DSGVO Strafen und Bußgelder

Datenschutz verstehen –  DSGVO Strafen und Bußgelder

Zusammenfassung
  1. Bei der DSGVO und dem BDSG-neu handelt es sich um ein Verbot mit Erlaubnisvorbehalt, welches die Rechte betroffener Personen bezüglich ihrer Daten unter anderem durch höhere Sanktionierungen von Datenschutzverstößen schützt.
  2. Ordnungswidrigkeiten liegen bei Verstößen gegen die DSGVO vor. Es werden Bußgelder in Höhe von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt.
  3. Eine Straftat liegt vor, wenn der Verantwortliche gegen die Straftatbestände des BDSG-neu verstößt. Es drohen Freiheitsstrafen von bis zu 2 bzw. 3 Jahren.
  4. Überwacht wird die korrekte Anwendung der DSGVO und des BDSG-neu von den zuständigen Aufsichtsbehörden der Mitgliedstaaten.
  5. Betroffene Personen von Verstößen gegen den Datenschutz können von ihrem Beschwerderecht bei der zuständigen Datenschutzbehörde Gebrauch machen.
  6. Typische Datenschutzverstöße sind beispielsweise die Unterlassung der Erfüllung von Betroffenenrechten, die Erhebung von Daten ohne entsprechende Rechtsgrundlage sowie Verstöße gegen die Benennungspflicht eines Datenschutzbeauftragten.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Bei Verstößen gegen die DSGVO drohen Unternehmen Bußgelder. Diese werden von den jeweiligen zuständigen Aufsichtsbehörden der Bundesländer verabschiedet. In diesem Beitrag erfahren Sie mehr zu den gesetzlichen Grundlagen und zur Höhe von Bußgeldern nach der neuen Datenschutz Grundverordnung.

 

Strafen der DSGVO: Alles über die neue Datenschutz Grundverordnung

Die neue europäische Datenschutz-Grundverordnung (DSGVO) ist seit dem 25.05.2018 anwendbar und beinhaltet einige Strafen in Form von Bußgeldern für Datenschutzverstöße. 

Seit diesem Datum wurden in ganz Europa und auch in Deutschland bereits einige Bußgelder wegen Verstößen gegen die DSGVO verhängt. Neben Bußgeldern drohen allerdings auch Freiheitsstrafen, die beispielsweise im nationalen Bundesdatenschutzgesetz (BDSG-neu) geregelt sind. Neben der DSGVO findet in Deutschland nämlich auch das BDSG-neu Anwendung. Mehr zum Verhältnis zwischen DSGVO und BDSG-neu erfahren Sie hier

Insbesondere das Jahr 2019 soll das Jahr der Kontrollen werden, das ergibt sich jedenfalls aus einem Statement des baden-württembergischen Landesbeauftragten für den Datenschutz und die Datensicherheit (LfDI) Stefan Brink. Unternehmen und Organisationen sollten laut Brink keine unnötigen RIsiken im Datenschutz eingehen, denn “wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird”, so Brink im SWR weiter. 

Die neue Datenschutzverordnung DSGVO schützt personenbezogene und den freien Datenverkehr innerhalb und außerhalb der EU. Auch das BDSG-neu verfolgt das gleiche Ziel, lediglich auf Bundesebene. Darüber hinaus wird es in Zukunft die e-Privacy-Verordnung geben: Durch diese wird die europäische ePrivacy-Richtlinie, die in Deutschland bereits zum Großteil im Telekommunikationsgesetz und Telemediengesetz umgesetzt wurde, ersetzt. Darüber hinaus soll die e-Privacy-Verordnung die DSGVO für das Segment der Datenverarbeitung im Rahmen der elektronischen Kommunikation ergänzen.

 

Verstöße gegen den Datenschutz

Einige der wesentlichen Vorgaben des alten Bundesdatenschutzgesetzes bleiben weiterhin bestehen. Hierzu gehören zum Beispiel die Grundsätze der Datenverarbeitung, die ebenfalls in der DSGVO in Art. 5 DSGVO geregelt sind. 

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a) DSGVO)
  • Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO)
  • Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO)
  • Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO)
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO
  • Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO
  • Rechenschaftspflicht der Verantwortlichen (Art. 5 Abs. 2 DSGVO)

Viele Regelungen in der DSGVO sind allerdings gänzlich neu oder wesentlich schärfer als im alten Bundesdatenschutzgesetz (BDSG-alt). Ein Verstoß gegen die DSGVO wird demnach stärker bestraft als ein Verstoß gegen das alte Bundesdatenschutzgesetz. Verstöße gegen die DSGVO können mit bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes eines Unternehmens bestraft werden. Je nachdem, welcher der Beträge höher ist. Nach dem BDSG-alt wurde ein Datenschutzverstoß mit maximal 300.000 Euro geahndet.

Wichtige Neuerungen der DSGVO

Eine weitere Neuerung neben der höheren Sanktionierung von Datenschutzverstößen sind die neuen Transparenz- und Informationspflichten. Bevor Daten erhoben werden, müssen Verantwortliche betroffene Personen entsprechend den Vorgaben nach Art. 12 ff. DSGVO informieren. Eine Datenschutzerklärung enthält beispielsweise viele Informationen, die nach den Vorgaben der Art. 12, 13 DSGVO transparent den betroffenen Personen vermittelt werden müssen.

