Vorsicht, Geldfalle Datenschutz!
Die von europäischen Behörden verhängten DSGVO-Bussgelder stiegen im 2020 deutlich auf rund 160 Mio. Euro. Saftige Bussen in Millionenhöhe sind dabei keine Einzelfälle mehr.
Die Revision des schweizerischen DSG sieht neu eine Meldepflicht von Datenschutzverletzungen und persönliche Bussen bis zu CHF 250’000 vor.
Datenschutzvorfälle in der EU und der Schweiz
Die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU) ist seit dem 25. Mai 2018 in Kraft. Mit dem Inkrafttreten der Verordnung wurden die bestehenden Meldepflichten verschärft. Die DSGVO schreibt vor, dass Datenschutzverletzungen unverzüglich und möglichst binnen 72 Stunden, den zuständigen Aufsichtsbehörden und allenfalls den betroffenen Personen gemeldet werden müssen (Art. 33 f. DSGVO). Diese Meldungen ermöglichen den Datenschutzbehörden strenge Sanktionen. Laut Statistik der internationalen Wirtschaftskanzlei DLA Piper wurden bisher 272.5 Mio. Euro Bussgelder für mehr als 281’000 Datenschutzverletzungen in den 27 EU-Mitgliedstaaten sowie Grossbritannien, Norwegen und Liechtenstein verhängt. Die Anzahl der gemeldeten Verstösse und die Höhe der verhängten Bussgelder verzeichneten dabei ein stetiges Wachstum. Im 2020 verhängten die Behörden der EU DSGVO-Bussen von rund 160 Mio. Euro, was einem deutlichen Anstieg von fast 40 % gegenüber der Vorperiode entspricht.
Das Schweizer Datenschutzgesetz (DSG) aus dem Jahr 1992 wird derzeit überarbeitet, um den internationalen Standards gerecht zu werden. Erwartet wird die Inkraftsetzung des revidierten Datenschutzgesetztes im Verlaufe des Jahres 2022. Das DSG in der Schweiz kennt bisher keine Meldepflichten bei Datenschutzverletzungen. Hingegen sieht der vorliegende Entwurf eine Meldepflicht von Verletzungen der Datensicherheit (Art. 17) vor. Gefordert wird eine Meldung so rasch wie möglich und nicht wie die DSGVO eine Meldefrist von maximal 72 Stunden. Gemeldet werden muss dabei jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Person führt. Vorgesehen ist ferner die Erhöhung der Sanktionskompetenzen der Verwaltungsbehörde, die Verschärfung der Strafbestimmungen, die Erweiterung des Tatbestandskatalogs sowie eine deutliche Erhöhung des Bussenrahmens von bisher CHF 10’000 auf neu CHF 250’000. Auf den ersten Blick ist das deutlich weniger als in der DSGVO der EU, die Verstösse mit Bussen bis zu 20 Mio. Euro bzw. 4% des weltweit erzielten Jahresumsatzes bestraft. Auf den zweiten Blick ist die Bussenerhöhung beachtlich, da im DSG jeweils die verantwortliche natürliche Person haftbar gemacht werden kann und nicht wie in der DSGVO das Unternehmen.
Rekordbussen in der EU
Die massive Zunahme der Bussgelder in der EU ist einerseits auf die höhere Anzahl der Meldungen von Datenschutzverletzungen zurückzuführen. Anderseits ist die Schonfrist, die bei der Einführung noch galt, vorbei. Lagen die maximalen Bussen während der Schonfrist noch bei 300’000 Euro, sind zwischenzeitlich Bussen von mehreren Millionen Euro möglich. Die nachfolgende Tabelle zeigt die höchsten Bussgelder in Euro, die im Jahr 2020 in Europa gesprochen wurden.
Bussgeld [EUR] | Firma und Land | Verletzung |
60 Mio. 40 Mio | Google LLC, Frankreich / Google Ireland Limited, Frankreich | Cookies wurden ohne Einwilligung der Betroffenen zu Werbezwecken eingesetzt |
35 Mio. | H&M Hennes & Mauritz Online Shop A.B. & Co. KG, Deutschland | Bespitzelung von Mitarbeitenden/ Erhebung personenbezogener Daten |
35 Mio. | AMAZON EUROPE CORE, Frankreich | Cookies wurden ohne Einwilligung der Betroffenen zu Werbezwecken eingesetzt |
27 Mio. | TIM SpA, Italien | Werbeanrufe ohne Einwilligung der Betroffenen sowie Missachtung von Widerspruchsersuchen |
22 Mio. | British Airways, United Kingdom | Diebstahl von Kreditkartennummern nach Cyberangriff |
Weitere Geldbussen wurden unter anderem wegen unrechtmässiger Videoüberwachung, unvollständiger Löschung von Personendaten sowie unangemessenem Zugriff auf vertrauliche Daten ausgesprochen.
Die Höhe eines Bussgeldes kann in folgendem Tool berechnet werden: https://www.dsgvo-portal.de/dsgvo-bussgeld-rechner.php
Learnings
Unternehmen dürfen sich nicht vor dem Schutz personenbezogener Daten drücken. Insbesondere grossen Konzernen drohen Bussen im 7-stelligen Bereich. Die zu treffenden Massnahmen umfassen unter anderem Risikoanalysen, sowie Kontrollen und angemessene Prozesse bei der Verarbeitung von personenbezogenen Daten. Die Learnings bezogen auf die höchsten Bussgelder lassen sich wie folgt zusammenfassen:
- Korrekter Einsatz und Einbindung von Cookies.
- Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten nur wenn eine gültige Rechtsgrundlage und die Einwilligung der betroffenen Person vorliegt.
- Treffen geeigneter technischer und organisatorischer Massnahmen zur Erhöhung der Datensicherheit und Vermeidung von Hackerangriffen.
FAZIT
Die Anzahl der gemeldeten DSGVO-Verletzungen und die verhängten Bussen in der EU haben im Jahr 2020 gegenüber der Vorperiode massiv zugenommen. Die Schonfrist für die Höhe der Bussen ist abgelaufen und saftige Bussen von mehreren Millionen Euro sind möglich. Die Revision des DSG sieht eine Verschärfung der Meldepflichten bei Datenschutzverletzungen und die Erhöhung der Bussgelder vor.
Die Firmen tun gut daran, die notwendigen organisatorischen und technischen Massnahmen zu treffen, um Datenschutzverletzungen und Bussgelder zu vermeiden.
Literaturquellen / Links / Tools
https://www.dlapiper.com/en/uk/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021 (26.03.2021)
https://www.heise.de/news/Fast-160-Millionen-Euro-DSGVO-Bussgelder-im-Jahr-2020-5029037.html (26.03.2021)
https://www.swissbanking.org/de/services/insight/insight-4.20/das-neue-datenschutzgesetz (26.03.2021)
https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de#fn-d106362e2345 (25.03.2021)
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=de (25.03.2021)
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php (25.03.2021)
https://www.datenschutzexperte.de/blog/datenschutz-und-eu-dsgvo/die-top-17-dsgvo-millionen-bussgelder-2020/ (25.03.2021)
https://www.pwc.ch/de/publications/2018/Datenschutz_in_der_Schweiz.pdf (26.03.2021)
https://www.pressebox.de/pressemitteilung/tuev-informationstechnik-gmbh/DSGVO-Verstoesse-Zahl-und-Hoehe-der-Bussgelder-steigen-an/boxid/1048803 (26.03.2021)
Bild:
Autorenteam:
Nathalie Boiteux
Silvia Jeiziner
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)