Datenschutz. Fast 1,1 Milliarden Euro an Bußgeldern wurden für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) in den letzten 12 Monaten verhängt, so eine Studie von Wirtschaftskanzlei DLA Piper.
Nach Angaben der internationalen Anwaltskanzlei bedeutet dies seit dem 28. Jänner 2021 einen Anstieg der verhängten Bußgelder um 594 Prozent im Vergleich zu den 158,5 Mio. Euro an Bußgeldern im gleichen Zeitraum des Vorjahres.
Die Zahlen stammen aus der jüngsten Umfrage von DLA Piper zu Bußgeldern und Datenschutzverletzungen in den 27 Mitgliedstaaten der Europäischen Union sowie im Vereinigten Königreich, in Norwegen, Island und Liechtenstein.
Die besonders straffreudigen Länder
- Luxemburg, Irland und Frankreich führen die Rangliste der höchsten individuellen Geldbußen an (EUR 746 Mio., EUR 225 Mio., EUR 50 Mio.). Luxemburg und Irland haben jeweils rekordverdächtige Geldbußen verhängt, die sie vom letzten Platz an die Spitze der Rangliste – auch an jene der höchsten Gesamtgeldbußen seit DSGVO-Einführung am 25. Mai 2018 – gebracht haben. Österreich liegt mit DSGVO-Geldbußen in der Höhe von bisher rund 25 Millionen Euro auf Platz acht seit Einführung.
- Die Zahl der Meldungen von Datenschutzverletzungen hat weiter um 8 Prozent zugenommen, und zwar von durchschnittlich 331 Meldungen pro Tag im letzten Jahr auf 356 in diesem Jahr. Insgesamt wurden seit dem 28. Jänner 2021 rund 130.000 Verletzungen des Schutzes personenbezogener Daten gemeldet.
- In Österreich war im Vergleichszeitraum ein Anstieg von 869 auf 1.131 Verstöße zu beobachten, hier liegt das Land im Mittelfeld (Platz 14).
- Bei der Gewichtung der Ergebnisse nach der Bevölkerungszahl der Länder nehmen die Niederlande in diesem Jahr mit 151 Datenschutzverletzungen pro 100.000 Einwohner die Spitzenposition vor Liechtenstein (136) und Dänemark (131) ein. Kroatien, die Tschechische Republik und Griechenland hatten seit dem 28. Jänner 2021 die wenigsten Datenschutzverletzungen pro Kopf. In Österreich ist die Zahl auf 9,6 gesunken, womit man um drei Plätze auf Rang 19 zurückgefallen ist.
Wer hat Angst vor Max Schrems?
Auch wenn die Erhöhung der Bußgelder beträchtlich ist, bleibt das Urteil des Europäischen Gerichtshofes in der Rechtssache Data Protection Commissioner vs. Facebook Ireland Limited, Maximillian Schrems vom Juli 2020, bekannt als „Schrems II“, für viele von der DSGVO betroffene Organisationen die größte Herausforderung des Datenschutzes, heißt es dazu weiter: Strenge Beschränkungen für die Übermittlung personenbezogener Daten aus Europa und dem Vereinigten Königreich in „Drittländer“ sind vorgesehen, wobei Datenexporteure Aussetzungsanordnungen, Geldbußen und Schadenersatzforderungen riskieren, wenn sie diese neuen Anforderungen nicht erfüllen.
Das Urteil verlangt von Organisationen, die personenbezogene Daten aus Europa und dem Vereinigten Königreich in Drittländer exportieren eine umfassende Bestandsaufnahme dieser Übermittlungen und eine detaillierte Bewertung der rechtlichen und praktischen Risiken im Importland. Das erhöht den Aufwand für die Einhaltung der Vorschriften für Datenexporteure und -importeure erheblich, so DLA Piper.
Sabine Fehringer, Partnerin und Leiterin der Datenschutzpraxis im Wiener DLA Piper Büro, kommentiert: „Die fast siebenfache Erhöhung der Bußgelder mag für Schlagzeilen sorgen, aber das Urteil in der Rechtssache Schrems II und seine tiefgreifenden Auswirkungen auf die Datenübermittlung ins Ausland haben sich für viele Unternehmen, die von der DSGVO betroffen sind, als die größte Herausforderung im Datenschutz erwiesen.“
Es drohen Strafen und Stillstand
Den Umfrageergebnissen zufolge birgt das Schrems-II-Urteil nicht nur die Gefahr von Bußgeldern und Schadenersatzforderungen, sondern es droht auch eine Unterbrechung des Dienstes, falls die Datenübermittlung ausgesetzt wird, was schwerwiegende Auswirkungen auf die Geschäftskontinuität hat.
„Die drohende Aussetzung von Datenübermittlungen ist potenziell viel schädlicher und kostspieliger als die Androhung von Geldbußen und Schadenersatzforderungen. Die Konzentration auf Datenübermittlungen und der erhebliche Arbeitsaufwand, der für die Einhaltung der Vorschriften erforderlich ist, bedeutet zwangsläufig, dass Unternehmen weniger Zeit, Geld und Ressourcen haben, um sich auf andere Datenschutzrisiken zu konzentrieren“, so Fehringer weiter.
Die Dunkelziffer
Nicht alle Mitgliedstaaten des Europäischen Wirtschaftsraums machen Einzelheiten zu den Statistiken über die Meldung von Sicherheitsverletzungen öffentlich zugänglich. Einige haben nur unvollständige Statistiken oder Statistiken für einen Teil des Berichtszeitraums zur Verfügung gestellt, so dass die Zahlen aufgerundet und in einigen Fällen extrapoliert wurden, um eine bestmögliche Annäherung zu erreichen. Ebenso werden nicht alle Bußgelder im Zusammenhang mit der DSGVO veröffentlicht, und einige Daten beziehen sich nur auf einen Teil des Berichtszeitraums, heißt es zur Untersuchung.
