Laut einer Umfrage der Welt am Sonntag unter den deutschen Datenschutzbehörden wurden in den ersten zwölf Monaten nach Inkrafttreten der DSGVO Bußgelder in Höhe von ca. EUR 485.000 in Deutschland verhängt.
Die Spannbreite reichte hierbei von Bußgeldern in Höhe von wenigen hundert Euro bis hin zu einem vorläufigen Rekordbußgeld in Höhe von EUR 80.000, das der Landesbeauftragte für den Datenschutz in Baden-Württemberg wegen der unsachgemäßen Verarbeitung von Gesundheitsdaten verhängt hat. In Berlin wurde zudem erst im Mai – quasi zum einjährigen Bestehen der DSGVO – ein Bußgeld in Höhe von EUR 50.000 gegen eine Online-Bank verhängt, die unzulässigerweise Daten ehemaliger Kunden auf einer schwarzen Liste geführt haben soll.
Die Bußgelder werden häufig durch Beschwerden betroffener Personen ausgelöst. Allerdings führt nur ein Bruchteil der eingereichten Beschwerden zu einem Bußgeld. So wurden in den ersten zwölf Monaten über 150.000 Beschwerden allein bei deutschen Datenschutzbehörden eingereicht. Eine Steigerung um ein Vielfaches im Vergleich zu den Zahlen vor Einführung der DSGVO.
In anderen EU-Ländern sind bisher wenige Bußgelder auf Grundlage der DSGVO verhängt worden. Allerdings sind die Bußgeldbeträge zum Teil deutlich höher als in Deutschland. Allen voran die französische „Commission Nationale de l’Informatique et des Libertés“oder CNIL, die im Jahr 2018 exakt ein Bußgeld auf Grundlage der DSGVO verhängt hat, nämlich in Höhe von EUR 50 Mio. gegen Google und zwar wegen nicht im Sinne von Art. 13 DSGVO transparenter bzw. nicht vollständiger Datenschutzinformationen. In Portugal, Polen und Norwegen verhängte Bußgelder, die jeweils deutlich im sechsstelligen Bereich liegen, lassen vermuten, dass sowohl die Anzahl der Bußgeldverfahren, als auch die in den Raum gestellten Bußgeldbeträge in Zukunft europaweit steigen dürften.
Am Ende sollte jedoch nicht vergessen werden, dass die Bußgelder keinen Selbstzweck darstellen dürfen. Es schließlich ist das ausdrückliche Ziel der DSGVO, den freien Verkehr personenbezogener Daten in der EU zu fördern – nicht etwa einzuschränken oder gar zu verbieten (Art. 1 Abs. 3 DSGVO).
Eine systematische Ausrichtung anhand der europäischen Datenschutznormen bietet Unternehmen jeglicher Größe Möglichkeit, bei der Datenverarbeitung in der EU – und zunehmend auch in anderen Regionen der Welt mit vergleichbaren Standards (z.B. Kanada, Japan, Australien) – von den durch die DSGVO gesetzten Standards zu profitieren.