Geldbußen sind Strafen, die DSGVO-Aufsichtsbehörden innerhalb der EU im Rahmen der DSGVO (Datenschutzgrundverordnung der EU) verhängt haben. Sie zeigen, wie wichtig in Zukunft das Thema Datensicherheit ist.
Die Höhe der Strafe ist im Art. 83 Abs. 4 geregelt: „Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“.
Im Regelfall werden im Zuge eines Straf-Bescheides Geldbußen verhängt. Erstaunlich ist, dass ein Großteil der jüngsten Bußgelder auf Verletzungen von Art. 5, 6, 13 und 32 DSGVO – beruht. Bußgelder werden in Einzelfällen extrem hoch verhängt, wie das Beispiel Irland gegen META Lt. in der Höhe von 405 Mio. € eindrucksvoll zeigt.
Die DSGVO-zt hat die Strafen wie folgt statistisch ausgewertet:
2022 wurden EU-weit 554 Bußgelder verhängt, das entspricht einer Steigerung um ca.- 28% gegenüber 2021 mit 434 Strafen.
Die Anzahl der Strafen ist von 2019 auf 2022 – also innerhalb von 4 Jahren – von 142 auf 554
angestiegen – das entspricht einer Steigerung auf 228%.
Das Bußgeld-Volumen hat sich von ca. 1,22 Mrd. € (2021) auf ca. 549 Mio € (2022) reduziert.
2021 wie extrem hohe Strafen aus > 700 Mio und ist daher als Ausreißer zu sehen.
Das Strafvolumen unterlag großen Schwankungen und erhöhte sich von 418 Mio. im Jahr 2019 auf 549 (2022). Diese Aussage ist allerdings trügerisch, da einige Strafen wegen Einsprüchen in mehreren Jahren zählen und außerdem im Vorjahr exorbitant hohe Strafen verhängt wurden. Die folgenden Statistiken zeigt pro Land die Anzahl an Strafen sowie das Strafvolumen.
Die folgenden Statistiken zeigt die chronologische Entwicklung der Anzahl an Strafen sowie das Strafvolumen pro Land.
Die Tabelle ist alphabetisch nach Land sortiert. Sie enthält auch Nicht-EU-Staaten wie z.B. Island, Isle of Man und Norwegen. Gelb markiert sind Anzahlen > 10 und Bußgelder > 10 Mio €.
Disclaimer:
Die Auswertungen basieren auf der Seite GDPR Enforcement Tracker und stellt weder einen Anspruch auf Vollständigkeit noch auf Korrektheit!
Spanien ist mit 195 Strafen wie auch schon 2021 führend, gefolgt von Italien, Rumänien, Deutschland und Griechenland. Österreich liegt mit einer verhängten Strafe an Position 25.
Die Top-Strafe verhängte Irland mit 405 Mio € gegen META. Details dazu finden sich unter folgendem Link.
Im Jahr 2022 beträgt die Summe aller Bußgelder 549.365.885 Mio. €, das sind nur ca. 45% des Vorjahres. Allerdings war das Vorjahr wegen einiger exorbitant hoher Strafen ein Ausreißer.
Diese Auswertung ist der Quelle GDPR Enforcement Tracker entnommen – das sind die höchsten
Bußgelder seit 2018:
Der Strafbescheid erging am 28.07.2022 gegen Meta Platforms Ireland Limited. Begründet wird er mit den Verstößen gegen Art. 5 (1) a), Art. 12, Art. 24, Art. 25 und Art. 35 DSGVO.
Am 10.02.2022 verhängt die italienische Aufsichtsbehörde einen Strafbescheid gegen Clearview Al Inc. 1092 in der Höhe von 20 Mio €. Der Bescheid wird mit Verstößen gegen Art. 5 (1) a), b), e) DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO und Art. 27 DSGVO begründet.
Österreich verhängte lt. Tätigkeitsbericht 2022 der Datenschutzbehörde nur 6 Strafen mit wenigen Tausend Euro.
