Datenschutz verstehen – DSGVO Strafen in der Analyse
Zusammenfassung:
- Ordnungswidrigkeiten liegen bei Verstößen gegen die DSGVO vor. Es werden Bußgelder in Höhe von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt.
- Eine Straftat liegt vor, wenn der Verantwortliche gegen die Straftatbestände des BDSG-neu verstößt. Es drohen Freiheitsstrafen von bis zu 2 bzw. 3 Jahren.
- Überwacht wird die korrekte Anwendung der DSGVO und des BDSG-neu von den zuständigen Aufsichtsbehörden der Mitgliedstaaten.
- Betroffene Personen von Verstößen gegen den Datenschutz können von ihrem Beschwerderecht bei der zuständigen Datenschutzbehörde Gebrauch machen.
Dieser Beitrag konzentriert sich auf die Strafen und Bußgelder, die bei Nichtbeachtung der DSGVO verhängt werden können. Die finanziellen Folgen von DSGVO Strafen können erheblich sein, weshalb ein tiefgreifendes Verständnis der Risiken und Verpflichtungen, die sich aus der DSGVO ergeben, für alle Unternehmen von entscheidender Bedeutung ist.
Drohende Bußgelder bei Datenschutzverstößen
Bei jedem Datenschutzverstoß droht ein Bußgeld. Hierbei werden allerdings verschiedene Faktoren berücksichtigt. So hat die Art, Schwere und Dauer des Verstoßes einen Einfluss auf die Höhe der Strafe. Auch die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, wird berücksichtigt. Eine Rolle spielen auch die getroffenen Maßnahmen, die den Schaden mindern und der Grad der Verantwortung, welcher durch die Qualität und Quantität der technischen und organisatorischen Maßnahmen beeinflusst wird. Zudem wird berücksichtigt, ob es in der Vergangenheit schon zu Verstößen gekommen ist oder nicht.
Betroffene Personen haben ein Beschwerderecht bei der zuständigen Datenschutzbehörde, weshalb es immer häufiger Meldungen über Datenschutzverletzungen gibt. Das betrifft insbesondere die unberechtigte Weitergabe persönlicher Daten. In diesem Zusammenhang steigt die Anzahl von Anzeigen wegen der unberechtigten Weitergabe von personenbezogenen Daten. Verstöße gegen die DSGVO werden mit Bußgeldern geahndet.
Bei dem Thema Sanktionen wegen Datenschutzverstößen muss zwischen Ordnungswidrigkeiten und Straftaten differenziert werden: § 42 BDSG-neu enthält z.B. in Abs. 1 und Abs. 2 Straftatbestände für die unberechtigte Weitergabe von personenbezogenen Daten oder die unberechtigte Verarbeitung oder Erschleichung von derartigen Daten. Den Tätern drohen bei Verstößen gegen die Tatbestände Freiheitsstrafen von bis zu zwei bzw. drei Jahren.
Bei den Verstößen gegen die DSGVO handelt es sich dagegen um Ordnungswidrigkeiten. Die Höhe der Bußgelder für diese Ordnungswidrigkeiten sind in Art. 83 ff. DSGVO näher geregelt.
Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:
- Auftragsverarbeitung
- Betroffenenrechte
- Verzeichnis der Verarbeitungstätigkeiten
- Informationspflichten (Datenschutzerklärungen)
- Technisch-organisatorische Maßnahmen
- Übermittlungen von personenbezogenen Daten in Drittstaaten
- Grundsätze der Datenverarbeitung
- Datenschutz-Folgenabschätzungen
Mittlerweile ist der Rahmen für potenzielle Bußgelder vielen Unternehmen bekannt. In diesem Zusammenhang kennen viele Verantwortliche die Bezifferung von möglichen Bußgeldern in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Jahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 5 DSGVO.
