Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

Bußgelder

Grundsätzlich gilt: Wer gegen die Datenschutzgesetze verstößt, kann mit Geldbuße, Geld- oder Freiheitsstrafe zur Verantwortung gezogen werden. Die Höhe der Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kann existenzbedrohend sein.

➜ Wann können die Aufsichtsbehörden Bußgelder verhängen?

Bußgeld bei Datenschutzverstößen

Wie kommen die EU-Mitgliedstaaten zu einer einheitlichen Bußgeldpraxis für Datenschutzverstöße? Darüber diskutieren Aufsichtsbehörden schon seit Langem. Nun hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Berechnung von Bußgeldern nach der DSGVO veröffentlicht.

Gratis
Das Energieunternehmen vergleicht Daten ohne die Kunden zu informieren. Der Verstoß gegen die Transparenzpflicht der DSGVO kostet 900.000 Euro!
Bild: Santje09 / iStock / Getty Images Plus
Bußgeld für Energieunternehmen

Die Vattenfall Europe Sales GmbH muss mehr als 900.000 Euro Bußgeld zahlen. Das Energieunternehmen hat gegen die datenschutzrechtlichen Transparenzpflichten der Europäischen Datenschutz-Grundverordnung (DSGVO) verstoßen – und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte dafür das Bußgeld.

Gratis
Kleinere Unternehmen sind zwar nicht von einer Abmahnung nach UWG ausgenommen. Allerdings sind die Kostenrisiken etwas geringer als bei größeren Unternehmen.
Bild: iStock.com / ollo
Risiken aus dem Wettbewerbsrecht

Neben den Geldbußen und Schadenersatzklagen ergeben sich bei Datenschutzverstößen Risiken aus dem Wettbewerbsrecht. Dazu gehören die Abmahnung und ihre Folgekosten. Wie ist hier der aktuelle Stand?

Gratis
Amazon verstößt gegen die DSGVO! Das bisher höchste Bußgeld wird verhängt, der Online Versandhändler will sich dagegen wehren.
Bild: DigtialStorm / iStock / Getty Images Plus
Verstoß gegen DSGVO

Die Nationale Kommission für den Datenschutz in Luxemburg (CNPD) hat ein Rekordbußgeld gegen Amazon verhängt. Das Unternehmen soll 746 Millionen Euro Strafe zahlen – das bislang höchste Bußgeld seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO). Der Konzern will sich gegen die Entscheidung wehren.

Gratis
Liefern sich die Datenschutzaufsichtsbehörden gerade einen Wettlauf um die höchste Geldbuße?
Bild: iStock.com / tomograf
Meinungsverschiedenheit zwischen den Gerichten

Das Landgericht Bonn reduziert eine DSGVO-Geldbuße gegen 1&1 von 9.550.000 € auf 900.000 €. Das Landgericht Berlin kassiert eine Millionen-Geldbuße der Berliner Datenschutzaufsicht gegen das Unternehmen Deutsche Wohnen gleich ganz. Wie ist das einzusortieren?

Gratis
Der Immobilienriese Deutsche Wohnen entgeht vorerst einem Bußgeld von 14,5 Millionen Euro.
Bild: ArminStautBerlin / iStock / Getty Images Plus
DSGVO-Bußgeld

Müssen Unternehmen nur dann ein Bußgeld wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung (DSGVO) zahlen, wenn ein Gericht der Leitungsebene Fehler nachweisen kann? Es scheint so, denn die Deutsche Wohnen entgeht vorerst einem Rekord-Bußgeld wegen jahrelang gespeicherter Daten von Mieterinnen und Mietern.

Wann haften Mitarbeitende für Datenschutz-Verstöße?

In den meisten Fällen wird der Arbeitgeber für Datenschutz-Verstöße seiner Beschäftigten haften. Doch es gibt auch Fälle, in denen Mitarbeiterinnen und Mitarbeiter höchstpersönlich „dran“ sind.

Gratis
Das Gericht schraubte das Bußgeld gegen 1&1 wegen eines Datenschutzverstoßes im Callcenter herunter
Bild: iStock.com / andresr
„Nur“ noch 900.000 Euro für unzureichenden Datenschutz

Sehr öffentlichkeitswirksam hatte der Bundesbeauftragte für den Datenschutz gegen 1&1 eine Geldbuße von 9.550.000 Euro verhängt. Anlass waren Datenschutzverstöße im Callcenter. Beim Amtsgericht Bonn blieben davon weniger als 10 % übrig. Zum Bußgeldkonzept der Datenschutzkonferenz äußert es sich dabei wenig freundlich.

Gratis
Datenschutz-Geldbuße gegen H&M
Bild: H & M Hennes & Mauritz AB. / Store in Montevideo, Uruguay
Datenschutz in Unternehmen

Vom Urlaubserlebnis bis hin zu familiären Problemen: Im Nürnberger Servicecenter des schwedischen Modekonzerns Hennes & Mauritz (H&M) horchte die Center-Leitung systematisch mehrere hundert Mitarbeiter aus und speicherte intime Informationen.

