Die internationale Wirtschaftskanzlei DLA Piper hat ihren „GDPR Fines und Data Breach Survey 2023“ veröffentlicht. Die fünfte Auflage der Studie erfasst Bußgelder wegen Verstößen gegen die DSGVO in allen 27 Mitgliedstaaten der Europäischen Union sowie im Vereinigten Königreich, in Norwegen, Island und Liechtenstein.

Seit Januar 2022 verhängten die europäischen Datenschutzbehörden Bußgelder in Höhe von 2,92 Mrd. Euro – ein Anstieg von 168 % gegenüber dem Vorjahr.

Das höchste Bußgeld in Höhe von 405 Mio. Euro verhängte die irische Datenschutzkommission (DPC) gegen den US-Konzern Meta.

Das höchste Einzelbußgeld wurde in Luxemburg verhängt (746 Mio. Euro); Irland belegt auf der Länderliste die Plätze zwei bis sechs. Deutschland rangiert nach Frankreich auf Rang acht mit einem Einzelbußgeld von rund 35 Mio. Euro, verhängt durch die Datenschutzbehörde in Hamburg.

Im Durchschnitt ging die Zahl der gemeldeten Datensicherheitsvorfälle leicht von 328 auf 300 Meldungen pro Tag* zurück.

Die Niederlande führen mit mittlerweile 117.434 Meldungen weiterhin die Liste der Länder mit dem meisten Meldungen von Datensicherheitsvorfällen seit Geltung der DSGVO im Mai 2018 an, gefolgt von Deutschland mit 76.967 Meldungen. Bezogen allein auf die Jahre 2021 und 2022 wurden allerdings in Deutschland mehr Vorfälle gemeldet als in den Niederlanden.

Die internationale Anwaltskanzlei DLA Piper hat die Ergebnisse ihrer jährlichen Studie zu DSGVO-Bußgeldern und Datensicherheitsvorfällen veröffentlicht. Die europaweite** Umfrage ergab ein weiteres Rekordjahr mit einem Anstieg des Gesamtwerts der verhängten Bußgelder um 168 % im Vergleich zum Vorjahr.

Zu den höchsten Bußgeldern gehörten jene gegen Meta Platforms Ireland Ltd. (Meta). Dies zeigt, dass die sozialen Medien und die damit verbundene umfangreiche Verarbeitung personenbezogener Daten besonders im Fokus der Behörden stehen. Mehrere der höchsten Geldbußen, die 2022 von der irischen Datenschutzbehörde gegen Meta verhängt wurden, beziehen sich auf die Erstellung von Verhaltensprofilen von Nutzern bei Facebook und Instagram sowie auf die Frage, ob die massenhafte Erhebung durch eine „vertraglichen Notwendigkeit" legitimiert werden kann.

Neben Fragen zu personenbezogenen Daten im Zusammenhang mit Werbung und sozialen Medien richtet sich das Augenmerk der Behörden zunehmend auf künstliche Intelligenz und die Rolle personenbezogener Daten, die zum Training von KI verwendet werden. So gab es auf Hinweis von Datenschutzorganisationen etwa mehrere Untersuchungen gegen das Gesichtserkennungsunternehmen Clearview AI, die in Bußgeldern resultierten. Da KI und Machine-Learning-Plattformen immer allgegenwärtiger werden, prognostiziert die Studie für das kommende Jahr weitere behördliche Untersuchungen und Maßnahmen sowohl gegen Anbieter als auch Nutzer von KI.

Die Studie zeigt auch, dass die Zahl der den Aufsichtsbehörden gemeldeten Datensicherheitsvorfälle im Vergleich zum Vorjahr leicht zurückgegangen ist, von 328 Meldungen auf 300 pro Tag. Dies könnte ein Zeichen dafür sein, dass Unternehmen aus Furcht vor Ermittlungen, Geldbußen und Schadensersatzforderungen vorsichtiger werden, wenn es darum geht, den Aufsichtsbehörden Datensicherheitsvorfälle zu melden.

Die Studie geht auch auf einige wichtige Entscheidungen der Datenschutzbehörden in 2022 ein, so etwa die Anwendung der Anforderungen aus der Schrems II-Entscheidung des EuGH und Kapitel V der Datenschutz-Grundverordnung mit Blick auf den internationalen Transfer personenbezogener Daten. Dem risikobasierten Ansatz bei der Übermittlung personenbezogener Daten in „Drittländer“ erteilten die Datenschutzbehörden eine Absage; sie argumentierten vielmehr, dass internationale Datentransfers unzulässig seien, wenn die bloße Möglichkeit des Zugriffs ausländischer Behörden ein Schadensrisiko mit sich bringe.

