Zum Inhalt springen Zur Navigation springen
Tätigkeitsbericht 2023: BayLDA verhängte Millionen-Bußgeld

Tätigkeitsbericht 2023: BayLDA verhängte Millionen-Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beschreibt in seinem 13. Tätigkeitsbericht, dass es im abgelaufenen Jahr 2023 die höchste Zahl an Bußgeldern seit Geltungsbeginn der DSGVO verhängt hat. Die Meldung ist nicht neu. Nun wurde aber berichtet, dass von der verhängten Gesamtsumme von rund 3,8 Millionen Euro, rund 85 % auf ein Tech-Unternehmen fallen. Der vorliegende Beitrag beleuchtet kurz die Zuständigkeit und die Hintergründe dieser Entscheidung.

Keine Erwähnung im Tätigkeitsbericht

Selten kommt es vor, dass das BayLDA nähere Informationen zu verhängten Bußgeldern preisgibt. Auch in seinem Tätigkeitsbericht 2023 werden die genauen Höhen der verhängten Bußgelder entweder nicht genannt – meist in Fällen, die Privatpersonen betreffen – oder es handelt sich lediglich um Verfahren im drei- oder vierstelligen Bereich. Mitunter wird zu diesem Thema auch vollständig geschwiegen. Letzteres zeigt sich im hiesigen Fall. Denn zählt man die erwähnten Bußgelder zusammen, gelangt man maximal zu einer 5-stelligen Summe.

Datenschutzrechtliche Zuständigkeiten

Das BayLDA ist in Bayern die Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich. Damit ist sie insbesondere für die Überwachung des Datenschutzes in Unternehmen zuständig. Als einziges Bundesland teilt Bayern die Zuständigkeiten im Datenschutz auf eine weitere Behörde auf, nämlich dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD). Diese ist die zuständige Aufsichtsbehörde für den öffentlichen Bereich.

Die allgemeine Pflicht zur Etablierung solcher Datenschutzaufsichtsbehörden für die Mitgliedsstaaten findet sich in Art. 51 DSGVO. Für den Bund gilt: In § 9 Abs. 1 und 14 Abs. 1 BDSG ist die Zuständigkeit des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für die Kontrolle öffentlicher Stellen des Bundes geregelt. Bei den Ländern ist § 40 BDSG zu beachten: Dieser bestimmt die Zuständigkeit der Aufsichtsbehörden der einzelnen Bundesländer über nicht-öffentliche Stellen. Damit obliegt es den einzelnen Landesgesetzgebern entsprechende Regelungen zu schaffen. Dass in Bayern zwei separate Aufsichtsstellen existieren, ergibt sich aus Art. 15 Abs. 1 BayDSG für die öffentlichen Stellen und aus Art. 18 Abs. 1 BayDSG für nicht-öffentliche Stellen und somit für die Privatwirtschaft.

3,2 Millionen Euro Bußgeld

Die Pressestelle des BayLDA schilderte gegenüber einer Anfrage der Piltz Rechtsanwälte PartGmbB, dass die Behörde rund 3,2 Millionen Euro gegen ein Tech-Unternehmen verhängte. Das trägt maßgebend zum Gesamtergebnis bei:

„Insgesamt wurde im Jahr 2023 die höchste Zahl an Bußgeldern seit Geltungsbeginn der DS-GVO verhängt […]“, heißt es im 13. Tätigkeitsbericht des BayLDA.

Der Begriff des Tech-Unternehmens ist dabei relativ weit zu verstehen, da hierunter auch Hardware-Hersteller, Softwareentwickler oder Plattformanbieter umfasst sein können. Damit könnten auch IT-Systemhäuser und IT-Dienstleister gemeint sein; und hiervon existieren in Bayern einige.

Vorgeworfen wurde dem Unternehmen, dass mangels wirksamer Einwilligung – es wurde schlicht keine eingeholt – personenbezogene Daten für einen Zeitraum von rund zwei Jahren unrechtmäßig für Zielgruppen-Targeting, also Marketing-Maßnahmen verarbeitet wurden. Erschwerend kam hinzu, dass ein Tool eines US-amerikanischen Unternehmens eingesetzt wurde, die Daten also regelmäßig an einen Drittstaat zur Analyse übermittelt wurden.

Dass es sich um gehashte, also pseudonymisierte E-Mail-Adressen handelte, änderte an der Entscheidung der Behörde nichts. Zu den bekanntermaßen „strafmildernd“ zu berücksichtigenden Umständen zählte der zügige Stopp der Verarbeitung noch bevor die Behörde Maßnahmen erließ, die Kooperationsbereitschaft und dass die Kontrollmechanismen innerhalb des Unternehmens verstärkt wurden.

Höhe des Bußgeldes

Dass trotz der mildernden Umstände, insbesondere der Kooperationsbereitschaft, das Bußgeld im Vergleich noch hoch ausfiel, wird nicht im Detail erklärt. Ausschlagend wird aber vor allem die nicht ganz von der Hand zu weisende systematische Missachtung des Datenschutzes sein. Dieses ergibt sich aus der Kombination von Dauer und möglicher Kenntnisnahme des Einwilligungserfordernisses. Ein großes Tech-Unternehmen, dass über zwei Jahre hinweg Zielgruppen-Targeting unter Nutzung eines US-amerikanischen Dienstleisters (vermutlich Google) betrieben hat, muss sich dem berechtigten Vorwurf stellen, zumindest bewusst fahrlässig gehandelt und bewusst so lange gewartet zu haben, bis der Verstoß entdeckt wurde.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.