Datenschutz verstehen – DSGVO Strafen und Bußgelder
Bei Verstößen gegen die DSGVO drohen Unternehmen Bußgelder. Diese werden von den jeweiligen zuständigen Aufsichtsbehörden der Bundesländer verabschiedet. Da sie eine existenzbedrohende Höhe erreichen können, ist es wichtig zu wissen, wann ein Bußgeld droht und wie man dies vermeiden kann.
Drohende Bußgelder bei Datenschutzverstößen
Bei jedem Datenschutzverstoß droht ein Bußgeld. Hierbei werden allerdings verschiedene Faktoren berücksichtigt. So hat die Art, Schwere und Dauer des Verstoßes einen Einfluss auf die Höhe der Strafe. Auch die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, wird berücksichtigt. Eine Rolle spielen auch die getroffenen Maßnahmen, die den Schaden mindern und der Grad der Verantwortung, welcher durch die Qualität und Quantität der technischen und organisatorischen Maßnahmen beeinflusst wird. Zudem wird berücksichtigt, ob es in der Vergangenheit schon zu Verstößen gekommen ist oder nicht.
Betroffene Personen haben ein Beschwerderecht bei der zuständigen Datenschutzbehörde, weshalb es immer häufiger Meldungen über Datenschutzverletzungen gibt. Das betrifft insbesondere die unberechtigte Weitergabe persönlicher Daten. In diesem Zusammenhang steigt die Anzahl von Anzeigen wegen der unberechtigten Weitergabe von personenbezogenen Daten. Verstöße gegen die DSGVO werden mit Bußgeldern geahndet.
Bei dem Thema Sanktionen wegen Datenschutzverstößen muss zwischen Ordnungswidrigkeiten und Straftaten differenziert werden: § 42 BDSG-neu enthält z.B. in Abs. 1 und Abs. 2 Straftatbestände für die unberechtigte Weitergabe von personenbezogenen Daten oder die unberechtigte Verarbeitung oder Erschleichung von derartigen Daten. Den Tätern drohen bei Verstößen gegen die Tatbestände Freiheitsstrafen von bis zu zwei bzw. drei Jahren.
Bei den Verstößen gegen die DSGVO handelt es sich dagegen um Ordnungswidrigkeiten. Die Höhe der Bußgelder für diese Ordnungswidrigkeiten sind in Art. 83 ff. DSGVO näher geregelt.
Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:
- Auftragsverarbeitung
- Betroffenenrechte
- Verzeichnis der Verarbeitungstätigkeiten
- Informationspflichten (Datenschutzerklärungen)
- Technisch-organisatorische Maßnahmen
- Übermittlungen von personenbezogenen Daten in Drittstaaten
- Grundsätze der Datenverarbeitung
- Datenschutz-Folgenabschätzungen
Mittlerweile ist der Rahmen für potenzielle Bußgelder vielen Unternehmen bekannt. In diesem Zusammenhang kennen viele Verantwortliche die Bezifferung von möglichen Bußgeldern in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Jahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 5 DSGVO.
Die Verstöße gegen folgende Vorgaben der DSGVO können zu einem Bußgeld in genannter Höhe führen:
- Die Grundsätze der Datenverarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 DSGVO
- Die Betroffenenrechte gem. Art. 12 bis 22 DSGVO
- Die Übermittlung personenbezogener Daten an einen Empfänger im Drittland oder an eine internationale Organisation nach den Art. 44 bis 49 DSGVO
- Die Pflichten gem. den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen worden sind
- Die Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gem. Art. 58 Abs. 2 DSGVO oder die Nichtgewährung des Zugangs unter einem Verstoß gegen Art. 58 Abs. 1 DSGVO
Ein Verstoß gegen folgende Vorgaben der DSGVO wird mit einem Bußgeld in Höhe von bis zu 10 Mio. Euro oder im Fall eines Unternehmens bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist:
- Die Pflichten der Verantwortlichen und der Auftragsverarbeiter gem. Art. 8, 11, 25 bis 39, 42 und 43 DSGVO
- Die Pflichten der Zertifizierungsstelle gem. Art. 42, 43 DSGVO
- Die Pflichten der Überwachungsstelle gem. Art. 41 Abs. 4 DSGVO
Weitere Informationen zu Folgen und Strafen bei Datenschutzverstößen finden Sie hier.