Gratis
Werbung ohne Einwilligung: 1,2 Mio Euro Bußgeld
Bild: Lothar Drechsel / iStock / Getty Images Plus
Krankenkasse & Datenschutz

Ein Bußgeld in Höhe von 1,2 Millionen Euro muss die AOK Baden-Württemberg zahlen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte das Millionen-Bußgeld wegen eines massiven Verstoßes gegen die europäische Datenschutz-Grundverordnung (DSGVO).

1 von 3

Bußgelder bzw. Geldbußen unter der DSGVO

Zwar liest man immer von „Bußgeldern“ im Zusammenhang mit den Sanktionsmöglichkeiten, die die DSGVO den Datenschutz-Aufsichtsbehörden an die Hand gibt.

Doch die DSGVO selbst spricht in Artikel 83 von „Geldbußen“. Genau genommen wäre es somit korrekt, nur von Geldbußen zu sprechen.

Straf- und Bußgeldvorschriften

  • Art. 83 DSGVO (Verhängung von Geldbußen)
  • Art. 84 DSGVO (Strafvorschriften und andere Sanktionen) in Verbindung mit nationalen Gesetzen
  • §§ 41 bis 43 BDSG (nationale Straf- und Bußgeldvorschriften in Deutschland)

Andere Gesetze, die datenschutzrechtliche Aspekte regeln, können ebenfalls Straf- und Bußgeldvorschriften enthalten, zum Beispiel das Telekommunikationsgesetz (TKG).

Wann müssen Verantwortliche mit Geldbußen rechnen?

Eine Ordnungswidrigkeit, bei der die Aufsicht ein Bußgeld verhängen kann, liegt vor, wenn beispielsweise einer der Fälle von Art. 83 DSGVO zutrifft.

Art. 83 Absatz 4 DSGVO ahndet die eher formalen Verstöße gegen die DSGVO. Die Datenschutz-Aufsichtsbehörden können sie mit maximal 10 Millionen Euro bestrafen – oder mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter erfasst sind z.B. Verstöße in den Bereichen

Art. 83 Absatz 5 DSGVO betrifft schwerwiegendere Verstöße. Als Maximalstrafe drohen 20 Mio. EUR Geldbuße oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter fallen z.B. Verstöße in den Bereichen

Daneben können auch nationale Gesetze Bußgelder verhängen (aufgrund der Öffnungsklausel in Art. 83 Abs. 7 DSGVO), beispielsweise in § 43 BDSG oder in § 149 TKG.

Bei der Bemessung der Strafe müssen die jeweiligen Umstände berücksichtigt werden. Welche das sind, nennt Art. 83 Abs. 2 DSGVO. Hier geht es beispielsweise um die Schwere und Dauer des Verstoßes, um Vorsatz, frühere Verfehlungen oder Mitwirkung bei der Aufklärung.

Das Bußgeld-Modell der Aufsichtsbehörden

Für die Höhe von Geldbußen haben sich die Aufsichtsbehörden in Deutschland auf ein Modell verständigt: Das Modell der Aufsichten zur Berechnung von Bußgeldern.

Ob die Ergebnisse dieser Berechnung vor Gerichten Bestand haben, wird sich zeigen müssen. Derzeit ist eher nicht davon auszugehen, wie etwa folgender Fall zeigt: 1&1 – eine Geldbuße schrumpft vor Gericht.

Die Geldbuße richtet sich gegen denjenigen, der seine Pflicht verletzt hat. Das kann die juristische Person sein (etwa das Unternehmen als solches), der gesetzliche Vertreter oder eine mit einer Pflicht beauftragte Person.

Mit Ablauf der Verjährung können die Aufsichtsbehörden eine Ordnungswidrigkeit nicht mehr verfolgen. Das ist nach drei Jahren der Fall (§ 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG)).

Die Frist beginnt jedoch erst dann zu laufen, wenn der rechtswidrige Zustand beendet ist.

Strafvorschrift: Freiheitsstrafe statt Bußgelder

Bei schweren Datenschutz-Verstößen kann auch eine Strafbarkeit vorliegen. In Deutschland bestimmt aufgrund der Öffnungsklausel in Art. 84 DSGVO § 42 BDSG, dass bestimmte Verstöße gegen die DSGVO mit Geldstrafe oder Freiheitsstrafe bis zu drei Jahren geahndet werden können.

Die Tat wird nur auf Antrag verfolgt. Berechtigt, einen Antrag zu stellen, sind die betroffene Person, der Verantwortliche, der Bundesdatenschutzbeauftragte und die Datenschutz-Aufsichtsbehörde.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.