerlaubten Werbeanrufen konfrontiert wurden. Diese Anrufe stellen gemäß § 7 Abs. 2 Nr. 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) eine unzumutbare Belästigung dar, und können mit Bußgeldern bestraft werden. Zudem hat die Bundesnetzagentur im Jahr 2024 Verstöße gegen das Verbot der Rufnummernunterdrückung bei Werbeanrufen gemäß § 28 Abs. 1 Nr. 9 in Verbindung mit § 15 Abs. 2 Halbsatz 1 TDDDG (vormals TTDSG) bußgeldrechtlich geahndet.
Vergleich mit anderen EU-Staaten
Wie auch in den vergangenen Jahren haben wir die Tätigkeit der deutschen Behörden mit der Bußgeldpraxis anderer großer EU-Staaten verglichen. Hierbei haben wir auch dieses Jahr wieder Frankreich, Spanien und Italien genauer betrachtet.
Frankreich
Die französische Datenschutzbehörde CNIL muss für das Jahr 2024 einen Rückgang in der Gesamtsumme der Bußgelder verzeichen, obwohl die Menge weiter angestiegen ist. Waren es 2023 noch 42 Sanktionen mit einem Gesamtwert von ~ 89,1 Mio. EUR, stieg die Anzahl 2024 auf 87 Bußgelder mit einem Gesamtwert von ~ 55,2 Mio. EUR. Den Großteil machte dabei ein Bußgeld in Höhe von 50 Mio. EUR gegen den Telefonanbieter Orange aus. Im Rahmen des vereinfachten Verfahrens sprach die Behörde 69 Sanktionen mit einem Gesamtbetrag von 715 Tsd. EUR aus, was eine Verdreifachung im Vergleich zum Vorjahr bedeutet.
Spanien
Anders als noch im Vorjahr kann Spanien einen deutlichen Anstieg verzeichnen. Zwar war die Summe der verhängten Bußgelder mit 289 etwas niedriger als noch im Vorjahr (309), dafür wurde die Gesamtsumme der Bußgelder vom Vorjahr deutlich Übertroffen: Mit knapp 38,6 Mio. EUR lag diese deutlich über den 9,3 Mio. EUR aus dem Jahr 2023. Grund für diesen Anstieg waren vermehrt Bußgelder im mittleren einstelligen Millionenbereich, wie das Bußgeld gegen „The Phone House Spain“ mit 6,5 Mio. EUR nach einem Ransomwareangriff, den Energielieferanten Endesa Energía mit 6,1 Mio. EUR für mangelhafte Reaktion auf eine Sicherheitslücke oder die Bank Caixabank mit 5 Mio. EUR für die Übermittlung der Quittung eines Kunden an unberechtigte Dritte.
Italien
Italien legt ebenfalls deutlich zu. Mit 146 verhängten Bußgeldern steigt nicht nur die Anzahl im Vergleich zum Vorjahr (124), sondern auch die Gesamthöhe: Den 25 Mio. EUR aus dem Jahr 2023 stehen nun 122 Mio. EUR aus diesem Jahr gegenüber. Grund für den Anstieg sind hauptsächlich die Bemühungen der Behörde gegen widerrechtliches Telefonmarketing vorzugehen – mit 79,1 Mio. EUR verhängte die Behörde ihr höchstes Bußgeld jemals gegen Enel Energia für die mangelhafte Sicherung von Datenbanken vor missbräuchlichen Zugriffen. Aber auch OpenAi mit 15 Mio. EUR für den Verstoß gegen das Transparenzgebot sowie die fehlende Altersverifikation oder 5 Mio. EUR gegen Foodinho für die rechtswidrige Verarbeitung von Ortungsdaten schrieben dieses Jahr Schlagzeilen.
Ergebnis des Vergleichs
Im direkten Vergleich zu anderen großen EU-Staaten fallen die deutschen Aufsichtsbehörden, wie auch in den Vorjahren, erneut zurück, während gerade Italien deutlich zulegt. Große Bußgelder in Millionenhöhe sind in Deutschland eher rar.
Datenpannen
Im Jahr 2024 sinkt die Zahl der gemäß Art. 33 DSGVO an die deutschen Aufsichtsbehörden gemeldeten Datenpannen. Zum Zeitpunkt der Veröffentlichung dieses Artikels liegt dieser Wert bei 8.623, was einen deutlichen Rückgang zum Jahr 2023 (24.749) bedeutet. Da zum Zeitpunkt der Veröffentlichung dieses Artikels nicht von allen Aufsichtsbehörden Statistiken zu gemeldeten Datenpannen vorlagen, wird der Artikel bei Nachmeldung entsprechend überarbeitet, und der Wert ist als Untergrenze zu verstehen.
Hessen verzeichnete 2024 die meisten Pannen (2.141), gefolgt von Berlin (1.262) und Sachsen (1.002). Wie auch im Vorjahr stand der Großteil der Datenpannen mit Hackerangriffen, Datenverlust, Falschversand von Dokumenten oder technischen Mängeln im Zusammenhang.