Darüber hinaus müssen Verantwortliche die Vorgaben in Bezug auf technische-organisatorische Maßnahmen, die im Wesentlichen in Art. 32 DSGVO geregelt sind. In diesem Zusammenhang ist die Regelung in Art. 25 DSGVO bemerkenswert: Produkte und Anwendungen müssen datenschutzfreundlich so voreingestellt werden, dass personenbezogene Daten nur dem jeweiligen Verarbeitungszweck entsprechend verarbeitet werden. Dies gilt auch für die Menge der erhobene personenbezogenen Daten, dem Umfang der Verarbeitung, der Speicherfrist und ihre Zugänglichkeit. Insbesondere der unberechtigte Zugriff einer unbestimmten Zahl von natürlichen Personen auf diese Daten muss durch entsprechende Voreinstellungen verhindert werden, vgl. Art. 25 Abs. 2 DSGVO.

Auch die Datenschutz-Folgenabschätzung, geregelt in Art. 35 DSGVO, ist eine neue Regelung in der DSGVO, weist aber gewisse Ähnlichkeiten zu der im BDSG-alt geregelten Vorabkontrolle auf. Besonders bei erheblichen Eingriffe in das allgemeine Persönlichkeits gem. Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG der betroffenen Personen ist die Datenschutz-Folgenabschätzung für Verantwortliche in der Regel verpflichtend. Wann eine Datenschutz-Folgenabschätzung im Einzelnen durchgeführt und wie diese ausgestaltet werden muss, erfahren Sie hier

Betroffene Personen wurden zudem in Ihren Rechten erheblich gestärkt. Gem. Art. 15 bis Art. 22 DSGVO stehen ihnen nun eine Reihe verschiedener Rechte, wie das Auskunftsrecht, das Recht auf Löschung oder das Recht auf Datenübertragbarkeit gegenüber Verantwortlichen zur Verfügung. Verantwortliche müssen diverse Prozesse etablieren, um der Geltendmachung derartiger Rechte gerecht zu werden.

Beispielhafte Datenschutzverletzungen

Die gesetzliche Ausrichtung im Datenschutz und insbesondere in der DSGVO ist im Grunde klar: Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es gibt eine Rechtsgrundlage. Es handelt sich hierbei um ein Verbot mit Erlaubnisvorbehalt. Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt z.B. eine Einwilligung gem. Art. 6 Abs. 1 lit. a), 7 DSGVO oder eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 lit. c) DSGVO in Betracht. 

Typische Verstöße gegen die DSGVO sind beispielsweise Verstöße gegen die Benennungspflicht eines Datenschutzbeauftragten oder die Meldung des Datenschutzbeauftragten als solche. Auch die Unterlassung der Erfüllung von Betroffenenrechten oder der Verstoß gegen die Zweckbindung der Datenverarbeitung gehören zu den klassischen Datenschutzverstößen. Die Erhebung von Daten ohne entsprechende Rechtsgrundlage oder die Verarbeitung von personenbezogenen Daten für Werbezwecke trotz des Widerrufs einer etwaigen Einwilligung fallen ebenfalls unter die typischen Verstöße gegen die DSGVO.

Die Verletzung der Informations- und Transparenzpflichten sind ebenfalls ein Bereich, der von vielen Unternehmen nicht datenschutzkonform praktiziert wird. Fehlende Auftragsverarbeitungsverträge, nicht ausreichende technisch-organisatorische Maßnahmen oder unterlassene Schulungen der eigenen Mitarbeiter sind ebenfalls Beispiele für regelmäßige Datenschutzverstöße.

 

Drohende Strafen und Bußgelder bei Datenschutzverstößen

Betroffene Personen haben ein Beschwerderecht bei der zuständigen Datenschutzbehörde, weshalb es immer häufiger Meldungen über Datenschutzverletzungen gibt. Das betrifft insbesondere die unberechtigte Weitergabe persönlicher Daten. In diesem Zusammen steigt die Anzahl von Anzeigen wegen der unberechtigten Weitergabe von personenbezogenen Daten. Verstöße gegen die DSGVO werden mit Bußgeldern geahndet. 

Bei dem Thema Sanktionen wegen Datenschutzverstößen muss zwischen Ordnungswidrigkeiten und Straftaten differenziert werden: § 42 BDSG-neu enthält z.B. in Abs. 1 und Abs. 2 Straftatbestände für die unberechtigte Weitergabe von personenbezogenen Daten oder die unberechtigte Verarbeitung oder Erschleichung von derartigen Daten. Betroffenen Personen drohen bei Verstößen gegen die Tatbestände Freiheitsstrafen von bis zu zwei bzw. drei Jahren. 

Ordnungswidrigkeiten werden dagegen beispielsweise bei Verstößen gegen die Vorgaben der DSGVO verhängt. Die Höhe der Bußgelder für diese Ordnungswidrigkeiten sind in Art. 83 ff. DSGVO näher geregelt. 

