Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Bußgelder im Datenschutz

Grundsätzlich gilt: Wer gegen die Datenschutzgesetze verstößt, kann mit Geldbuße, Geld- oder Freiheitsstrafe zur Verantwortung gezogen werden. Die Höhe der Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kann existenzbedrohend sein.

➜ Wann können die Aufsichtsbehörden Bußgelder verhängen?

Eine Warnung für alle Unternehmen

Wer ohnehin schon großen Schaden hat, darf zusätzlich noch eine Geldbuße zahlen. So erging es einem Unternehmen, das Opfer einer Ransomware-Attacke wurde. Denn die Datenschutzaufsicht konnte dem Unternehmen nachweisen, dass es am Erfolg des Angriffs selbst schuld war. Dass der Fall in Großbritannien spielt, ist ohne Bedeutung. Denn auch dort wendet die Datenschutzaufsicht nach wie vor die DSGVO an.

Nach langem Verfahren wurde endlich ein Bußgeld in Millionenhöhe verhängt. Meta will in Berufung gehen aber noyb bleibt weiter am Ball.
Bild: DigtialStorm / iStock / Getty Images Plus
Online-Datenschutz

Darf Meta die personenbezogenen Daten seiner Nutzer ohne sie zu fragen für personalisierte Werbung verwenden? Nein – das hat die irische Data Protection Commission (DPC) nach einem langen Verfahren nun endlich entschieden und verhängte ein Bußgeld in Höhe von 390 Millionen Euro gegen den US-amerikanischen Konzern.

Gerichtsverfahren im Datenschutz

Ein Unternehmen verletzt die DSGVO erheblich. Rechtfertigt allein das schon eine Geldbuße? Oder muss feststehen, wie es dazu im Einzelnen kam und welche Person konkret etwas falsch gemacht hat? Darüber wird der EuGH in einiger Zeit entscheiden

Datenschutzaufsicht

Haben Sie als betriebliche(r) Datenschutzbeauftragte(r) eine Doppelrolle inne und kommt es dadurch zu einem Interessenkonflikt? Falls ja, drohen erhebliche Bußgelder – das zeigt ein aktueller Fall: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 Euro gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns verhängt. Das Bußgeld ist noch nicht rechtskräftig.

Bußgeld bei Datenschutzverstößen

Dürfen Unternehmen die Daten ihrer Kunden ohne deren Einwilligung auswerten und daraus ein Profil für Werbezwecke erstellen? Nein – sagt die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen und hat eine Geldbuße in Höhe von 900.000 Euro gegen ein Kreditinstitut verhängt. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Bußgeld bei Datenschutzverstößen

Wie kommen die EU-Mitgliedstaaten zu einer einheitlichen Bußgeldpraxis für Datenschutzverstöße? Darüber diskutieren Aufsichtsbehörden schon seit Langem. Nun hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Berechnung von Bußgeldern nach der DSGVO veröffentlicht.

Risiken aus dem Wettbewerbsrecht

Neben den Geldbußen und Schadenersatzklagen ergeben sich bei Datenschutzverstößen Risiken aus dem Wettbewerbsrecht. Dazu gehören die Abmahnung und ihre Folgekosten. Wie ist hier der aktuelle Stand?

Wann haften Mitarbeitende für Datenschutz-Verstöße?

In den meisten Fällen wird der Arbeitgeber für Datenschutz-Verstöße seiner Beschäftigten haften. Doch es gibt auch Fälle, in denen Mitarbeiterinnen und Mitarbeiter höchstpersönlich „dran“ sind.

„Nur“ noch 900.000 Euro für unzureichenden Datenschutz

Sehr öffentlichkeitswirksam hatte der Bundesbeauftragte für den Datenschutz gegen 1&1 eine Geldbuße von 9.550.000 Euro verhängt. Anlass waren Datenschutzverstöße im Callcenter. Beim Amtsgericht Bonn blieben davon weniger als 10 % übrig. Zum Bußgeldkonzept der Datenschutzkonferenz äußert es sich dabei wenig freundlich.

Datenschutz-Geldbuße gegen H&M
Bild: H & M Hennes & Mauritz AB. / Store in Montevideo, Uruguay
Datenschutz in Unternehmen

Vom Urlaubserlebnis bis hin zu familiären Problemen: Im Nürnberger Servicecenter des schwedischen Modekonzerns Hennes & Mauritz (H&M) horchte die Center-Leitung systematisch mehrere hundert Mitarbeiter aus und speicherte intime Informationen.

