Erst Anfang Mai hat die irische Datenschutzbehörde DPC ein Bußgeld in Höhe von 530 Millionen Euro gegen Tiktok verhängt. Die Onlineplattform des Betreibers Bytedance habe gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen, indem sie Nutzerdaten nach China weitergeleitet und gegen die Transparenzanforderungen verstoßen habe, heißt es in einer Mitteilung der Aufsichtsbehörde in Dublin.
Eine Langzeitstudie der Wirtschaftskanzlei CMS illustriert nun den neuen Höchststand an Sanktionen, die die Datenschutzbehörden in den EU-Mitgliedstaaten für Datenschutzverletzungen verhängten. Dem Bericht zufolge summieren sich die öffentlich bekannten Bußgelder erstmals auf mehr als fünf Milliarden Euro.
Seit Inkrafttreten der EU-Verordnung im Mai 2018 verhängten die europäischen Datenschutzbehörden bis zum März 2025 – also noch vor dem Bußgeld gegen Tiktok – Geldstrafen in Höhe von 5,65 Milliarden Euro. Das bleibt nicht ohne Wirkung. Laut CMS-Anwalt Alexander Schmidt erzeugen die drastischen Sanktionsmöglichkeiten von bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes in vielen Unternehmen „Angst und Zurückhaltung“.
Medienkonzerne im Visier
Die systematische Erfassung und Auswertung der Bußgelder zeigt, dass die Kontrolleure innerhalb der EU am häufigsten unzureichende Rechtsgrundlagen für die Datenverarbeitung und Verstöße gegen Datenschutzgrundsätze sanktionieren. Danach folgen Strafen wegen Mängeln bei den technischen und organisatorischen Maßnahmen zur Informationssicherheit sowie wegen konkreten Verletzungen von Kunden- und Verbraucherrechten.
Im Fokus der Aufsichtsbehörden stehen insbesondere Unternehmen mit engem Bezug zum Verbraucher: Seit vier Jahren werden am häufigsten Unternehmen aus dem Medien- und Telekommunikationsbereich sanktioniert. Danach folgen branchenübergreifend Bußgelder nach Verstößen gegen den Beschäftigtendatenschutz, also die Rechte der eigenen Mitarbeiter. Auf dem dritten Platz liegen die produzierende Industrie und Handelsunternehmen.
Deutsche Besonderheiten im Datenschutz
Nach wie vor spielt eine Rolle, in welchem Land die Rechtsverletzung stattfindet. Mit der DSGVO strebte die EU eine europaweite Harmonisierung im Datenschutz an. Aber auch sieben Jahre später ist der Regelungsbereich noch immer von nationalen Gesetzen und Praktiken geprägt. Eine deutsche Besonderheit ist beispielsweise die dezentrale Aufsichtsstruktur mit 16 Landesbehörden und zusätzlich einer Bundesbeauftragten für Datenschutz.
Den Anwälten von CMS zufolge geht damit eine inkonsequente Veröffentlichungspraxis der Entscheidungen einher. Ein Großteil der deutschen Bußgelder werde aufgrund unzureichender Rechtsgrundlagen für die Datenverarbeitung oder wegen Mängeln der Informationssicherheit erlassen. Da jedoch nur ein Bruchteil aller Entscheidungen veröffentlicht werde, ließe sich nicht eindeutig sagen, ob sich die Behörden auf bestimmte Arten von Verstößen konzentrieren. Auffällig sei im internationalen Vergleich zudem, dass in Deutschland verhältnismäßig viele Entscheidungen angefochten würden.
In Irland scheint man damit weniger Erfolg zu haben. Jedenfalls ist die irische Datenschutzbehörde Spitzenreiterin, wenn es um den Erlass von hohen Bußgeldern geht. Grund dafür ist unter anderem, dass dort große amerikanische Techkonzerne wie Meta und Google ihren europäischen Sitz haben. Insofern überrascht es nicht, dass die bisher höchste DSGVO-Geldbuße von 1,2 Milliarden Euro aus irischer Feder stammt: Das DPC verhängte sie im Mai 2023 wegen des Verstoßes gegen Vorschriften über internationale Datentransfers gegen Meta.
