Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Bußgelder im Datenschutz

Grundsätzlich gilt: Wer gegen die Datenschutzgesetze verstößt, kann mit Geldbuße, Geld- oder Freiheitsstrafe zur Verantwortung gezogen werden. Die Höhe der Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kann existenzbedrohend sein.

➜ Wann können die Aufsichtsbehörden Bußgelder verhängen?

Gerichtsverfahren im Datenschutz

Ein Unternehmen verletzt die DSGVO erheblich. Rechtfertigt allein das schon eine Geldbuße? Oder muss feststehen, wie es dazu im Einzelnen kam und welche Person konkret etwas falsch gemacht hat? Darüber wird der EuGH in einiger Zeit entscheiden

Datenschutzaufsicht

Haben Sie als betriebliche(r) Datenschutzbeauftragte(r) eine Doppelrolle inne und kommt es dadurch zu einem Interessenkonflikt? Falls ja, drohen erhebliche Bußgelder – das zeigt ein aktueller Fall: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 Euro gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns verhängt. Das Bußgeld ist noch nicht rechtskräftig.

IBM Studie „Cost of Data Breach“

Wie viel zahlt ein Unternehmen, wenn es Opfer einer Cyberattacke geworden ist – und geben die Firmen die Kosten an ihre Kunden weiter? Diese beiden Fragen beantwortet auch in diesem Jahr wieder die IBM-Studie „Cost of a Data Breach“ und kommt zu eindeutigen Ergebnissen: Mit 4,35 Millionen US-Dollar erreichen die durchschnittlichen Kosten einer Datenschutzverletzung einen neuen Höchststand – und die Verbraucher zahlen den Preis dafür.

Bußgeld bei Datenschutzverstößen

Dürfen Unternehmen die Daten ihrer Kunden ohne deren Einwilligung auswerten und daraus ein Profil für Werbezwecke erstellen? Nein – sagt die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen und hat eine Geldbuße in Höhe von 900.000 Euro gegen ein Kreditinstitut verhängt. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Bußgeld bei Datenschutzverstößen

Wie kommen die EU-Mitgliedstaaten zu einer einheitlichen Bußgeldpraxis für Datenschutzverstöße? Darüber diskutieren Aufsichtsbehörden schon seit Langem. Nun hat der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Berechnung von Bußgeldern nach der DSGVO veröffentlicht.

Hat Ihr betrieblicher Datenschutzbeauftragter eine Doppelrolle inne und kommt dadurch in einen Interessenkonflikt? Falls ja, drohen erhebliche Bußgelder!
Bild: Santje09 / iStock / Getty Images Plus
Bußgeld für Energieunternehmen

Die Vattenfall Europe Sales GmbH muss mehr als 900.000 Euro Bußgeld zahlen. Das Energieunternehmen hat gegen die datenschutzrechtlichen Transparenzpflichten der Europäischen Datenschutz-Grundverordnung (DSGVO) verstoßen – und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte dafür das Bußgeld.

Risiken aus dem Wettbewerbsrecht

Neben den Geldbußen und Schadenersatzklagen ergeben sich bei Datenschutzverstößen Risiken aus dem Wettbewerbsrecht. Dazu gehören die Abmahnung und ihre Folgekosten. Wie ist hier der aktuelle Stand?

Amazon verstößt gegen die DSGVO! Das bisher höchste Bußgeld wird verhängt, der Online Versandhändler will sich dagegen wehren.
Bild: DigtialStorm / iStock / Getty Images Plus
Verstoß gegen DSGVO

Die Nationale Kommission für den Datenschutz in Luxemburg (CNPD) hat ein Rekordbußgeld gegen Amazon verhängt. Das Unternehmen soll 746 Millionen Euro Strafe zahlen – das bislang höchste Bußgeld seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO). Der Konzern will sich gegen die Entscheidung wehren.

Meinungsverschiedenheit zwischen den Gerichten

Das Landgericht Bonn reduziert eine DSGVO-Geldbuße gegen 1&1 von 9.550.000 € auf 900.000 €. Das Landgericht Berlin kassiert eine Millionen-Geldbuße der Berliner Datenschutzaufsicht gegen das Unternehmen Deutsche Wohnen gleich ganz. Wie ist das einzusortieren?