DSGVO Bußgelder

Mittlerweile ist der Rahmen für potentielle Bußgelder vielen Unternehmen bekannt. In diesem Zusammenhang kennen viele Verantwortlichen die Bezifferung von möglichen Bußgeldern auf bis zu 20 Mio. Euro oder im Fall eines Unternehmens auf 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Jahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 5 DSGVO.

Die Verstöße gegen folgende Vorgaben der DSGVO können zu einem Bußgeld in genannter Höhe führen: 

  • Die Grundsätze der Datenverarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 DSGVO
  • Die Betroffenenrechte gem. Art. 12 bis 22 DSGVO
  • Die Übermittlung personenbezogener Daten an einem Empfänger im Drittland oder an eine internationale Organisation nach den Art. 44 bis 49 DSGVO
  • Die Pflichten gem. den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen worden sind
  • Die Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Art. 58 Abs. 2 DSGVO oder die Nichtgewährung des Zugang unter einem Verstoß gegen Art. 58 Abs. 1 DSGVO

Ein Verstoß gegen folgende Vorgaben der DSGVO wird mit einem Bußgeld von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist: 

  • Die Pflichten der Verantwortlichen und der Auftragsverarbeiter gem. Art. 8, 11, 25 bis 39, 42 und 43 DSGVO
  • Die Pflichten der Zertifizierungsstelle gem. Art. 42, 43 DSGVO
  • Die Pflichten der Überwachungsstelle gem. Art. 41 Abs. 4 DSGVO

 

Wer ist für die DSGVO zuständig und wie wird die Rolle der Behörden definiert?

Die zuständigen Aufsichtsbehörden der Mitgliedstaaten überwachen die Anwendung der DSGVO, damit die Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten geschützt werden und der freie Verkehr personenbezogener Daten in der Europäischen Union erleichtert wird, Art. 51 Abs. 1 DSGVO.

Datenschutzbeauftragte in Unternehmen

Viele Unternehmen wissen seit Inkrafttreten der DSGVO nicht, ob sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen bzw. zu benennen. Im Zweifel ist stets die Bestellung eines Datenschutzbeauftragten zu empfehlen, um die Anforderungen der DSGVO rechtskonform erfüllen zu können und potentielle Risiken beenden bzw. minimieren zu können. Wann ein Datenschutzbeauftragter zu bestellen ist, regeln Art. 37 DSGVO, § 38 BDSG-neu.

In Folgenden Fällen muss ein Datenschutzbeauftragter bestellt werden:

  • Wenn mehr als mindestens zehn Personen regelmäßig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu bestellen. Die automatisierte Verarbeitung liegt beispielsweise bereits in der Verwendung einer E-Mail-Software, z.B. Outlook, vor. 
  • Wenn besondere personenbezogene Daten gem. Art. 9 oder Art. 10 DSGVO, wie z.B. Informationen über Rasse, politische Meinung, Sexualität, Gesundheit, oder strafrechtliche Verurteilungen verarbeitet werden, besteht unabhängig von der Anzahl der beschäftigten Mitarbeiter die Pflicht, einen Datenschutzbeauftragten zu benennen, Art. 37 Abs. 1 lit. c) DSGVO.
  • Wenn die Haupttätigkeit des Unternehmens in der Durchführung von personenbezogenen Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, Art. 37 Abs. 1 lit. b) DSGVO
  • Für den Fall der Erforderlichkeit einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO oder der geschäftsmäßigen Verarbeitung von personenbezogenen Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, muss ebenfalls, unabhängig von der Anzahl der mit der personenbezogenen Datenverarbeitung beschäftigten Mitarbeiter, ein Datenschutzbeauftragter benannt werden, vgl. § 38 Abs. 1 S.2 BDSG-neu
  • Wenn die Datenverarbeitung von einer Behörde oder einer öffentliche Stelle durchgeführt wird (mit Ausnahme von Gerichten), soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, ist ebenfalls ein Datenschutzbeauftragter zu bestellen, vgl. Art. 37 Abs. 1 lit. a) DSGVO

Weitere Informationen dazu, wann genau ein Datenschutzbeauftragter zu bestellen ist, erfahren Sie in diesem Blogbeitrag.

Bei der Auswahl des Datenschutzbeauftragten sollten Sie darauf achten, dass dieser die notwendige Qualifikation und das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, vgl. Art. 37 Abs. 5 DSGVO. Darüber hinaus muss der Datenschutzbeauftragte zuverlässig und frei von Interessenkonflikten sein, Art. 38 Abs. 6 DSGVO. Ihren Datenschutzbeauftragten sollten Sie ferner mittels formeller Urkunde bestellen und auf ein eindeutiges Bestelldatum achten. Die Bestellung des Datenschutzbeauftragten müssen Sie zudem an die zuständige Behörde melden, was in der Regel online erfolgen kann. 

Um zu erfahren, ob auch Sie einen Datenschutzbeauftragten bestellen müssen, sollten Sie eine individuelle Begutachtung Ihres Unternehmens in Anspruch nehmen. Konsultieren Sie das Team von Keyed für eine individuelle Beratung.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN