Datenschutztag: Nur 1,3 Prozent der Fälle vor EU Behörden führen zu einer Geldstrafe

Datenschutztag: Nur 1,3 Prozent der Fälle vor EU Behörden führen zu einer Geldstrafe

#Wien, 28. Januar 2025

Das Inkrafttreten der #DSGVO im Jahr 2018 läutete eine neue Ära des Datenschutzes in der EU ein. Zumindest auf dem Papier. Verbraucher erhielten die nötigen Mittel, um ihre Grundrechte einzufordern, während Behörden umfangreiche Ermittlungsbefugnisse erhielten. Eine davon: Die Verhängung hoher Geldstrafen. Fast 7 Jahre später ist die Realität leider deutlich ernüchternder. Anlässlich des diesjährigen Datenschutztages am 28. Januar 2025 hat Noyb aktuelle EDSA Statistiken über die (Un-)Tätigkeit der nationalen Datenschutzbehörden analysiert. Die Daten zeigen, dass im Durchschnitt nur 1,3 Prozent aller Fälle vor den Datenschutzbehörden zu einer Geldstrafe führen. Laut Datenschutzexperten sind #Geldstrafen jedoch das wirksamste Mittel, um Unternehmen zur Einhaltung der Gesetze zu bewegen.

• EDSA Bericht über die Tätigkeit der Datenschutzbehörden zwischen 2018 und 2023 …

Strenge Durchsetzung der DSGVO nur auf dem Papier. Als die Datenschutz Grundverordnung (DSGVO) im Mai 2018 in Kraft trat, versprach sie eine Wende hin zu einem ernsthaften Umgang mit Datenschutz. Von Datenschutzverletzungen betroffene Europäer:innen erhielten die notwendigen Instrumente, um sich bei ihren nationalen Datenschutzbehörden zu beschweren, diese wurden wiederum mit weitreichenden Befugnissen ausgestattet, um Verstöße zu untersuchen und Geldbußen zu verhängen. Leider haben die letzten 7 Jahre gezeigt, dass dies größtenteils Wunschdenken war. Eine Noyb Analyse von EDSA Daten über die Tätigkeit der Behörden zwischen 2018 und 2023 belegt dies: Im Durchschnitt führen nur 1,3 Prozent der Fälle vor den Datenschutzbehörden tatsächlich zu einer Geldstrafe. Dies deckt sich mit unseren eigenen Erfahrungen: Die meisten unserer Fälle ziehen sich über mehrere Jahre hin, bevor sie mit einem Vergleich abgeschlossen oder ganz verworfen werden.

Max Schrems: »Die europäischen Datenschutzbehörden haben alle erforderlichen Mittel, um DSGVO Verstöße angemessen zu ahnden und Bußgelder zu verhängen. Stattdessen ziehen sich die Verhandlungen oft über Jahre hinweg in die Länge – und enden nur selten im Sinne der Betroffenen.«

Kein wirklich positives Beispiel. Einige Datenschutzbehörden scheinen zwar weitaus höhere Strafen zu verhängen als andere, insgesamt liegen die Zahlen jedoch alle im einstelligen Prozentbereich – oder sogar darunter. Mit Strafen in 6,84 Prozent aller Fälle (Beschwerden und selbst initiierte Verfahren) zwischen 2018 und 2023 führt die slowakische Datenschutzbehörde die Statistik an. Es folgen Bulgarien (4,19 Prozent), Zypern (3,12 Prozent), Griechenland (2,65 Prozent) und Kroatien (2,54 Prozent). Am anderen Ende des Spektrums hat die niederländische Behörde in 0,03 Prozent (!) aller Fälle eine Strafe verhängt, dicht gefolgt von Frankreich (0,10 Prozent), Polen (0,18 Prozent), Finnland (0,21 Prozent), Schweden (0,25 Prozent) und natürlich Irland (0,26 Prozent). Die übrigen Länder liegen irgendwo dazwischen. Zum Öffnen der interaktiven Karte hier klicken …

Ein datenschutzspezifisches Phänomen. Dieser offensichtliche Mangel an ernsthaften Konsequenzen scheint ein spezifisches Phänomen des Datenschutzes zu sein. Nehmen wir Spanien als Beispiel: Im Jahr 2022 gingen bei der spanischen Datenschutzbehörde #page=35" class="link1" target="_blank" rel="noopener">15.128 Beschwerden ein, aber es wurden #page=52" class="link1" target="_blank" rel="noopener">nur 378 Geldstrafen verhängt. Statistisch gesehen wurden also lediglich 2,5 Prozent aller Beschwerden mit einer Geldstrafe geahndet. Dies schließt offensichtliche Verstöße wie unbeantwortete Auskunftsersuchen oder unzulässige Cookie Banner ein, die theoretisch schnell und standardisiert behandelt werden könnten. Zum Vergleich: 2022 wurden in Spanien 3,7 Millionen Strafzettel für Geschwindigkeitsübertretungen ausgestellt (exklusive Baskenland und Katalonien). Ein ähnlicher Vergleich lässt sich für praktisch alle anderen EU Mitgliedstaaten anstellen.