Die Verstöße gegen folgende Vorgaben der DSGVO können zu einem Bußgeld in genannter Höhe führen:
- Die Grundsätze der Datenverarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 DSGVO
- Die Betroffenenrechte gem. Art. 12 bis 22 DSGVO
- Die Übermittlung personenbezogener Daten an einen Empfänger im Drittland oder an eine internationale Organisation nach den Art. 44 bis 49 DSGVO
- Die Pflichten gem. den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen worden sind
- Die Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Art. 58 Abs. 2 DSGVO oder die Nichtgewährung des Zugangs unter einem Verstoß gegen Art. 58 Abs. 1 DSGVO
Ein Verstoß gegen folgende Vorgaben der DSGVO wird mit einem Bußgeld in Höhe von bis zu 10 Mio. Euro oder im Fall eines Unternehmens bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist:
- Die Pflichten der Verantwortlichen und der Auftragsverarbeiter gem. Art. 8, 11, 25 bis 39, 42 und 43 DSGVO
- Die Pflichten der Zertifizierungsstelle gem. Art. 42, 43 DSGVO
- Die Pflichten der Überwachungsstelle gem. Art. 41 Abs. 4 DSGVO
Weitere Informationen zu Folgen und Strafen bei Datenschutzverstößen finden Sie hier.
Bußgeldverfahren nach DSGVO und BDSG
Die Höhe des Bußgelds wird in einem Bußgeldkatalog festgelegt. Obgleich die DSGVO für alle Mitgliedstaaten der EU gilt, gibt es kein einheitliches Sanktionsrecht, sodass jeder Mitgliedstaat sein eigenes Bußgeldverfahren hat. In Art. 83 Abs. 8 DSGVO ist somit geregelt, dass jeder Mitgliedstaat über angemessene Verfahrensgarantien verfügt. § 41 BDSG regelt so für Deutschland, welche Vorschriften bei Verstößen Anwendung finden.
Gem. Art. 58 Abs. 2 DSGVO wird allerdings nicht immer direkt ein Bußgeld verhängt. Es besteht auch die Möglichkeit, von der zuständigen Behörde verwarnt zu werden und die Anweisung zu bekommen, die Rechte der Betroffenen zu wahren und Verarbeitungsvorgänge zu korrigieren. Darüber hinaus muss bei einer Datenpanne stets die zuständige Behörde informiert werden.
Bei einer Datenpanne müssen die relevanten Informationen bereitgestellt werden, sodass eventuelle Ermittlungsmaßnahmen durch Staatsanwaltschaft oder Gerichte durchgeführt werden können.
Für den Erlass von Bußgeldern sind die nationalen Behörden zuständig. Wird ein Bußgeld verhängt, sollte dieses ernst genommen werden, da es existenzbedrohend sein kann. Das Bußgeld hat hierbei auch einen abschreckenden Charakter.
Ein Verstoß verjährt nach drei Jahren, will man aber gar nicht erst ein Bußgeld riskieren, sollte ein Datenschutzbeauftragter bestellt und ein Datenschutzmanagementsystem angelegt und gepflegt werden. Dies kann vor einem hohen Bußgeld schützen.
Wodurch entstehen Strafen und Bußgelder im Datenschutz?
Die gesetzliche Ausrichtung im Datenschutz und insbesondere in der DSGVO ist im Grunde klar: Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es gibt eine Rechtsgrundlage. Es handelt sich hierbei um ein Verbot mit Erlaubnisvorbehalt. Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt z.B. eine Einwilligung gem. Art. 6 Abs. 1 lit. a), 7 DSGVO oder eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 lit. c) DSGVO in Betracht.
Typische Verstöße gegen die DSGVO sind beispielsweise Verstöße gegen die Benennungspflicht eines Datenschutzbeauftragten oder die Meldung des Datenschutzbeauftragten als solche. Auch die Unterlassung der Erfüllung von Betroffenenrechten oder der Verstoß gegen die Zweckbindung der Datenverarbeitung gehören zu den klassischen Datenschutzverstößen. Die Erhebung von Daten ohne entsprechende Rechtsgrundlage oder die Verarbeitung von personenbezogenen Daten für Werbezwecke trotz des Widerrufs einer etwaigen Einwilligung fallen ebenfalls unter die typischen Verstöße gegen die DSGVO.
Die Verletzung der Informations- und Transparenzpflichten sind ebenfalls ein Bereich, der von vielen Unternehmen nicht datenschutzkonform praktiziert wird. Fehlende Auftragsverarbeitungsverträge, nicht ausreichende technisch-organisatorische Maßnahmen oder unterlassene Schulungen der eigenen Mitarbeiter sind ebenfalls Beispiele für regelmäßige Datenschutzverstöße.
