DSGVO-Bussen erreichen fast 100 Millionen Euro im ersten Halbjahr 2022
Die Allgemeine Datenschutzverordnung (DSGVO) regelt in der EU, wie mit personenbezogenen Daten von EU-Bürgern umgegangen werden darf. Verstösse dagegen werden mit hohen Bussen bestraft. Im ersten Halbjahr 2022 wurden solche DSGVO-Bussen in der Höhe von fast 100 Millionen Euro ausgesprochen.
Eine Analyse von Atlas VPN zeigt, dass sich die DSGVO-Bussen im ersten Halbjahr 2022 auf insgesamt 97,29 Millionen Euro belaufen, was einem Anstieg von 92 % gegenüber dem ersten Halbjahr 2021 entspricht. Die Daten für die Analyse stammen von Enforcementtracker, einer Plattform, die eine Übersicht vermittelt über Bussgelder und Strafen, die Datenschutzbehörden innerhalb der EU im Rahmen der EU-Datenschutzgrundverordnung (GDPR, DSGVO) verhängt haben.
Aus der Übersicht und der Analyse von Atlas VPN geht hervor, dass Unternehmen und Einzelpersonen im ersten Halbjahr 2021 mit insgesamt 50,6 Millionen Euro an GDPR-Strafen belastet. Andererseits ist die Zahl der Gerichtsverfahren leicht zurückgegangen, von 215 im Jahr 2021 auf 205 im Jahr 2022. Mit anderen Worten: Auch wenn die Zahl der Verstösse gegen die DSGVO im Jahr 2022 leicht zurückging, war die Schwere dieser Verstösse erheblich grösser – und damit auch die Höhe der DSGVO-Bussen. Der auffälligste Unterschied zwischen 2021 und 2022 ist im Februar zu beobachten, wo der Gesamtbetrag der verhängten Strafen um fast 28 Millionen Euro abweicht. Auffallend ist auch folgender Trend: Rund 70 % der DSGVO-Bussen werden im ersten Quartal verhängt.
Ein paar besonders krasse Fälle
Atlas VPN verweist zudem auf ein paar bedeutende Fälle von DSGVO-Bussen, die in den ersten Halbjahren 2021 und 2022 ausgesprochen wurden. So verhängte im Juni 2021 der niedersächsische Landesbeauftragte für den Datenschutz eine Geldstrafe in Höhe von 10,4 Millionen Euro gegen die notebooksbilliger.de AG. Das deutsche Unternehmen hatte seine Mitarbeiter mindestens zwei Jahre lang ohne rechtliche Grundlage per Video überwacht. Die unzulässigen Kameras zeichneten u.a. Arbeitsplätze, Verkaufsräume, Lager und Gemeinschaftsräume auf. Das Unternehmen entgegnete, die Überwachung diene der Verhinderung und Aufklärung von Straftaten und der Verfolgung von Waren in Lagern. Eine Videoüberwachung ist jedoch nur dann rechtmässig, wenn ein begründeter Verdacht gegen bestimmte Personen besteht. Ist dies der Fall, ist es erlaubt, diese für einen bestimmten Zeitraum mit Kameras zu überwachen. In diesem Fall war die Überwachung jedoch nicht auf bestimmte Mitarbeiter oder einen bestimmten Zeitraum beschränkt.
Im Mai 2022 wiederum verhängte das Information Commissioner’s Office (ICO) gegen Clearview AI Inc. eine Geldstrafe in Höhe von 7.552.800 Britischen Pfund, weil das Unternehmen Bilder von Menschen im Vereinigten Königreich und anderswo, die im Internet und in sozialen Medien gesammelt wurden, zum Aufbau einer globalen Online-Datenbank verwendet hatte, die für die Gesichtserkennung genutzt werden konnte. Clearview AI Inc. hat mehr als 20 Milliarden Bilder von menschlichen Gesichtern und Daten aus öffentlich zugänglichen Informationen gesammelt. Das Unternehmen hat niemanden darüber informiert, dass seine Bilder auf diese Weise gesammelt oder verwendet wurden. Ausserdem überwacht das Unternehmen tatsächlich das Verhalten dieser Personen und bietet dies als kommerzielle Dienstleistung an.
DSGVO-Bussen als „Weckrufe“
Die Datenschutz-Grundverordnung war notwendig, weil die alten Gesetze vor dem Aufkommen neuer Technologien wie Smartphones und Tablets verfasst wurden, was bedeutete, dass die Nutzer nicht vor Unternehmen geschützt waren, die ihre persönlichen Daten missbrauchten. Die DSGVO verschafft den EU-Bürgern mehr Klarheit darüber, wie und warum Unternehmen ihre Daten verwenden. Darüber hinaus schränkte die DSGVO die Daten, die Unternehmen sammeln können, erheblich ein, so dass die Bürgerinnen und Bürger mit viel mehr Privatsphäre im Internet surfen und Dienste nutzen können. In der Schweiz wird das neue Datenschutzgesetz (NDSG) in eine ähnliche Richtung gehen. Dieses soll am 1. September 2023 in Kraft gesetzt werden; Unternehmen tun gut daran, sich bereits heute darauf vorzubereiten.