Bußgeldverfahren nach DSGVO und BDSG
Die Höhe des Bußgelds wird in einem Bußgeldkatalog festgelegt. Obgleich die DSGVO für alle Mitgliedstaaten der EU gilt, gibt es kein einheitliches Sanktionsrecht, sodass jeder Mitgliedstaat sein eigenes Bußgeldverfahren hat. In Art. 83 Abs. 8 DSGVO ist somit geregelt, dass jeder Mitgliedstaat über angemessene Verfahrensgarantien verfügt. § 41 BDSG regelt so für Deutschland, welche Vorschriften bei Verstößen Anwendung finden.
Gem. Art. 58 Abs. 2 DSGVO wird allerdings nicht immer direkt ein Bußgeld verhängt. Es besteht auch die Möglichkeit, von der zuständigen Behörde verwarnt zu werden und die Anweisung zu bekommen, die Rechte der Betroffenen zu wahren und Verarbeitungsvorgänge zu korrigieren. Darüber hinaus muss bei einer Datenpanne stets die zuständige Behörde informiert werden.
Bei einer Datenpanne müssen die relevanten Informationen bereitgestellt werden, sodass eventuelle Ermittlungsmaßnahmen durch Staatsanwaltschaft oder Gerichte durchgeführt werden können.
Für den Erlass von Bußgeldern sind die nationalen Behörden zuständig. Wird ein Bußgeld verhängt, sollte dieses ernst genommen werden, da es existenzbedrohend sein kann. Das Bußgeld hat hierbei auch einen abschreckenden Charakter.
Ein Verstoß verjährt nach drei Jahren, will man aber gar nicht erst ein Bußgeld riskieren, sollte ein Datenschutzbeauftragter bestellt und ein Datenschutzmanagementsystem angelegt und gepflegt werden. Dies kann vor einem hohen Bußgeld schützen.
Wodurch entstehen Strafen und Bußgelder im Datenschutz?
Die gesetzliche Ausrichtung im Datenschutz und insbesondere in der DSGVO ist im Grunde klar: Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es gibt eine Rechtsgrundlage. Es handelt sich hierbei um ein Verbot mit Erlaubnisvorbehalt. Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt z.B. eine Einwilligung gem. Art. 6 Abs. 1 lit. a), 7 DSGVO oder eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 lit. c) DSGVO in Betracht.
Typische Verstöße gegen die DSGVO sind beispielsweise Verstöße gegen die Benennungspflicht eines Datenschutzbeauftragten oder die Meldung des Datenschutzbeauftragten als solche. Auch die Unterlassung der Erfüllung von Betroffenenrechten oder der Verstoß gegen die Zweckbindung der Datenverarbeitung gehören zu den klassischen Datenschutzverstößen. Die Erhebung von Daten ohne entsprechende Rechtsgrundlage oder die Verarbeitung von personenbezogenen Daten für Werbezwecke trotz des Widerrufs einer etwaigen Einwilligung fallen ebenfalls unter die typischen Verstöße gegen die DSGVO.
Die Verletzung der Informations- und Transparenzpflichten sind ebenfalls ein Bereich, der von vielen Unternehmen nicht datenschutzkonform praktiziert wird. Fehlende Auftragsverarbeitungsverträge, nicht ausreichende technisch-organisatorische Maßnahmen oder unterlassene Schulungen der eigenen Mitarbeiter sind ebenfalls Beispiele für regelmäßige Datenschutzverstöße.
Aktuelle Datenschutz-Bußgelder
Die jüngst verhängten Bußgelder auf Grundlage der DSGVO geben einen teuren Ausblick für das Jahr 2021. 10,4 Millionen Euro gegen notebooksbilliger, über 12 Millionen Euro gegen Vodafone Italien und 35,3 Millionen Euro gegen die Modekette H&M, lassen zukünftig immer weniger Spielraum für Datenschutzverstöße. So langsam wird immer deutlicher, dass die Schonfristen der Aufsichtsbehörden sich dem Ende neigen.
Fazit
Zusammenfassend wird deutlich, dass Bußgelder möglichst vermieden werden sollten, denn sie können schwere wirtschaftliche Auswirkungen auf das Unternehmen haben. Um die Wahrscheinlichkeit eines Verstoßes zu senken, wird empfohlen, einen Datenschutzbeauftragten zu bestellen, da dieser als Experte genau die Risiken kennt und diese beurteilen kann.

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.