DSGVO-Bussen erreichen 2021 über 1 Milliarde Euro

Das Ziel der Datenschutz-Grundverordnung (DSGVO, zumeist englisch abgekürzt mit GDPR) war es, den EU-Bürgern mehr Kontrolle über ihre Daten und ihre Privatsphäre zu geben. Eingeführt wurde sie im Jahr 2018 und gilt auch in den Ländern Island, Liechtenstein und Norwegen, die zwar nicht EU-Mitglieder sind, aber dem Europäischen Wirtschaftsraum EWR angehören. Schweizer Unternehmen betrifft die DSGVO insofern, als sie mit Niederlassungen in EU-Ländern aktiv sind. Bei Verstössen könnten also auch sie zu DSGVO-Bussen verknurrt werden. Ein neues Schweizer Datenschutzgesetz (siehe Kasten) wartet nach langer Diskussion auf seine Inkraftsetzung – möglicherweise Mitte 2022.

Rekordhohe Bussen im Jahr 2021

Der Anbieter von Datensicherheits-Dienstleistungen Atlas VPN hat die DSGVO-Bussgelder im Jahr 2021 errechnet. Diese belaufen sich nach deren Angaben auf über 1 Milliarde Euro, wobei im Jahr 2021 insgesamt 412 Bußgelder verhängt worden sind. Zu den Unternehmen, die die höchsten Strafen für Verstösse gegen die DSGVO zahlen mussten, gehören globale Unternehmen wie Amazon und WhatsApp, aber auch verschiedene nationale Telekommunikations-Dienstleister. Wie weit auch Schweizer Unternehmen DSGVO-Bussen entrichten mussten, geht aus den Informationen von Atlas VPN nicht hervor.

Im Jahr 2018, als die EU das DSGVO-Gesetz umsetzte, wurden insgesamt 436 000 Euro an Bussgeldern an Unternehmen verhängt. Im nächsten Jahr, 2019, stieg die Summe der Geldbussen deutlich auf 72 Millionen Euro. Im Jahr 2020 belief sich dann der Gesamtwert der verhängten Geldbussen bis zum Jahresende auf über 171 Mio. Euro. Das Jahr 2021 übertraf die vergangenen Jahre jedoch bei weitem und brachte DSGVO-Bussen in Höhe von mehr als 1 Mrd. EUR hervor, was einem Anstieg von 521 % gegenüber dem Vorjahr entspricht.

Die höchste Busse im Jahr 2021 musste Amazon Europe Core S.à.r.l. mit 746 Mio. Euro bezahlen. Später, im September, verhängte die EU gegen WhatsApp Ireland Ltd. eine Geldstrafe von 225 Millionen Euro, die zweithöchste Strafe in der Geschichte der DSGVO. Vilius Kardelis, Cybersecurity-Autor bei Atlas VPN, lässt sich wie folgt zitieren: „Die DSGVO zieht weiterhin erfolgreich Unternehmen zur Rechenschaft, wenn sie die Daten von Menschen missbrauchen oder ihre Datenschutzrichtlinien unklar formulieren. Die Unternehmen sind verantwortungsbewusster im Umgang mit ihren Kundendaten geworden, um saftige Geldstrafen von den Aufsichtsbehörden zu vermeiden, was letztlich allen EU-Bürgern zugutekommt.“ Die Bemühungen um mehr Datenschutz scheinen also erste Früchte zu tragen.

DSGVO-Bussen im Ländervergleich

In einigen Ländern hatten die aktualisierten Datenschutzgesetze erhebliche Auswirkungen auf die Unternehmen, da sie im Rahmen des neuen Systems mit angemessenen Geldbussen belegt wurden. So wurden etwa in Spanien 351 Bußgelder verhängt, die sich auf 36,7 Millionen Euro belaufen. Die durchschnittliche Strafe beläuft sich auf rund 105 000 EUR, womit Spanien im Vergleich zu allen anderen Ländern mit Abstand die meisten Bussgelder kassiert hat. Als grösste „Sünder“ erwiesen sich dort verschiedene Telekom-Anbieter, allen voran Vodafone Spain, die mit verschiedenen Marketing-Aktivitäten mehrmals gegen die DSGVO-Vorschriften verstossen hatten.

An zweiter Stelle steht Italien mit 101 DSGVO-Bussen, für die die Unternehmen fast 90 Millionen Euro zahlen mussten. Die durchschnittliche Strafe in Italien betrug 2021 etwa 887 000 EUR, was im Vergleich zu anderen Ländern eine der höchsten ist. Auch in unserem südlichen Nachbarland wurde mit TIM ein grosser Telekommunikations-Dienstleister zur Kasse gebeten. Das Unternehmen musste eine Busse von 27.8 Mio. Euro wegen unvorschriftsmässigen Sammelns und Weiterverbreitung von Daten bezahlen.

An dritter Stelle der Liste steht Rumänien, das insgesamt 68 Sanktionen verhängt hat, die sich auf 721 000 Euro summieren. Obwohl das Land viele Strafen verhängt hat, liegt der Durchschnitt bei unter 11 000 Euro.

Quelle: VPN Atlas

Neues Datenschutzgesetz in der Schweiz

Auch die Schweiz erhält ein neues Datenschutzgesetz. Dieses wurde am 25. September 2020 verabschiedet und soll möglicherweise Mitte 2022 in Kraft treten. Es lehnt sich in wesentlichen Punkten an die DSGVO der EU an und hat zum Ziel, die Transparenz im Austausch und in der Bearbeitung von Personendaten zu erhöhen, die Eigenverantwortung der Datenbetreiber zu fördern sowie die Datenschutzaufsicht durch den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB zu stärken. Ebenfalls bringt das neue Schweizer Datenschutzgesetz einen Ausbau der Strafbestimmungen mit Bussen von bis zu 250 000 Franken.