DSGVO-Verstöße: So hohe Bußgelder nehmen Top-Unternehmen in Kauf

Viele Unternehmen sammeln eure personenbezogenen Daten wie Name, Adresse oder Kontaktdaten. Damit diese Daten nicht in falsche Hände geraten, sind Unternehmen dazu verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um den Schutz eurer Daten vor dem unbefugten Zugriff durch Dritte zu gewährleisten. Innerhalb der EU gab es lange viele unterschiedliche Datenschutzgesetze, die 2018 durch die Datenschutz-Grundverordnung (DSGVO) EU-weit standardisiert wurden. Wenn Unternehmen dennoch gegen die DSGVO verstoßen, werden sie zur Kasse gebeten: Wir haben für euch ermittelt, welche Unternehmen bislang die höchsten Bußgelder zahlen mussten und in welchen Ländern die strengsten Strafen verhängt wurden. 

Facebook, Instagram und WhatsApp: Meta musste bislang die höchsten Strafen zahlen

Heutzutage gibt es vermutlich kaum noch jemanden, der seine Daten nicht durch die Erstellung eines Social-Media-Accounts preisgegeben hat. Mit den Plattformen Facebook, Instagram und WhatsApp dürfte der US-Konzern Meta (bis Oktober 2021 Facebook Inc.) eine der größten Sammlungen an personenbezogenen Daten besitzen. Umso beunruhigender ist es, dass Meta in unserem Ranking auf Platz eins der Unternehmen mit den höchsten Geldstrafen wegen DSGVO-Verstößen steht: Im Jahr 2019 hat die US-amerikanische Verbraucherschutzbehörde FTC das höchste Bußgeld für Datenschutzvergehen in der Geschichte der FTC gegen Facebook verhängt – fünf Milliarden US-Dollar, also rund 4,6 Milliarden Euro, musste der Internetkonzern zahlen. Gründe hierfür waren mehrfache Verstöße gegen FTC-Datenschutzverordnungen aus den Jahren 2012 und 2018, bei welchen Facebook pflichtwidrig über die Verwendung und die Schutzmöglichkeiten von persönlichen Nutzerdaten getäuscht hat. Unter dem Namen Meta Platforms und hat der Konzern wegen drei weiterer Verstöße 1,8 Milliarden Euro Strafe zahlen müssen. Weitere Vergehen auf Instagram und WhatsApp führten zu Bußgeldern in Höhe von 405 und 230,5 Millionen Euro. Damit musste Meta bzw. Facebook Inc. insgesamt bereits 7,1 Milliarden Euro Strafe zahlen.

Chinesisches Uber-Pendant auf Platz zwei: DiDi musste 1,2 Milliarden Euro zahlen

Die chinesische Cyberaufsichtsbehörde verhängte das zweithöchste Bußgeld von 1,2 Milliarden Euro gegen den Fahrdienstleister DiDi aufgrund von Verstößen gegen die chinesischen Gesetze zur Netzwerksicherheit, zur Datensicherheit und zum Schutz persönlicher Informationen. Gegen zwei Führungskräfte von DiDi wurden ebenso Bußgelder von je 1.000.000 CNY (ca. 144.903 EUR) verhängt. Auf Platz drei der Unternehmen mit den höchsten Bußgeldern befindet sich Amazon mit rund 811 Millionen Euro, die sich aus fünf Vergehen ergeben. Auf Platz vier und fünf folgen Google und das US-amerikanische Finanzdienstleistungsunternehmen Equifax mit 781,9 und 522,1 Millionen Euro Geldstrafen.

Welche weiteren bekannten Unternehmen besetzen Top-Positionen im Ranking? 

Im September 2023 verhängte die EU gegen das Videoportal Tiktok eine Strafe in Höhe von 345 Millionen Euro. Die Kommission warf dem Onlinedienst vor, beim Umgang mit Daten Minderjähriger gegen den EU-Datenschutz verstoßen zu haben. Hinzu kommen weitere Geldstrafen in Höhe von mehreren Millionen Euro – damit landet das 2016 gegründete Unternehmen mit einer Gesamtsumme von rund 365 Millionen Euro auf dem sechsten Platz. Ebenfalls hervorzuheben sind beispielsweise die hohen Bußgelder weiterer Technologiekonzerne wie X/Twitter (141,2 Millionen Euro), Microsoft (69 Millionen) oder Apple (acht Millionen). Aber auch das beliebte Modeunternehmen H&M (44,3 Millionen), die Mobilfunkgesellschaft Vodafone (29,4 Millionen) oder der Lebensmitteleinzelhändler Rewe (80 Millionen) tauchen in dem Ranking auf.