Sicherheitsvorfälle
Wir möchten dieses Jahr eine weitere Rubrik hinzufügen und Ihnen die wichtigsten Sicherheitsvorfälle des Jahres präsentieren. Den Anfang bei den Sicherheitsvorfällen macht dieses Jahr der wohl größte Vorfall. Am 19. Juli 2024 kam es weltweit zu massiven Ausfällen in der IT, die auch Infrastrukturen wie Flughäfen, U-Bahn-Netze und Notrufe zum Stillstand brachten. Über 8,5 Millionen Geräte zeigten Blue Screens of Death (BSOD) und verfingen sich in einem Boot-Loop. Auslöser war eine fehlerhafte Datei in der Software der Firma CrowdStrike, welche über ein Windows-Update heruntergeladen worden war. Betroffen waren auch Zahlungssysteme für Supermärkte, die teils auf Barzahlung zurückfallen oder ganz schließen mussten. Untersuchungen im Nachgang des Vorfalls ergaben, dass ein Viertel der Fortune 500-Konzerne von dem CrowdStrike-Ausfall betroffen war. Verluste aus den Ausfällen werden auf 5,4 Mrd. USD geschätzt, es laufen noch Gerichtsverfahren gegen das Unternehmen.
Anfang des Jahres erwischte es den Cloudanbieter Snowflake, nachdem sich Angreifer über einen unzureichend gesicherten Mitarbeiteraccount zutritt verschafften. Anschließend entwendeten sie sensible Daten wie Namen, E-Mail-Adressen und Telefonnummern. Auch Adressen und teilweise Kreditkarteninformationen wurden gestohlen. Unter den betroffenen Unternehmen waren unter anderem Ticketmaster und die Santander Bank. Geschätzt wurden die Daten von 560 Millionen Personen kompromittiert.
Aber auch Ransomwaregruppen waren dieses Jahr alles andere als untätig. Hervorzuheben sind hier zwei Angriffe auf US-Unternehmen. So wurde der Pharmatechnologiegigant Change Healthcare, ein Unternehmen der UnitedHealth Group, Opfer einer massiven Ransomwareattacke. Die Internetseiten waren kaum bis gar nicht erreichbar und Rezepte waren nicht einlösbar. Die Ransomwaregruppe ALPHV/BlackCat behauptete, 6 TB an Daten erbeutet zu haben, darunter auch Quellcode und Informationen zu den Militärprogrammen, an denen Change Healthcare beteiligt ist, sowie diversen anderen Versicherungsoptionen. Insgesamt waren nach Angaben des Unternehmens die Daten von mindestens 100 Mio. Menschen kompromittiert. Aktuellen Rechnungen zufolge kostete der Ransomware-Angriff das Unternehmen 2,457 Mrd. USD – diese Zahl könnte aber noch wachsen, da der erste Bundesstaat bereits angekündigt hat, Change Healthcare wegen des Vorfalls zu verklagen. Auch Cleo Communications wurde Opfer einer Ransomwaregruppe, diesmal jedoch zum Jahresende. Dabei wurden diverse File-Transfer-Softwarelösungen des Unternehmens massiv attackiert. Grund für ein Eindringen war eine unzureichend gepatchte Sicherheitslücke.
Aber nicht nur Hacker waren für Sicherheitsvorfälle verantwortlich, wie der Fall Cariad zeigt. Die VW-Tochter fiel auf, nachdem detaillierte Daten zu 800.000 E-Fahrzeugen der VW-Gruppe auf einem ungeschützten Webserver entdeckt worden waren. Durch weitere Zugangsdaten eines VW-eigenen Dienstes konnten die Nutzer einer App abgefragt und mit den Fahrzeugen verknüpft werden. Damit war ein detailliertes Bewegungsprofil und die E-Mail-Adresse einsehbar. Auch waren teilweise die Adresse und Mobilfunknummer zu sehen. Eine vollständige Aufzählung aller Betroffenen würde den Rahmen sprengen. Noch nicht genug? Falls Sie erfahren wollen, was 2024 mit der IHK, der Goethe Universität Frankfurt oder der Caritas passiert ist, finden sie ausführliche Informationen bei unseren security incidents.
Gerichtsentscheidungen
Wie auch im Vorjahr möchten wir die Gelegenheit nutzen, Ihnen auch über die besonderen Entscheidungen dieses Jahres zu berichten.
Besonders relevant war dieses Jahr unter anderem die dritte Runde im Rechtsstreit Schrems gegen Meta. In der Entscheidung C-446-21 beschwerte sich Schrems über die Tatsache, dass er häufig Werbung erhalten hatte, welche gezielt homosexuelle Personen anspreche. Auf seinem Profil waren jedoch keinerlei Hinweise auf seine sexuelle Orientierung zu finden. Schrems vertrat die Auffassung, dass diese Werbung das Ergebnis einer Analyse seiner Interessen sei, was er als unzulässig empfand. Der EuGH machte in seiner Entscheidung deutlich, dass Betreiber sozialer Netzwerke keine weiteren Daten von Drittanbietern nutzen dürften, um durch Analyse und Aggregation personalisierte Werbung zu erstellen. Das Urteil dürfte immense Wirkung zeigen, da es nun mehr oder minder das gesamte Geschäftsmodell des Konzerns auf den Kopf stellt.