Max Schrems: »Irgendwie fehlt nur Datenschutzbehörden die notwendige Motivation, das ihnen anvertraute Recht auch tatsächlich durchzusetzen. In allen anderen Bereichen führen Gesetzesverstöße regelmäßig zu Geldstrafen und ernsthaften Sanktionen. Derzeit scheinen die Datenschutzbehörden oft eher im Interesse der Unternehmen als der betroffenen Personen.«

Die Daten zeigen: mehr Strafen gleich mehr Gesetzestreue. Diese Zahlen sind zwar wenig überraschend, aber dennoch alarmierend. Eine Noyb Umfrage unter Datenschutzexpert:innen zeigt, dass es gerade Geldbußen sind, die die Unternehmen zur Einhaltung der Gesetze motivieren. Auf die Frage nach den wirksamsten Durchsetzungsmaßnahmen gaben 67,4 Prozent der Befragten an, dass Entscheidungen der Datenschutzbehörde, die ihr eigenes Unternehmen betreffen und eine Geldstrafe beinhalten zu mehr #Compliance führen. Interessanterweise gaben 61,5 Prozent der Befragten außerdem an, dass selbst Bußgelder gegen andere Organisationen Einfluss auf das eigene Unternehmen haben. Zum Öffnen der interaktiven Karte hier klicken …

Die verhängten Geldstrafen sind eine Farce. Schaut man sich die Höhe der jährlich verhängten Geldstrafen genauer an, wird das Problem noch deutlicher. Irland (475.902.000 € durchschnittlicher Strafbetrag/Jahr) und Luxemburg (124.395.729 € durchschnittlicher Strafbetrag/Jahr) führen die Statistik zwischen 2018 und 2023 mit Abstand an. Auf den ersten Blick mag das nach viel Geld klingen, ist es aber nicht. Fast alle großen Tech Unternehmen wie Apple, Google, Meta und Microsoft haben ihren Sitz in Irland. Das macht die irische DPC zur federführenden Behörde für einige der größten Beschwerden überhaupt. Luxemburg hingegen ist für Unternehmen wie Amazon zuständig. In Wirklichkeit muss die DPC zu ihrem eigenen Glück gezwungen werden. Die 2 größten Noyb Fälle gegen #Meta mussten erst einen Umweg über den Europäischen Datenschutzausschuss (EDSA) nehmen, bevor die DPC schließlich eine Geldstrafe von insgesamt fast 1,6 Milliarden Euro verhängte. Zieht man diese Strafe von der Gesamtsumme ab, bleibt nicht mehr viel übrig.

Mehr Budget, mehr Entscheidungen? Einige Behörden argumentieren außerdem, dass sie nur mehr Budget und Ressourcen bräuchten, um mehr raschere – und wirkungsvollere – Entscheidungen treffen zu können. Ein Blick auf die #page=31" class="link1" target="_blank" rel="noopener">EDSA Statistiken zeigt, dass das Budget der Behörden zwischen 2020 und 2024 um bis zu 130 Prozent gestiegen ist. Die niederländische Behörde beispielsweise verzeichnete innerhalb von vier Jahren einen Haushaltsanstieg von 62 Prozent ohne dass die Zahl der verhängten Bußgelder wesentlich gestiegen wäre. Zur Veranschaulichung: Im Jahr 2023 verfügte die niederländische Datenschutzbehörde über ein Budget von fast 37 Millionen Euro, verhängte aber nur Geldbußen in Höhe von €1,98 Millionen. Dies entspricht einer Differenz von fast €35 Millionen., die eine große Lücke im Staatshaushalt hinterlassen. Dieser Betrag könnte leicht durch eine strengere Durchsetzung ausgeglichen werden. DSGVO Strafen gehen immerhin an den Staat der federführenden Behörde. Zum Öffnen der interaktiven Karte hier klicken …

Fast 40 Prozent aller Strafen dank Noyb. Dieses Muster zieht sich durch die gesamte EU: Zwischen 2018 und 2023 verhängten alle #EU Datenschutzbehörden Strafgelder in Höhe von insgesamt 4,29 Milliarden Euro – von denen 1,69 Milliarden Euro auf Noyb Verfahren basieren. Mit anderen Worten: Fast 40 Prozent aller DSGVO Strafen gehen auf #Noyb zurück. In Wirklichkeit scheint es also eher am politischen Willen als an den Handlungsmöglichkeiten zu mangeln, Tech Giganten die Stirn zu bieten.