Aktuelle Datenschutz-Bußgelder
Die jüngst verhängten Bußgelder auf Grundlage der DSGVO geben einen teuren Ausblick für das Jahr 2021. 10,4 Millionen Euro gegen notebooksbilliger, über 12 Millionen Euro gegen Vodafone Italien und 35,3 Millionen Euro gegen die Modekette H&M, lassen zukünftig immer weniger Spielraum für Datenschutzverstöße. So langsam wird immer deutlicher, dass die Schonfristen der Aufsichtsbehörden sich dem Ende neigen. Die aktuellen Meldungen können Sie hier lesen.
Wie werden DSGVO Strafen berechnet?
Am 24. Mai 2023 hat der Europäische Datenschutzausschuss (EDSA), eine Koordinationsgruppe für Datenschutz in der EU, aktualisierte Richtlinien zur Berechnung von Geldstrafen bei Datenschutzverstößen veröffentlicht. Obwohl die grundlegende Methode zur Berechnung der Geldbußen gleich geblieben ist, betont die neue Version die potenziell höheren Strafen für Unternehmen mit hohem Umsatz.
Die Geldbuße, die bei einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) fällig wird, hängt zum Teil vom Umsatz eines Unternehmens ab. Der EDSA nutzt den Jahresumsatz des Unternehmens, um die maximale Strafe zu berechnen (entweder 2% oder 4% des globalen Jahresumsatzes, abhängig von der Art des Verstoßes). Dieser Umsatzwert wird auch genutzt, um den Startwert für die Geldstrafe zu bestimmen.
Je nachdem wie schwerwiegend der Verstoß ist, kann der Startwert der Strafe bereits bei 0,2% bzw. 0,4% für leichte Verstöße und bis zu 2% bzw. 4% für schwerere Verstöße liegen. Zum Beispiel, wenn ein Unternehmen mit einem Umsatz von zwei Milliarden Euro gegen die DSGVO verstößt, könnte die Strafe selbst bei einem leichten Verstoß bereits bei vier Millionen Euro beginnen. Dieser Startwert kann jedoch im weiteren Prozess angepasst werden. Faktoren wie das Ausmaß des Verschuldens, frühere Verstöße oder das Verhalten nach der Tat können dazu führen, dass die Strafe erhöht oder gesenkt wird. Es wird auch berücksichtigt, ob die Strafe wirksam, verhältnismäßig und abschreckend ist.
Welcher Umsatz gilt für die Berechnung von DSGVO Strafen?
Ein unsicheres Element bei der Berechnung von DSGVO Strafen im Rahmen der Datenschutz-Grundverordnung (DSGVO) ist, wessen Umsatz zur Berechnung herangezogen wird. Der Europäische Datenschutzausschuss (EDSA) argumentiert, dass wir den Begriff “Unternehmen” so verstehen sollten, wie er in den Artikeln 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) definiert ist. Hier geht es um die Vorstellung einer “wirtschaftlichen Einheit”, die im Kartellrecht der EU verwendet wird.
Wenn wir diesen Ansatz verfolgen, bedeutet “Unternehmen” nicht nur die spezifische Organisation, die personenbezogene Daten verarbeitet. Es könnte auch die Muttergesellschaft und möglicherweise den gesamten Konzern umfassen. Somit könnte eine erhebliche Umsatzgröße für die Berechnung von Bußgeldern, welche ggf. nur in Tochtergesellschaften verursacht worden sind, herangezogen werden.
Allerdings ist noch unklar, ob diese breite Interpretation akzeptiert wird. Die Erwägungsgründe, auf die sich der EDSA bezieht, sind rechtlich nicht bindend. Außerdem könnte diese breite Definition zu erheblichen Unstimmigkeiten mit dem Verständnis von “Unternehmen” und “Unternehmensgruppe” im bindenden Teil der DSGVO führen.
Fazit
Zusammenfassend wird deutlich, dass Bußgelder möglichst vermieden werden sollten, denn sie können schwere wirtschaftliche Auswirkungen auf das Unternehmen haben. Um die Wahrscheinlichkeit eines Verstoßes zu senken, wird empfohlen, einen Datenschutzbeauftragten zu bestellen, da dieser als Experte genau die Risiken kennt und diese beurteilen kann.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.