Der Immobilienriese Deutsche Wohnen entgeht vorerst einem Bußgeld von 14,5 Millionen Euro.
Bild: ArminStautBerlin / iStock / Getty Images Plus
DSGVO-Bußgeld

Müssen Unternehmen nur dann ein Bußgeld wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung (DSGVO) zahlen, wenn ein Gericht der Leitungsebene Fehler nachweisen kann? Es scheint so, denn die Deutsche Wohnen entgeht vorerst einem Rekord-Bußgeld wegen jahrelang gespeicherter Daten von Mieterinnen und Mietern.

1 von 3

Bußgelder bzw. Geldbußen unter der DSGVO

Zwar liest man immer von „Bußgeldern“ im Zusammenhang mit den Sanktionsmöglichkeiten, die die DSGVO den Datenschutz-Aufsichtsbehörden an die Hand gibt.

Doch die DSGVO selbst spricht in Artikel 83 von „Geldbußen“. Genau genommen wäre es somit korrekt, nur von Geldbußen zu sprechen.

Straf- und Bußgeldvorschriften

  • Art. 83 DSGVO (Verhängung von Geldbußen)
  • Art. 84 DSGVO (Strafvorschriften und andere Sanktionen) in Verbindung mit nationalen Gesetzen
  • §§ 41 bis 43 BDSG (nationale Straf- und Bußgeldvorschriften in Deutschland)

Andere Gesetze, die datenschutzrechtliche Aspekte regeln, können ebenfalls Straf- und Bußgeldvorschriften enthalten, zum Beispiel das Telekommunikationsgesetz (TKG).

Wann müssen Verantwortliche mit Geldbußen rechnen?

Eine Ordnungswidrigkeit, bei der die Aufsicht ein Bußgeld verhängen kann, liegt vor, wenn beispielsweise einer der Fälle von Art. 83 DSGVO zutrifft.

Art. 83 Absatz 4 DSGVO ahndet die eher formalen Verstöße gegen die DSGVO. Die Datenschutz-Aufsichtsbehörden können sie mit maximal 10 Millionen Euro bestrafen – oder mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter erfasst sind z.B. Verstöße in den Bereichen

Art. 83 Absatz 5 DSGVO betrifft schwerwiegendere Verstöße. Als Maximalstrafe drohen 20 Mio. EUR Geldbuße oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter fallen z.B. Verstöße in den Bereichen

Daneben können auch nationale Gesetze Bußgelder verhängen (aufgrund der Öffnungsklausel in Art. 83 Abs. 7 DSGVO), beispielsweise in § 43 BDSG oder in § 149 TKG.

Bei der Bemessung der Strafe müssen die jeweiligen Umstände berücksichtigt werden. Welche das sind, nennt Art. 83 Abs. 2 DSGVO. Hier geht es beispielsweise um die Schwere und Dauer des Verstoßes, um Vorsatz, frühere Verfehlungen oder Mitwirkung bei der Aufklärung.

Das Bußgeld-Modell der Aufsichtsbehörden

Für die Höhe von Geldbußen haben sich die Aufsichtsbehörden in Deutschland auf ein Modell verständigt: Das Modell der Aufsichten zur Berechnung von Bußgeldern.

Ob die Ergebnisse dieser Berechnung vor Gerichten Bestand haben, wird sich zeigen müssen. Derzeit ist eher nicht davon auszugehen, wie etwa folgender Fall zeigt: 1&1 – eine Geldbuße schrumpft vor Gericht.

Die Geldbuße richtet sich gegen denjenigen, der seine Pflicht verletzt hat. Das kann die juristische Person sein (etwa das Unternehmen als solches), der gesetzliche Vertreter oder eine mit einer Pflicht beauftragte Person.

Mit Ablauf der Verjährung können die Aufsichtsbehörden eine Ordnungswidrigkeit nicht mehr verfolgen. Das ist nach drei Jahren der Fall (§ 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG)).

Die Frist beginnt jedoch erst dann zu laufen, wenn der rechtswidrige Zustand beendet ist.

Strafvorschrift: Freiheitsstrafe statt Bußgelder

Bei schweren Datenschutz-Verstößen kann auch eine Strafbarkeit vorliegen. In Deutschland bestimmt aufgrund der Öffnungsklausel in Art. 84 DSGVO § 42 BDSG, dass bestimmte Verstöße gegen die DSGVO mit Geldstrafe oder Freiheitsstrafe bis zu drei Jahren geahndet werden können.

Die Tat wird nur auf Antrag verfolgt. Berechtigt, einen Antrag zu stellen, sind die betroffene Person, der Verantwortliche, der Bundesdatenschutzbeauftragte und die Datenschutz-Aufsichtsbehörde.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.