Die Datenschutz-Grundverordnung ist nun seit über einem Jahr in Kraft und muss in der gesamten EU umgesetzt werden. Dementsprechend wurden auch bereits Verstöße in anderen Mitgliedsstaaten festgestellt und durch die Aufsichtsbehörden sanktioniert. Dies macht einen Blick auf die Entwicklung der Bußgelder spannend, um zu sehen wie sich der Datenschutz unter der DS-GVO europaweit entwickelt. Hierfür gibt es nun einen sogenannten „GDPR Enforcement Tracker“, der alle verhängten Bußgelder auflistet: http://www.enforcementtracker.com/

Der Tracker listet die Länder, das Datum, den Verantwortlichen für den Verstoß, die Höhe des Bußgeldes, sowie die Norm, gegen die verstoßen wurde, auf. Zudem gibt es jeweils noch einen kurzen Text, der den Verstoß zusammenfasst. Insgesamt ist der Tracker damit sehr nützlich, um die Entwicklung der Bußgelder in der EU im Auge zu behalten.

Gibt es Auffälligkeiten oder allgemeine Trends bei der Sanktionierung von Verstößen?

Bei einem Blick auf den Bußgeld-Tracker fällt auf, dass bisher nicht nur in Deutschland, sondern in nahezu jedem Mitgliedsstaat mittlerweile Bußgelder verhängt worden sind. Dabei gibt es zum Teil enorme Unterschiede in der Höhe der Bußgelder. Diese reichen von wenigen hundert Euro bis zu dreistelligen Millionenbeträgen.

Die bisher höchsten Bußgelder wurden in Großbritannien gegenüber British Airways (204,6 Mio. Euro) und der Hotelkette Marriott (110,4 Mio. Euro) verhängt. Ein Indiz dafür, dass der Datenschutz in Großbritannien wohl auch über den Brexit hinaus noch ernst genommen werden wird.

Besonders häufig werden Verstöße gegen Art. 32 und Art. 5 DS-GVO sanktioniert. Die Aufsichtsbehörden nehmen also besonders die Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten ernst. Vielen Verstößen liegt eine schlechte Organisation der technischen und organisatorischen Maßnahmen zugrunde. Dies kann zum Beispiel daran liegen, dass Kundendaten unverschlüsselt und ungesichert auf den Systemen abgelegt werden und dadurch von Dritten eingesehen oder gestohlen werden konnten. Gerade dies sind vermeidbare Verstöße, welche ein Mindestmaß an Rücksicht auf die Daten der Kunden erfordern.

Ein Verstoß gegen Art. 5 DS-GVO bedeutet, dass gegen die Grundsätze der DS-GVO verstoßen wurde. Mithilfe dieser Norm lässt sich nahezu jeder Datenschutzverstoß begründen, da jede Datenverarbeitung auf den Grundsätzen der DS-GVO beruhen muss. Eine Häufung von Verstößen gegen Art. 5 DS-GVO ist also nicht verwunderlich.

Gerade an der enorm schwankenden Bußgeldhöhe lässt sich außerdem erkennen, dass die Aufsichtsbehörden bei der Sanktionierung von Verstößen mit Augenmaß vorgehen und jeweils den konkreten Einzelfall betrachten. Nicht bei jedem Verstoß wird der volle Bußgeldrahmen ausgereizt.

Letztendlich lässt sich feststellen, dass die Datenschutz-Grundverordnung in der gesamten EU ernst genommen und umgesetzt wird, was sich an den Bußgeldern gut ablesen lässt. Einzelne Staaten, in denen besonders prominente datenverarbeitende Unternehmen ihren Sitz haben, z. Bsp. Irland (Facebook) und Schweden (Spotify), haben auffälligerweise noch keine Bußgelder erlassen, die im Tracker verzeichnet sind. Es ist jedoch davon auszugehen, dass auch hier früher oder später noch Bußgelder erlassen werden.

Um die Entwicklung des Datenschutzes in der EU weiter zu verfolgen, ist der Bußgeld-Tracker ein nützliches Hilfsmittel, um auf dem neuesten Stand zu bleiben.