Seit Mai 2018 ist die Datenschutzgrundverordnung nun in Kraft. Anfangs hatten sich die Datenschutzbehörden in den Ländern der EU bei der Verhängung von Bußgeldern zurückgehalten. Unternehmen wurde so eine Schonfrist eingeräumt, um die gesetzlichen Anforderungen in ihre Abläufe zu integrieren.

Dies änderte sich Ende 2018. Die Zahl der verhängten Bußgelder sowie deren Höhe stieg spürbar an.

Die Behörden schöpften ihren Spielraum von bis zu 20 Mio. EUR bzw. 4 % des weltweiten Jahresumsatzes zum Teil erheblich aus. Auch wenn die im Folgenden beschriebenen Fälle nicht alle auf das E-Mail-Marketing übertragbar sind, so bleibt doch festzuhalten, dass die finanziellen Risiken bei Datenschutzverstößen in Europa erheblich gestiegen sind.

In Großbritannien musste die Hotelkette Marriot Ende 2018 ein Rekordbußgeld von 110 Mio. EUR wegen Kompromittierung von Millionen von Kundendaten akzeptieren.

In Frankreich wurde Google 2019 mit einer Strafe in Höhe von 50 Mio. EUR belegt. Google fehlten lt. französischer Datenschutzbehörde wirksame Einwilligungen für die Datennutzung seiner Kunden, da der Konzern nicht ausreichend über deren exakte Verwendung informiert hatte.

In Italien wurde gegen das Telekommunikationsunternehmen TIM 2019 ein Bußgeld in Höhe von fast 28 Mio. EUR verhängt, u.a. wegen fehlender Einwilligungen zu Werbezwecken, in diesem Fall zu telefonischer Werbung.

Jüngstes Beispiel ist das in Deutschland im Oktober 2020 verhängte Rekordbußgeld in Höhe von 35 Mio. EUR gegen den Modekonzern H&M. Der Konzern hatte systematisch  Informationen über das Privatleben von Mitarbeitern erfasst, Profile erstellt und für Maßnahmen und Entscheidungen im Arbeitsverhältnis genutzt.

Doch es gibt auch ein Korrektiv zu den Entscheidungen der Datenschutzbehörden. So entscheiden die Gerichte europaweit über die Rechtmäßigkeit der Bußgelder, wenn die betroffenen Unternehmen gegen diese klagen. Aktuelles Beispiel ist die in Deutschland gegen das TK-Unternehmen 1&1 verhängte Strafe in Höhe von fast 10 Mio. EUR, die das Landgericht Bonn auf weniger als 10% des Ursprungsbetrages, nämlich auf 900.000 EUR reduzierte. Dabei stell­ten die Rich­ter den Verstoß gegen den Daten­schutz an sich nicht in Frage. 1&1 hatte es seinerzeit zur Authentisierung im Call-Center ausreichen lassen, für die Herausgabe einer Telefonnummer (eines Dritten!) lediglich Name und Geburtsdatum des Betroffenen zu erfragen. Sie befanden jedoch, die Millionen-Strafe als „unan­ge­mes­sen hoch“.

Das Urteil wird sicherlich künftig zu einer erhöhten Klagewelle gegen Bußgeldbescheide führen, insbesondere dann, wenn es sich um schmerzhafte Strafen für Unternehmen handelt. Ob in den nächsten Jahren Gerichte tendenziell Bußgelder reduzieren und damit auch die Entscheidungspraxis der Datenschutzbehörden grundlegend verändern, bleibt abzuwarten. Für die CSA gibt das Urteil in jedem Fall Anlass, die Entscheidungen der Behörden und der Gerichte weiterhin genau zu beobachten.