Skip to main content

DSGVO-Bussgelder und Aussichten für das Schweizer Datenschutzgesetz

Werfen wir einen Blick auf die interessanten Statistiken zur DSGVO und versuchen wir zu prognostizieren, was wir vom DSG erwarten können.

Die Datenschutz-Grundverordnung trat am 25. Mai 2018 in Kraft, also vor mehr als 5 Jahren. Sie hatte zum Ziel, die Datenschutzgesetze in der gesamten Europäischen Union anzugleichen. Die Verordnung legte die Messlatte für den Schutz der personenbezogenen Daten der Nutzer hoch. Trotz der frühen Ankündigung haben es viele Unternehmen nicht geschafft, ihre Informationssysteme rechtzeitig entsprechend vorzubereiten. Es soll aber nicht unerwähnt bleiben, dass die Geldbussen für Verstösse gegen die DSGVO bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes des Unternehmens betragen können.

Die Anzahl der Geldbussen

Seit dem Inkrafttreten der Verordnung bis August 2023 wurden 1 801 Geldbussen verhängt, die sich auf insgesamt mehr als 4 Mrd. EUR belaufen. In den ersten 14 Monaten des Inkrafttretens der Datenschutz-Grundverordnung war es in Bezug auf die Anzahl und die Höhe der Bussgelder relativ ruhig (abgesehen vom Fall „Google“ im Januar 2019, als das Unternehmen wegen mangelnder Transparenz mit einem Bussgeld von 50 Millionen Euro belegt wurde). Das nachstehende Diagramm veranschaulicht die Anzahl der Geldbussen pro Monat.

[Anzahl der Geldbussen (monatlich)]

Im letzten Jahr (von September 2022 bis August 2023) lag die durchschnittliche Zahl der Geldbussen pro Monat bei 43, was angesichts der Tatsache, dass es 27 Länder in der EU gibt, nicht wirklich viel ist. Im Durchschnitt werden 1,5 Geldbussen pro Land und Monat verhängt.

Statistik über die Höhe der Geldbussen

Der erste Spitzenreiter in Bezug auf die Höhe der Geldbußen war Google im Jahr 2021 mit 200 Millionen Euro. Google hat seine Lektion schnell gelernt und ist seit 2021 nicht mehr bestraft worden. Unangefochtener Spitzenreiter bei der Höhe der Geldbussen ist jedoch das derzeitige Unternehmen Meta (das zum ersten Mal als Facebook bestraft wurde) mit mehr als 2,3 Mrd. EUR. Bemerkenswerterweise wird Meta, im Gegensatz zu Google, weiterhin jedes Jahr zu einer Geldstrafe verurteilt, und jedes Jahr steigen die Bussgelder in erschreckendem Masse.

Wir haben versucht, die monatlichen Daten zu den Geldbussen zu bereinigen, indem wir ausstehende Fälle von mehr als 5 Mio. EUR eliminiert haben, wobei das Ergebnis zeigt, dass die durchschnittliche Geldbusse für den gesamten Zeitraum seit 2018 bei 91 Tausend EUR liegt bzw. bei 88 Tausend EUR für die letzten 12 Monate.

Das nachstehende Diagramm zeigt die durchschnittliche Geldstrafe pro Fall (ohne Fälle, die 5 Mio. EUR übersteigen).

[Geldstrafe lt. AVG (monatlich)]

Rangliste

Das führende Land in Bezug auf die Höhe der Geldbussen ist Irland (natürlich wegen Meta und Google). Aber überraschenderweise liegt Luxemburg an zweiter Stelle.

Was die Anzahl der Bussgelder angeht, so ist Spanien mit 733 von insgesamt 1801 Bussgeldern der absolute Spitzenreiter.

Die häufigsten Verstösse (in Bezug auf Anzahl und Höhe der Geldbussen) betreffen die "Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung" und "Unzureichende Rechtsgrundlagen bezüglich der Datenverarbeitung". Mit deutlichem Abstand an dritter Stelle stehen "Unzureichende technische und organisatorische Massnahmen zur Gewährleistung der Informationssicherheit".

Wie sieht es mit dem Schweizer Datenschutzgesetz aus?

Wenn wir in Analogie zur DSGVO argumentieren, dann wird das gesamte System in der Schweiz einige Zeit brauchen, um neue Prozesse anzupassen. Das bedeutet nicht, dass Sie sich entspannt zurücklehnen und sich keine Sorgen um die Cybersicherheit und den Datenschutz in Ihrem Unternehmen zu machen brauchen. Wenn Ihr Unternehmen die Anpassung an die neue DSGVO noch nicht abgeschlossen hat, empfehlen wir Ihnen dringend, dies so bald wie möglich zu tun.

Da sich die Haftung gemäss DSG in erster Linie auf natürliche Personen konzentriert und die Höchststrafe bei 250'000 Franken liegt, sind wahrscheinlich nicht so hohe Bussen zu erwarten, wie nach der DSGVO. Und da die Anforderungen der Schweizer Datenschutzbehörde an die Verarbeitung personenbezogener Daten im Allgemeinen etwas moderater sind als die der DSGVO, und Bussgelder nur bei Verstössen aufgrund vorsätzlichen Handelns gelten und in den meisten Fällen nur auf die Einreichung einer Beschwerde hin verhängt werden, bleibt zu hoffen, dass die Anforderungen in der Schweiz zu weniger Strafverfahren führen werden. Zumindest für eine Anfangszeit.

Nach einer "Probezeit" werden wohl die Ermittlungs- und Strafverfolgungsverfahren des neuen DSG weiterentwickelt und verfeinert. Dann ist mit einem Anstieg der Zahl der Fälle und der Höhe der Bussgelder zu rechnen.

Deshalb ist es so wichtig, den Datenschutz ernst zu nehmen und alle erforderlichen Massnahmen zu ergreifen.

Wenn Sie Fragen dazu haben, wie Sie die IT Ihres Unternehmens an die neue Verordnung anpassen können, zögern Sie nicht, uns über das Kontaktformular auf unserer Website zu kontaktieren. Wir sind für Sie da!

 

Quellen:

https://dataprivacymanager.net/5-biggest-gdpr-fines-so-far-2020/

https://www.enforcementtracker.com/?insights

https://gdpr-info.eu/

https://www.mondaq.com/privacy-protection/1292208/new-swiss-data-protection-act--the-most-important-changes-for-companies