1 von 3

Bußgelder bzw. Geldbußen unter der DSGVO

Zwar liest man immer von „Bußgeldern“ im Zusammenhang mit den Sanktionsmöglichkeiten, die die DSGVO den Datenschutz-Aufsichtsbehörden an die Hand gibt.

Doch die DSGVO selbst spricht in Artikel 83 von „Geldbußen“. Genau genommen wäre es somit korrekt, nur von Geldbußen zu sprechen.

Straf- und Bußgeldvorschriften

  • Art. 83 DSGVO (Verhängung von Geldbußen)
  • Art. 84 DSGVO (Strafvorschriften und andere Sanktionen) in Verbindung mit nationalen Gesetzen
  • §§ 41 bis 43 BDSG (nationale Straf- und Bußgeldvorschriften in Deutschland)

Andere Gesetze, die datenschutzrechtliche Aspekte regeln, können ebenfalls Straf- und Bußgeldvorschriften enthalten, zum Beispiel das Telekommunikationsgesetz (TKG).

Wann müssen Verantwortliche mit Geldbußen rechnen?

Eine Ordnungswidrigkeit, bei der die Aufsicht ein Bußgeld verhängen kann, liegt vor, wenn beispielsweise einer der Fälle von Art. 83 DSGVO zutrifft.

Art. 83 Absatz 4 DSGVO ahndet die eher formalen Verstöße gegen die DSGVO. Die Datenschutz-Aufsichtsbehörden können sie mit maximal 10 Millionen Euro bestrafen – oder mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter erfasst sind z.B. Verstöße in den Bereichen

Art. 83 Absatz 5 DSGVO betrifft schwerwiegendere Verstöße. Als Maximalstrafe drohen 20 Mio. EUR Geldbuße oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter fallen z.B. Verstöße in den Bereichen

Daneben können auch nationale Gesetze Bußgelder verhängen (aufgrund der Öffnungsklausel in Art. 83 Abs. 7 DSGVO), beispielsweise in § 43 BDSG oder in § 149 TKG.

Bei der Bemessung der Strafe müssen die jeweiligen Umstände berücksichtigt werden. Welche das sind, nennt Art. 83 Abs. 2 DSGVO. Hier geht es beispielsweise um die Schwere und Dauer des Verstoßes, um Vorsatz, frühere Verfehlungen oder Mitwirkung bei der Aufklärung.

Das Bußgeld-Modell der Aufsichtsbehörden

Für die Höhe von Geldbußen haben sich die Aufsichtsbehörden in Deutschland auf ein Modell verständigt: Das Modell der Aufsichten zur Berechnung von Bußgeldern.

Ob die Ergebnisse dieser Berechnung vor Gerichten Bestand haben, wird sich zeigen müssen. Derzeit ist eher nicht davon auszugehen, wie etwa folgender Fall zeigt: 1&1 – eine Geldbuße schrumpft vor Gericht.

Die Geldbuße richtet sich gegen denjenigen, der seine Pflicht verletzt hat. Das kann die juristische Person sein (etwa das Unternehmen als solches), der gesetzliche Vertreter oder eine mit einer Pflicht beauftragte Person.

Mit Ablauf der Verjährung können die Aufsichtsbehörden eine Ordnungswidrigkeit nicht mehr verfolgen. Das ist nach drei Jahren der Fall (§ 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG)).

Die Frist beginnt jedoch erst dann zu laufen, wenn der rechtswidrige Zustand beendet ist.

Strafvorschrift: Freiheitsstrafe statt Bußgelder

Bei schweren Datenschutz-Verstößen kann auch eine Strafbarkeit vorliegen. In Deutschland bestimmt aufgrund der Öffnungsklausel in Art. 84 DSGVO § 42 BDSG, dass bestimmte Verstöße gegen die DSGVO mit Geldstrafe oder Freiheitsstrafe bis zu drei Jahren geahndet werden können.

Die Tat wird nur auf Antrag verfolgt. Berechtigt, einen Antrag zu stellen, sind die betroffene Person, der Verantwortliche, der Bundesdatenschutzbeauftragte und die Datenschutz-Aufsichtsbehörde.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.