Bußgelder nach der DSGVO (Deutschland)
Datenschutzverstöße können nach Art. 83 Abs. 4 DSGVO mit Bußgeldern von bis zu 10 Millionen EUR oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens im vorangegangenen Geschäftsjahr belegt werden, je nachdem welcher Betrag höher ist. Bei Verstößen gegen die in Art. 83 Abs. 5 und 6 DSGVO beträgt das drohende Bußgeld sogar bis zu 20 Millionen oder bis zu 4% des Jahresumsatzes.
Bislang wurden in Deutschland folgende Bußgelder in Millionenhöhe (teilweise nicht rechtskräftig) verhängt:
1. Deutsche Wohnen SE
Am 30.10.2019 verhängte der Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Bußgeld in Höhe von 14,5 Millionen EUR. Die Deutsche Wohnen SE hatte nach Angaben der Berliner Aufsichtsbehörde zahlreiche Mieterdaten nicht oder nicht korrekt gelöscht. Bei den Untersuchungen hatte die Behörde festgestellt, dass das IT-System technisch gar keine Möglichkeit vorsehe, die konkreten Daten zu löschen. Persönlichkeitsbezogene Daten wie etwa Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten waren bewusst auf unbegrenzte Zeit in den Datenbanken hinterlegt. Die Aufsichtsbehörde hatte die Deutsche Wohnen bereits im Jahr 2017 aufgefordert, ihr IT-Archivsystem zu überarbeiten und dabei die rechtlichen Rahmenbedingungen zu berücksichtigen. Bei einer erneuten Prüfung im Frühjahr 2019 hatte sich herausgestellt, dass das Unternehmen die Datensätze nicht bereinigt hatte. Die Behörde sah darin einen Verstoß gegen Art. 25 Abs. 1 und Art. 5 Abs. 1 lit. a) , c) und e) und Art. 6 Abs. 1 DSGVO und erließ den genannten Bescheid.
Dieser Bescheid wurde allerdings nach dem Einspruch der Deutsche Wohnen von der Strafkammer des Landgerichts Berlin am 18.02.2021 (Az.: (526 OWi LG) 212 Js-OWi 1/20) – ohne sich inhaltlich mit den Datenschutzverstößen auseinanderzusetzen – durch Beschluss eingestellt, da ein Verfahrenshindernis besteht. Der Bußgeldbescheid leide unter gravierenden Mängeln, da keine vorwerfbare Ordnungswidrigkeit eines Organmitglieds festgestellt sei und das deutsche Ordnungswidrigkeitengesetz (OWiG) hierfür eine Haftung nicht vorsehe. Eine „unmittelbare Verbandshaftung“ juristischer Personen gibt es nicht. Art. 83 DSGVO ist keine allein hinreichende Rechtsgrundlage. Vielmehr ist nach § 41 BDSG das OWiG anwendbar, daher sind die §§ 30, 130 OWiG zu beachten und eine Zurechnung des Handelns natürlicher Personen. Gegen juristische Personen kann eine Geldbuße nur in einem einheitlichen Verfahren festgesetzt werden, wenn also wegen der Tat des Organs oder des Repräsentanten das Bußgeldverfahren durchgeführt wird oder in einem selbständigen Verfahren nach § 30 Abs. 4 OWiG.
Die Staatsanwaltschaft Berlin hat Beschwerde gegen den Beschluss des Landgerichts eingelegt. Das Kammergericht Berlin hat mit Beschluss vom 06.12.2021 (Az.: 3 Ws 250/21) den EuGH angerufen und betreffend der Frage, ob Bußgeldverfahren unmittelbar gegen ein Unternehmen geführt werden können, zur Vorabentscheidung nach Art. 267 AEUV vorgelegt.
2. 1 & 1 Telecom GmbH
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte am 09.12.2019 ein Bußgeld in Höhe von 9,55 Millionen gegen den Telekommunikationsdienstleister 1 & 1 Telecom GmbH. Die Aufsichtsbehörde wirft der 1&1 vor, keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Kundendaten ergriffen zu haben. Das Authentifizierungsverfahren bei der telefonischen Kundenbetreuung sei mangelhaft gewesen. So war die Angabe von Namen und Geburtsdatum ausreichend, um Detailinformationen über den Kunden zu erhalten. Der BfDI sah hierin einen Verstoß gegen Art. 32 Abs. 1 und 2 DSGVO.
Aufgrund der Klage von 1 & 1 entschied das Landgericht Bonn mit Urteil vom 11.11.2020 (Az.: 29 OWi 1/20) und bestätigte zwar den Verstoß nach Art. 32 Abs. 1 und 2 DSGVO dem Grunde nach, reduzierte allerdings das Bußgeld auf 900.000,00 EUR, da das festgesetzte Bußgeld im konkreten Fall „unangemessen hoch“ gewesen sei. Das Urteil ist mittlerweile rechtskräftig.
Obwohl der Bußgeldbescheid keine Ausführungen zu einer vorwerfbaren Handlung einer natürlichen Person als Anknüpfungstat des § 30 OWiG enthielt, entschied das LG Bonn, dass der Datenschutzverstoß als Erfolg selbst für eine Verbandshaftung ausreichend ist und es gerade nicht einer ursächlichen, schuldhaften Handlung einer bestimmbaren, natürlichen Person zur Sanktionierung bedarf. Eine unmittelbare Verbandshaftung gibt es zwar nach dem LG Bonn im deutschen Sanktionsrecht nicht, aber der europäische Gesetzgeber hatte bei der Schaffung des Art. 83 Abs. 4 bis 6 DSGVO das deutsche Kartellrecht zum Vorbild genommen, welches von einer unmittelbaren Haftung ausgeht (im Rahmen einer an das europäische Kartellrecht angelehnte Funktionsträgerprinzip). Dies ergibt sich nach dem LG Bonn aus dem Erwägungsgrund 150 der DSGVO, welcher in Satz 3 ausdrücklich auf den (funktionalen) Unternehmensbegriff nach Art. 101 und 102 AEUV verweist und von einer unmittelbaren Verantwortlichkeit der Unternehmen ausgeht. Damit ist aber die Regelung des § 30 OWiG nicht sinnvoll in Einklang zu bringen.
3. AOK Baden Württemberg
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden Württemberg (LfDI BW) hat am 26.06.2020 ein Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg verhängt. Die AOK Baden-Württemberg veranstaltete im Zeitraum 2015 bis 2019 verschiedene Gewinnspiele. Dabei wurden die Kontaktdaten sowie die Krankenkassenzugehörigkeit der Teilnehmer erhoben. Im Falle einer Einwilligung der Betroffenen wollte die AOK die Daten auch für Werbezwecke nutzen. Mangels geeigneter technischer und organisatorischer Maßnahmen wurden jedoch auch die Daten von 500 Teilnehmern für Werbung verwendet, obwohl von diesen keine Einwilligung vorlag. Der LfDI BW wertete dies als Verstoß gegen Art. 32 DSGVO.
4. H&M
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte am 01.10.2020 das bisher höchste deutsche Bußgeld in Höhe von 35,3 Millionen EUR gegen die H&M Hennes und Mauritz Online Shop A.B. & Co. KG. H&M hatte umfangreiche Erfassungen privater Lebensumstände seiner Mitarbeiter vorgenommen und diese teilweise auf einem Laufwerk dauerhaft gespeichert und damit den Beschäftigtendatenschutz schwer missachtet.
5. Notebooksbilliger.de AG
Die Landesbeauftragte für Datenschutz (LfD) Niedersachsen hat am 08.01.2021 eine Geldbuße in Höhe von 10,4 Millionen EUR gegen die notebooksbilliger.de AG ausgesprochen. Dem zugrunde lag, dass das Unternehmen mindestens über 2 Jahre seine Beschäftigten ohne geeignete Rechtsgrundlage per Video überwacht hatte.
6. BREBAU GmbH
Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen hat am 03.03.2022 die BREBAU GmbH mit einer Geldbuße in Höhe von 1,9 Millionen Euro belegt. Laut Pressemitteilung der LfDI hat die BREBAU GmbH Daten von Mietinteressent: innen ohne Rechtsgrundlage verarbeitet, hierunter auch Daten nach Art. 9 DSGVO, wie ethnische Herkunft, Hautfarbe, Religionszugehörigkeit und den gesundheitlichen Zustand.