In Punkto Vorratsdatenspeicherung gab es ebenfalls zwei wichtige Entscheidungen: So erlaubte der EuGH in seiner Entscheidung C-470-21 zwar mehr Möglichkeiten zur Vorratsdatenspeicherung im Rahmen der vorbeugenden Speicherung von IP-Adressen, schränkte diese aber in der Entscheidung C-178-22 relevant ein. So sei eine gerichtliche Kontrolle bei der Vorratsdatenspeicherung notwendig, da eine solche die Gefahr eines schweren Eingriffs in die Grundrechte der betroffenen Person birgt. Wenn Ihr Interesse geweckt wurde und Sie auf dem Laufenden bleiben möchten, werfen Sie gerne einen Blick in unsere Datenbank!
Ausblick
2024 war ein aufregendes Jahr mit zahlreichen Ereignissen und Veränderungen. Doch auch 2025 verspricht bereits jetzt, ebenso viel bereitzuhalten. Der KI-Boom wird nicht nur die Datenschutzbehörden beschäftigen – auch Organisationen, die KI entwickeln, einsetzen und nutzen, werden sich 2025 intensiver mit dem Verhältnis zwischen KI und Datenschutzrecht auseinandersetzen müssen. Die Grenzen dessen, was eine rechtmäßige Nutzung personenbezogener Daten innerhalb von KI-Modellen darstellt und was nicht, sind nach wie vor unklar. Mit dem neuen amerikanischen Präsidenten Trump und seinem erklärten zurückhaltenden Ansatz in der KI-Regulierung ist davon auszugehen, dass es zu Spannungen mit dem stärker regulierten europäischen Markt kommen wird.
Auch der Versuch der europäischen Datenschutzbehörden, Führungskräfte und Geschäftsführer von Unternehmen sowie andere Mitglieder der Leitungsorgane für Verstöße gegen die DSGVO persönlich haftbar zu machen, wird 2025 für Aufmerksamkeit sorgen. Die niederländische Datenschutzbehörde hat angekündigt, zu prüfen, ob die Geschäftsführer von Clearview AI persönlich für die angeblichen andauernden Verstöße des Unternehmens gegen die DSGVO zur Verantwortung gezogen werden können. Diese Untersuchung gilt als viel beachtetes Beispiel, da eine persönliche Haftung einen starken Hebel darstellt, um die Einhaltung der Vorschriften voranzutreiben.
Auch das „consent or pay“-Modell wird 2025 auf den Prüfstand gestellt. Der Europäische Datenschutzbeauftragte und die irische Datenschutzbehörde haben praktisch ausgeschlossen, dass Verträge oder berechtigte Interessen als Grundlage für die Verarbeitung personenbezogener Daten zu Werbezwecken herangezogen werden können. Damit bleibt die Einwilligung als einzige Option. Die EDPB-Stellungnahme hält Einwilligungs- oder Bezahlmodelle großer Plattformen meist für unvereinbar mit der DSGVO. Meta wird diese Feststellungen nun vor dem Gericht der Europäischen Union anfechten – wir bleiben gespannt!
Übersicht nach Aufsichtsbehörden
Die Tabelle umfasst die uns von den Aufsichtsbehörden übermittelten Bußgelder. Bei Nachreichungen der Behörden wird sie entsprechend aktualisiert.
| Aufsichtsbehörde | Bußgelder | Gesamt in € | Datenpannen |
|---|---|---|---|
| Baden-Württemberg | n.a. | n.a. | n.a. |
| Bayern (nicht-öffentl. Bereich) | n.a. | n.a. | n.a. |
| Bayern (öffentl. Bereich) | 0 | 0 | n.a. |
| Berlin | 21 | 72.030 | 1.262 |
| BfDI | n.a. | n.a. | n.a. |
| Brandenburg | 5 | 33.500 | 505 |
| Bremen | 73 | 207.702 | 199 |
| Hamburg | 20 | 1.119.704 | 955 |
| Hessen | 47 | 554.986 | 2.141 |
| Mecklenburg-Vorpommern | n.a. | n.a. | n.a. |
| Niedersachsen | n.a. | n.a. | n.a. |
| Nordrhein-Westfalen | n.a. | n.a. | n.a. |
| Rheinland-Pfalz | 12 | 15.600 | 752 |
| Saarland | 18 | 269.423 | 884 |
|
Sachsen (öffentl. Bereich) Sachsen (nichtöffentl. Bereich) |
11 18 |
14.580 199.000 |
1.002 |
| Sachsen-Anhalt | n.a. | 14.230 | n.a. |
| Schleswig-Holstein | 3 | 1.614 | 602 |
| Thüringen | 38 | 50.840 | 321 |
| Gesamt | 266 | 2.543.209 | 8.623 |