Verena Grentzenberg, Partnerin der Praxisgruppe Intellectual Property & Technology (IPT) von DLA Piper in Deutschland für Datenschutz, kommentiert: „Ein verhältnismäßiger, risikobasierter Ansatz bei der Auslegung der DSGVO-Beschränkungen für die internationale Übermittlung personenbezogener Daten ist nicht nur zulässig, sondern unserer Ansicht nach gesetzlich vorgesehen. Ein absolutistischer Ansatz bei den Übermittlungsbeschränkungen und ein effektives Verbot jeglicher Übermittlung personenbezogener Daten, wie gering (oder nicht existent) das Schadensrisiko auch sein mag, birgt die Gefahr, dass den Verbrauchern ein echter dauerhafter Schaden entsteht.“

Jan Pohle, ebenfalls IPT-Partner mit Spezialisierung im Bereich Datenschutz, ergänzt: „Die Verarbeitung personenbezogener Daten hat viele Vorteile für Verbraucher und Gesellschaft, da sie beispielsweise die rasche Entwicklung und Einführung von Impfstoffen gewährleisten und Online-Dienste ermöglichen kann, die von Milliarden von Menschen weltweit genutzt werden. Es bleibt zu hoffen, dass die Aufsichtsbehörden ihren Vollzugsansatz manifestiert in den jüngsten Durchsetzungsentscheidungen kritisch hinterfragen.“

Dr. Jan Geert Meents, Managing Director UK & Europe und Partner der deutschen IPT-Gruppe, sagt: „Die zahlreichen Bußgelder, die von der irischen Datenschutzkommission im vergangenen Jahr gegen die verhaltensbezogene Werbung von Social-Media-Plattformen verhängt wurden, haben weitreichende Folgen. Gleiches gilt für die Schrems II-Entscheidung mit Blick auf den internationalen Datentransfer. In Anbetracht dessen, was auf dem Spiel steht, dürfte mit jahrelangen Rechtsstreitigkeiten zu rechnen sein. Die Rechtslage ist in vielerlei Hinsicht noch lange nicht geklärt.“

Den vollständigen Report können Sie hier herunterladen.

* Nicht alle in diesem Bericht erfassten Länder stellen Statistiken über Datenschutzverletzungen öffentlich zur Verfügung, und viele haben nur für einen Teil des Berichtszeitraums Daten zur Verfügung gestellt. Daher mussten wir die Daten extrapolieren, um den gesamten Zeitraum abzudecken. Es ist auch möglich, dass sich einige der gemeldeten Verstöße auf die Regelung vor der DSGVO beziehen. Da eine Reihe von Datenschutzaufsichtsbehörden inzwischen Jahresberichte für 2021 herausgegeben haben, wurden einige Zahlen im letztjährigen Bericht, die zuvor hochgerechnet wurden, in diesem Bericht aktualisiert.

** Die DLA Piper-Erhebung deckt alle 27 Mitgliedstaaten der Europäischen Union sowie das Vereinigte Königreich, Norwegen, Island und Liechtenstein ab. Nicht alle Länder veröffentlichen Einzelheiten zu den verhängten Geldbußen. Es ist möglich, dass mehr Geldbußen verhängt und nicht veröffentlicht wurden. Das Vereinigte Königreich verließ die EU am 31. Januar 2020. Das Vereinigte Königreich hat die Datenschutz-Grundverordnung in allen Ländern des Vereinigten Königreichs (England, Nordirland, Schottland und Wales) in nationales Recht umgesetzt. Zum Zeitpunkt dieser Umfrage ist die britische Datenschutz-Grundverordnung in allen wesentlichen Punkten identisch mit der EU-Grundverordnung. Allerdings hat das Ministerium für Digitales, Medien, Kultur und Sport der britischen Regierung vor kurzem eine Konsultation zu den vorgeschlagenen Änderungen der britischen Datenschutzgesetze mit dem Titel "Data: a new direction" (Daten: eine neue Richtung) durchgeführt und schlägt vor, im Laufe des Jahres 2023 Änderungen an den britischen Datenschutzgesetzen vorzunehmen. Es bleibt abzuwarten, inwieweit diese Änderungen von der EU-DSGVO abweichen werden.

Über DLA Piper

DLA Piper zählt mit Büros in über 40 Ländern in Afrika, Asien, Australien, Europa, dem Nahen Osten sowie Nord- und Südamerika zu den weltweit führenden Wirtschaftskanzleien. In Deutschland ist DLA Piper an den Standorten Frankfurt, Hamburg, Köln und München mit mehr als 250 Anwältinnen und Anwälten vertreten. In bestimmten Jurisdiktionen können diese Informationen als Anwaltswerbung angesehen werden. Weitere Informationen unter: www.dlapiper.com