Themenreihe datenschutzrechtliche Sanktionen – Teil 3: In Europa verhängte Strafen - datenschutzticker.de datenschutzticker.de

Themenreihe datenschutzrechtliche Sanktionen – Teil 3: In Europa verhängte Strafen

4. Oktober 2019

In den vergangenen beiden Wochen wurde bereits über die gesetzlichen Grundlagen für Sanktionen und die in Deutschland bislang verhängten Strafen berichtet. In dieser Woche soll es um Strafen gehen, die in den weiteren europäischen Ländern von den jeweils zuständigen Aufsichtsbehörden verhängt wurden.

Mediale Aufmerksamkeit in Fällen hoher Bußgelder

Über einige Sanktionen wurde weltweit berichtet. Das betrifft zum Beispiel die € 50 Millionen Strafe, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (€ 110 Millionen) und British Airways (€ 204 Millionen). Auf den ersten Blick erscheinen derartige Bußgelder exorbitant hoch. Hierbei darf allerdings nicht außer Acht gelassen werden, dass große, umsatzstarke Unternehmen zwangsläufig höhere Strafen zahlen. So entsprach die gegen British Airways ausgesprochene Strafe lediglich 1% des weltweiten Jahresumsatzes. Überdies ist zu beachten, dass die Strafen zum Zeitpunkt der Veröffentlichung dieses Beitrags noch nicht final sind. Im Zeitpunkt der Veröffentlichung dieses Beitrages ist noch keine abschließende Stellungnahme (insbesondere des ICO) bekannt.

Grund für etwaige Sanktionen

Sowohl Marriott International als auch British Airways wurden Verstöße gegen Art. 32 DSGVO, also gegen die Sicherheit der Verarbeitung, nachgewiesen. Demgegenüber beruht die vom CNIL gegen Google ausgesprochene Strafe auf einer Verletzung der Art. 13 und 14 DSGVO (Informationspflichten). Die Verletzung von Maßgaben der Art. 13, 14 und 32 DSGVO sind überdies – neben Verstößen gegen Art. 5 DSGVO (Grundsätze der Verarbeitung) – auch die häufigsten Gründe für die Verhängung von Strafen.

Beispiele

Des Weiteren sind bisher ca. 70 Geldbußen mit einer verhängten Strafe von € 118 bis € 2.600.000 bekannt. Insgesamt haben 21 verschiedene EU-Länder bereits Strafen gegen Unternehmen, öffentliche Stellen und teilweise auch gegen Privatpersonen ausgesprochen.

Betroffen waren Unternehmen aus unterschiedlichen Branchen, von der Gesundheitseinrichtung über Fußballigen, Banken, Online-Unternehmen bis hin zu öffentliche Stellen und Privatpersonen.

Folgend ein kurzer Auszug:

Belgien: Bürgermeister einer Stadt der im Wahlkampf Daten missbraucht hat – € 2.000
Bulgarien: Finanzbehörde – € 2.600.000
Dänemark: Online Möbelhändler – € 200.850
Deutschland: Online Unternehmen – € 200.000
Griechenland: PWC – € 150.000
Litauen: Zahlungsdienstleister – € 61.500
Malta: Landesbehörde – € 5.000
Niederlande: Krankenhaus – € 460.000
Norwegen: Gemeinde Bergen – € 170.000
Österreich: Trainer einer Frauen-Fußballmannschaft – € 11.000
Polen: Privates Unternehmen das öffentlich zugängliche Daten verarbeitet – € 219.538
Portugal: Krankenhaus – € 400.000
Rumänien: Bank – € 130.000
Schweden: Schule – € 18.630
Spanien: Fußballiga – € 250.000
Tschechische Republik: Autovermietung – €1.165
Ungarn: Festivalveranstalter – € 92.146
Zypern: Tageszeitung – € 10.000

Ausblick auf weitere Themen

In der nächsten Woche werden wir für Sie die deutschen und europäischen Strafen gegenüberstellen und einem Vergleich zuführen.

Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.