Bußgeldkatalog bei Datenschutzverstoß

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Bußgelder sind neben strafrechtlichen Sanktionen typische Instrumente, um Rechtsvorschriften in der Praxis durchzusetzen. Auch die datenschutzrechtlichen Vorschriften der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sehen daher Bußgelder vor. Seit Inkrafttreten der Datenschutzgrundverordnung ist es bereits zu mehreren Millionenbußgeldern gegen Unternehmen und tausenden kleineren Bußgeldern gekommen. Das Thema der DSGVO-Bußgelder ist also nicht auf die leichte Schulter zu nehmen – darum sollten Sie sich umfassend über dieses Thema informieren.
Bußgeldkatalog bei Datenschutzverstoß
Die wichtigsten Erkenntnisse
  • Bußgelder der DSGVO können bis zu 20 Millionen EUR oder 4 % des Jahresumsatzes betragen.
  • DSGVO sieht keine Abmahnungen vor, Bußgelder werden durch Aufsichtsbehörden erteilt.
  • Verstöße wie fehlende Datenschutzerklärung oder unverschlüsselte Datenübertragung führen zu Bußgeldern.
  • Konsequenzen bei Datenschutzverstößen: Bußgelder, Schadensersatz, Imageverlust, arbeitsrechtliche Strafen.
  • EU-Mitgliedstaaten können neben DSGVO-Bußgeldern eigene Sanktionen festlegen.

Gibt es eine DSGVO Abmahnung?

Im Internet werden Sie immer wieder über Begriffe wie „DSGVO Abmahnung“ oder „Datenschutz Abmahnung“ stoßen. Diese Begriffe sind jedoch per se falsch, denn die DSGVO selbst sieht Abmahnungen nicht vor. Die Datenschutzgrundverordnung spricht stattdessen von Bußgeldern, die von den Aufsichtsbehörden erteilt werden können.

Zwar gibt es Abmahnungen, die Ihr Unternehmen oder Ihre Website betreffen können, doch diese haben ihren Ursprung meist im Wettbewerbsrecht und werden beispielsweise von der Konkurrenz angestoßen. Als sehr prominentes Beispiel wäre hier eine Abmahnung wegen einer fehlenden Datenschutzerklärung zu nennen. Allerdings urteilen die deutschen Gerichte bei solchen zur Anzeige gebrachten Verstößen nicht immer gleich: Manche Verstöße gegen die DSGVO werden durch deutsche Gerichte durch das Gesetz gegen den unlauteren Wettbewerb (UWG) begründet und rechtskräftig, andere Gerichte folgen dieser Linie aber wiederrum nicht.

Wann kann ein Bußgeld drohen?

Verstoßen Unternehmen gegen die Datenschutzgrundverordnung, z.B. weil sie personenbezogene Daten nicht nach DSGVO-Vorgaben verarbeiten, droht ihnen ein Bußgeld. Ein solches droht zum Beispiel, wenn:

Wie hoch sind die Bußgelder bei einem Datenschutzverstoß?

Die DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr. Angewendet wird der Wert, der höher ist. In Art. 83 Abs. 24 DSGVO können Sie einen entsprechenden Katalog von Bemessungskriterien einsehen, die für die Verhängung einer Geldbuße gelten sollen.

Berücksichtigt werden dabei unter anderem:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • jegliche getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung im Hinblick auf die technischen und organisatorischen Maßnahmen
  • frühere Verstöße gegen Datenschutzrecht
  • Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde
  • Kategorien der durch den Verstoß betroffenen Daten
  • Art und Weise, wie der Verstoß bekannt gemacht wurde (insbesondere Selbstanzeige)
  • die Einhaltung früher angeordneter Maßnahmen

Die Datenschutzbehörden haben also einen erheblichen Ermessensspielraum in der Bewertung. Wie hoch Bußgelder und Sanktionen tatsächlich ausfallen, kann somit stark variieren.

Welche Strafen und Konsequenzen sind beim Verstoß gegen den Datenschutz möglich?

Bei Verstößen gegen die DSGVO drohen mehrere Arten von Konsequenzen:

  • Bußgelder
  • Arbeitsrechtliche Konsequenzen
  • Imageverlust
  • Schadensersatzansprüche
  • Strafrechtliche Sanktionen
  • Abmahnungen durch Wettbewerber

Sowohl bei mäßigen als auch bei schweren Datenschutzverstößen können Bußgelder drohen. Sollte ein Mitarbeiter gegen den Datenschutz verstoßen können hier arbeitsrechtliche Konsequenzen folgen, wie eine Abmahnung oder in schwerwiegenden Fällen auch eine außerordentliche Kündigung. Ein gut umgesetztes Datenschutzkonzept erhöht die Wettbewerbsfähigkeit. Doch gleichermaßen kann ein Imageverlust zustande kommen, wenn Datenschutzverstöße in die Presse gelangen. Die Folge sind Umsatzeinbußen.

Auch Schadenersatzansprüche von Betroffenen können zu schmerzlichen Zahlungen führen. Nach der aktuellen Rechtsprechung soll die Höhe des Schadensersatzes auch eine sanktionierende Wirkung entfalten. Dies kann im Einzelfall zu erhöhten Schadensersatzansprüchen führen. Bei einer größeren Anzahl von Betroffenen können hier schnell enorme Summen zusammenkommen. Auch Schadensersatzansprüche des Unternehmens gegenüber des Geschäftsführers können eine Konsequenz darstellen. Bei strafrechtlichen Sanktionen sind Freiheitsstrafen von bis zu drei Jahren möglich, wenn beim Datenschutzverstoß eine Bereicherungsabsicht nachgewiesen werden kann.

Bußgeldkatalog Datenschutz – weitere Sanktionen möglich

Der Bußgeldkatalog im Datenschutz, wie ihn die DSGVO festlegt, ist nicht abschließend. Die einzelnen Mitgliedstaaten der Europäischen Union können nach Art. 84 DSGVO andere Sanktionen für Verstöße gegen die Verordnung festlegen. Dabei gibt die DSGVO nur vor, dass diese wirksam, verhältnismäßig und abschreckend sein müssen. Zuständig für die Verhängung von Bußgeldern ist die entsprechende Aufsichtsbehörde im Hoheitsgebiet des einzelnen Mitgliedstaates.

Neben Bußgeldern drohen Unternehmen bei Datenschutzverletzungen unter Umständen auch andere Anordnungen durch die Aufsichtsbehörde, beispielsweise eine vorübergehende oder endgültige Beschränkung oder ein Verbot der Verarbeitung von Daten.

Abgesehen von gesetzlichen Sanktionsvorschriften können Unternehmen bei Datenverstößen selbstverständlich auch Schadensersatzansprüche von geschädigten Personen treffen. Ein Datenschutzverstoß kann dabei schnell zur Zahlungspflicht erheblicher Summen führen. Unter Umständen kann eine Durchgriffshaftung eine Vollstreckung in das Privatvermögen des Geschäftsführers zur Folge haben. Eine möglicherweise bestehende Versicherung greift dabei bei Gesetzesverstößen nicht.

Warum Sie den Bußgeldkatalog im Datenschutz ernst nehmen sollten

Der mit der DSGVO eingeführte Rahmen von Geldbußen hat einen abschreckenden Charakter. Die Bußgelder können sich existenzbedrohend auswirken, was für Unternehmen bedeutet, dass sie in Zukunft noch mehr an der Einhaltung datenschutzrechtlicher Vorschriften arbeiten sollten. Die gesetzliche Bewertung von Verstößen gegen den Datenschutz hat sich damit endgültig aus dem Bereich „Kavaliersdelikt“ verabschiedet.

Um das Risiko eines Bußgelds möglichst gering zu halten, sollten Sie daher handeln. Mit Hilfe eines Datenschutzbeauftragten oder zumindest eines umfassenden Datenschutz-Managements können Sie den Datenschutz im Unternehmen im Betriebsalltag umsetzen. Denken Sie daran: Schon die kleinste Lücke im Unternehmen kann zu Verstößen gegen die DSGVO führen, wodurch Bußgelder oder gegebenenfalls Abmahnungen durch Konkurrenten drohen können. Darum sollten Sie auch alle Mitarbeiter hinsichtlich des Datenschutzes sensibilisieren und mit Mitarbeiterschulungen vorbereiten, denn das alte Sprichwort „Vorsicht ist besser als Nachsicht“ gilt auch hier.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!