Die im Jahr 2022 ausgesprochenen 554 Strafen weisen als Begründung folgende Häufigkeitsverteilung auf:
Die Abkürzung „Nat.Gesetze“ steht für Nationale Gesetzgebung. Die TOP-5-Artikel der DSGVO, auf die sich die meisten Strafen begründen, sind:
Die folgende Abb. wurde der Quelle GDPR Enforcement Tracker entnommen:
Warum der Enforcement Tracker auf andere Ergebnisse als die Autoren kommen, konnte nicht geklärt werden.
Interessant ist die Auswertung, welche Artikel in Kombination mit anderen als Begründung für Strafen dienen (dieser Auszug zeigt nur jene Fälle, in denen mehr als 5 Begründungen genannt sind:
Es ist erstaunlich, dass nur 10 Staaten die Strafbescheide mit nationaler Gesetzgebung begründen.
Italien übt dies mit 47 Strafen exzessiv aus, danach folgen Spanien mit 3 und Frankreich mit 2 Strafen.
Alle Staaten, die in dieser Tabelle nicht angeführt sind, haben die Strafen ausschließlich mit Artikeln der DSGVO begründet.
(Abb. 11: Staaten mit nat. Gesetzen als Begründung
Die nachfolgende Tabelle gibt einen Überblick wieviel Strafen es in welchen Branchen-Sektoren gab (Quelle GDPR Enforcement Tracker). Besonders im Focus standen Industrie & Commerce, Media & Telecoms sowie Einzelpersonen und private Vereine. Mit Respektabstand folgen Finance & Insurance sowie Health Care.
Die folgende Abb. zeigt die Anzahl an Strafen pro Sektor für Länder mit mehr als 10 Strafen gesamt – Auswertung der Autoren:
Die nachfolgende Tabelle gibt einen Überblick wieviel Bußgeld in Summe in welchen Branchen Sektoren verhängt wurden (Quelle GDPR Enforcement Tracker):
In obiger Tabelle sind die Sektoren nach Ländern aufgeschlüsselt. Damit ist ersichtlich, dass z.B. Spanien mit 47 Strafen einen Schwerpunkt im Medien/Telekom-Umfeld gesetzt hat.
Dasselbe gilt für Industrie & Handel mit 31 Strafen. Gleiches gilt u.a. für den Public Sector & Education in Italien mit 45 Strafen.
Die Analyse hat ergeben, dass das ein Zusammenhang des BIP weder zur Anzahl der Strafen, noch zum Bußgeldvolumen erkennbar ist.
Die statistischen Auswertungen ohne Quellenangabe wurden von folgenden Autoren zur Verfügung gestellt von:
DSGVO-zt GmbH
www.dsgvo-zt.at
Für eine Übersicht über Bußgelder, die innerhalb der EU von Datenschutz-Aufsichtsbehörden verhängt wurden, hat die Firma CMS Hasche Sigle GmbH, Charlottenburg eine Zusammenstellung bekannter Strafen der EU-Staaten veröffentlicht. Die Seite GDPR Enforcement Tracker wird empfohlen, ein Anspruch auf Vollständigkeit wird nicht gestellt, aber für einen ersten Überblick ist die Webseite mehr als eindrucksvoll.
Ziel ist es, diese Liste so aktuell wie möglich zu halten. Da nicht alle Geldbußen veröffentlicht werden, kann diese Liste natürlich niemals vollständig sein. Zu beachten ist, dass keine Bußgelder aufgelistet werden, die nach nationalem / außereuropäischem Recht, nach nicht datenschutzrechtlichen Gesetzen (z.B. Wettbewerbsgesetzen / Gesetzen zur elektronischen Kommunikation) und nach „alten“ Gesetzen vor der DSGVO verhängt wurden.
Die Auswertungen der Autoren stellen weder einen Anspruch auf Vollständigkeit noch auf Korrektheit!
Eine weiter Quelle ist der Bericht „DLA PIPER GDPR FINES AND DATA BREACH SURVEY: JANUARY 202“. Der Beobachtungszeitraum ist jedoch jahresübergreifend.
Hat dir der Beitrag gefallen dann unterstütze doch IT-Welt!
Noch mehr schau doch mal bei uns vorbei!