Bußgelder im Datenschutz
Grundsätzlich gilt: Wer gegen die Datenschutzgesetze verstößt, kann mit Geldbuße, Geld- oder Freiheitsstrafe zur Verantwortung gezogen werden. Die Höhe der Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kann existenzbedrohend sein.
Bußgelder bzw. Geldbußen unter der DSGVO
Zwar liest man immer von „Bußgeldern“ im Zusammenhang mit den Sanktionsmöglichkeiten, die die DSGVO den Datenschutz-Aufsichtsbehörden an die Hand gibt.
Doch die DSGVO selbst spricht in Artikel 83 von „Geldbußen“. Genau genommen wäre es somit korrekt, nur von Geldbußen zu sprechen.
Straf- und Bußgeldvorschriften
- Art. 83 DSGVO (Verhängung von Geldbußen)
- Art. 84 DSGVO (Strafvorschriften und andere Sanktionen) in Verbindung mit nationalen Gesetzen
- §§ 41 bis 43 BDSG (nationale Straf- und Bußgeldvorschriften in Deutschland)
Andere Gesetze, die datenschutzrechtliche Aspekte regeln, können ebenfalls Straf- und Bußgeldvorschriften enthalten, zum Beispiel das Telekommunikationsgesetz (TKG).
Wann müssen Verantwortliche mit Geldbußen rechnen?
Eine Ordnungswidrigkeit, bei der die Aufsicht ein Bußgeld verhängen kann, liegt vor, wenn beispielsweise einer der Fälle von Art. 83 DSGVO zutrifft.
Art. 83 Absatz 4 DSGVO ahndet die eher formalen Verstöße gegen die DSGVO. Die Datenschutz-Aufsichtsbehörden können sie mit maximal 10 Millionen Euro bestrafen – oder mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.
Darunter erfasst sind z.B. Verstöße in den Bereichen
- datenschutzfreundliche Voreinstellungen,
- Auftragsverarbeitungen,
- Verzeichnis von Verarbeitungstätigkeiten,
- Meldepflichten bei Datenpannen und
- Datenschutz-Folgenabschätzung.
Art. 83 Absatz 5 DSGVO betrifft schwerwiegendere Verstöße. Als Maximalstrafe drohen 20 Mio. EUR Geldbuße oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.
Darunter fallen z.B. Verstöße in den Bereichen
- Rechenschaftspflicht (Art. 5 DSGVO),
- Einwilligungen,
- Rechte der betroffenen Personen und
- Übermittlungen in Drittländer.
Daneben können auch nationale Gesetze Bußgelder verhängen (aufgrund der Öffnungsklausel in Art. 83 Abs. 7 DSGVO), beispielsweise in § 43 BDSG oder in § 149 TKG.
Bei der Bemessung der Strafe müssen die jeweiligen Umstände berücksichtigt werden. Welche das sind, nennt Art. 83 Abs. 2 DSGVO. Hier geht es beispielsweise um die Schwere und Dauer des Verstoßes, um Vorsatz, frühere Verfehlungen oder Mitwirkung bei der Aufklärung.
Das Bußgeld-Modell der Aufsichtsbehörden
Für die Höhe von Geldbußen haben sich die Aufsichtsbehörden in Deutschland auf ein Modell verständigt: Das Modell der Aufsichten zur Berechnung von Bußgeldern.
Ob die Ergebnisse dieser Berechnung vor Gerichten Bestand haben, wird sich zeigen müssen. Derzeit ist eher nicht davon auszugehen, wie etwa folgender Fall zeigt: 1&1 – eine Geldbuße schrumpft vor Gericht.
Die Geldbuße richtet sich gegen denjenigen, der seine Pflicht verletzt hat. Das kann die juristische Person sein (etwa das Unternehmen als solches), der gesetzliche Vertreter oder eine mit einer Pflicht beauftragte Person.
Mit Ablauf der Verjährung können die Aufsichtsbehörden eine Ordnungswidrigkeit nicht mehr verfolgen. Das ist nach drei Jahren der Fall (§ 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG)).
Die Frist beginnt jedoch erst dann zu laufen, wenn der rechtswidrige Zustand beendet ist.
Strafvorschrift: Freiheitsstrafe statt Bußgelder
Bei schweren Datenschutz-Verstößen kann auch eine Strafbarkeit vorliegen. In Deutschland bestimmt aufgrund der Öffnungsklausel in Art. 84 DSGVO § 42 BDSG, dass bestimmte Verstöße gegen die DSGVO mit Geldstrafe oder Freiheitsstrafe bis zu drei Jahren geahndet werden können.
Die Tat wird nur auf Antrag verfolgt. Berechtigt, einen Antrag zu stellen, sind die betroffene Person, der Verantwortliche, der Bundesdatenschutzbeauftragte und die Datenschutz-Aufsichtsbehörde.