In den USA wurden bislang die höchsten Bußgelder verhängt

Weltweit mussten Unternehmen bereits fast zwölf Milliarden Euro Strafe für DSGVO-Verstöße und für Verletzungen anderer Datenschutzgesetze zahlen – knapp die Hälfte davon in den USA, was vor allem an der immensen Strafe für Facebook liegt. Auf dem zweiten Platz liegt Irland mit rund 2,9 Milliarden verhängten Bußgeldern. Platz drei belegt China mit 1,2 Milliarden Euro. Auf Platz vier befindet sich Luxemburg mit 746,4 Millionen Euro. Das wird unter anderem darauf zurückzuführen sein, dass viele globale Konzerne ihre Hauptsitze in diesen vier Ländern haben. Deutschland befindet sich auf Platz neun mit verhängten Geldstrafen in Höhe von 6,2 Millionen Euro.

In Deutschland hätte Deutsche Wohnen das bisher höchste Bußgeld mit 14,5 Millionen Euro wegen Datenschutzverstößen zahlen sollen. Der Immobilienkonzern soll persönliche Daten seiner Mieter:innen speichern, ohne zu prüfen, ob dies rechtmäßig und erforderlich sei. Bei den Untersuchungen hatten die Behörden festgestellt, dass das IT-System des Unternehmens technisch gar keine Möglichkeit vorsehe, die konkreten Daten zu löschen. Persönlichkeitsbezogene Daten wie Gehaltsbescheinigungen, Kontoauszüge, Selbstauskünfte, Auszüge aus Arbeitsverträgen sowie Steuer-, Sozial- und Krankenversicherungsdaten sind auf unbegrenzte Zeit in den Datenbanken hinterlegt. Nach einem Einspruch des Unternehmens wurde der Beschluss allerdings für unwirksam erklärt, weil es zuvor durch eine Anwaltskanzlei datenschutzrechtlich unterstützt wurde und Bußgelder gegen Unternehmen nur bei nachweisbarem Verschulden von Leitungspersonen verhängt werden können.

  • Prof. Dr. Mohammad Mahdavi
    Viele Unternehmen unterschätzen die Relevanz von Datenschutz und Datensicherheit oder beachten sie zum Teil sogar absichtlich nicht, um beispielsweise Daten zu verkaufen oder sie für Verhaltensanalysen ihrer Kunden und Kundinnen zu nutzen. In unserer Untersuchung wurden mehr als 3.000 Bußgelder für rund 2.500 Unternehmen analysiert. Aber auch Anzeigen gegen zahlreiche Ärzte und Ärztinnen, Polizist:innen und über 300 Privatpersonen sind mit dabei. Durch die hohen Geldstrafen versuchen die Behörden deutlich zu machen, dass mit den Daten von Verbraucher:innen nicht leichtfertig umgegangen werden darf. Cyber Security und Datensicherheit sind ein wichtiger Bestandteil in einigen unserer Bachelor- und Masterstudiengänge, beispielsweise im Master Business Management oder im Bachelor Data Science, AI and Digital Business. Die Studierenden lernen bei uns nicht nur, wie wichtig Datenschutz für Privatpersonen und Unternehmen ist. In den praxisorientierten Modulen bringen wir ihnen bei, wie sie effektive Maßnahmen zum Schutz von persönlichen Daten ergreifen können. Nur so lassen sich die Datenschutzvergehen und die damit verbundenen Geldstrafen vorbeugen.
    Prof. Dr. Mohammad MahdaviProfessor für Data Science

Verwandte Blogs

Nachhaltigkeit: Diese DAX 40-Unternehmen setzen auf Dachbegrünung und Photovoltaik

Der Softwarehersteller SAP aus Baden-Württemberg hat das größte begrünte Dach aller DAX-Konzerne, wie unsere neueste Untersuchung ergeben hat. Dafür wurden die entsprechenden Werte für die Firmenstandorte in Deutschland bei den Unternehmen erfragt oder direkt aus den offiziellen Angaben der Webseiten oder Nachhaltigkeitsberichte entnommen. Anlass der Untersuchung war die Frage, ob und inwieweit deutsche Großkonzerne lediglich
Mehr lesen