Strafen und Bußgelder nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Welche Strafen oder Bußgelder sind nach DSGVO möglich und wie kann man sie effektiv verhindern? Dieser Artikel soll Ihnen helfen, das Risiko einzuschätzen. Außerdem gibt er Ihnen eine Excel Tabelle zur Hand, mit der Sie Ihr hypothetisches Bußgeld berechnen können.

In diesem Artikel erfahren Sie:

  • Welche Bußgelder es bisher gab und wo Sie diese nachlesen können.
  • Welche Sanktionen es wirklich gibt.
  • Was typische Beispiele für Verstöße nach DSGVO sind.
  • Wie Sie ein Bußgeld berechnen können.
  • Wer überhaupt für DSGVO Verstöße haftet.
  • Wie sie den Aufsichtsbehörden zuvor kommen können.

Bisherige Bußgelder

Beratung und Information standen in den ersten Monaten im Anschluss an die zweijährige Frist bis zum Wirksamwerden der Datenschutzgrundverordnung (DSGVO) im Fokus der Aufsichtsbehörden. Dennoch haben bereits einige Bußgelder mediale Aufmerksamkeit erregt. Hier die prominentesten Fälle:

  • Die Deutsche Wohnen SE hat von der Berliner Datenschutzbehörde ein Bußgeld in Höhe von 14,5 Millionen Euro auferlegt bekommen.
  • Die 1&1 Telecom GmbH muss wegen einem unsicheren Identifikationsverfahren ein Bußgeld von über 9 Millionen Euro zahlen.
  • Auf den Einzelfall bezogen vergleichsweise hart dürften 5.000 Euro dagegen die Farb- und Stilberater der Kolibri Image getroffen haben. Entgegen einer Aufforderung einer Datenschutzbehörde schlossen sie keinen Vertrag zur Auftragsverarbeitung mit einem spanischen Paketdienstleister.
  • Auch kleinere Strafen sind interessant: so wurde im Saarland ein Restaurant mit einem 2000 Euro Bußgeld belegt, weil es unberechtigterweise Videoüberwachung eingesetzt hatte.

Eine Ausweitung der Veröffentlichungen aufgrund des Informationsfreiheitsgesetzes ist zu erwarten. Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegenüber dem Handelsblatt bereits im Januar 2019 mehr Transparenz angekündigt.

Weitere Bußgelder finden Sie bei der dem „Enfordement Tracker“ der CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB.

Mögliche Konsequenzen und Sanktionen beim Verstoß gegen den Datenschutz

Grundsätzlich gibt es fünf Folgen bei Verstößen gegen die DSGVO:

  • Bußgelder
  • Strafrechtliche Sanktionen
  • Schadenersatzansprüche (persönlich z.B. gegenüber Geschäftsführern oder gegenüber der Gesellschaft)
  • Abmahnungen durch Wettbewerber
  • Imageverlust
  • Arbeitsrechtliche Konsequenzen (z.B. außerordentliche Kündigungen, Regressansprüche)

Die DSGVO sieht abschreckende Bußgelder vor. Bereits in der Eingangsstufe können Geldbußen von bis zu 10 Millionen Euro beziehungsweise bis zu 2 % des weltweiten Jahresumsatzes eines Konzerns verhängt werden. Dies gilt zum Beispiel beim Fehlen datenschutzfreundlicher Voreinstellungen. Bei schwerwiegenderen Verstößen können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Konzernumsatzes erlassen werden. Dies betrifft beispielsweise Nichtbeachtung der Grundsätze der Verarbeitung einschließlich der Bedingungen für eine wirksame Einwilligung. Anzusetzen ist jeweils der höhere Betrag. Mittlerweile haben die Bundesländer allerdings ein gemeinsames Bußgeldkonzept erstellt, welches genauer absehen lässt wie hoch die Bußgelder in Zukunft tatsächlich sein werden. Weiter unten finden Sie einen Rechner und Beispiele für die Bußgeldberechnung.

Zusätzlich enthält das neue Bundesdatenschutzgesetz (BDSG (neu)) in § 42 strafrechtliche Sanktionen bis hin zu Freiheitsstrafen von drei Jahren. Diese oder Geldstrafen drohen bei gewerbsmäßigem Vorgehen beziehungsweise Bereicherungsabsicht. Neu ist, dass nun auch immaterielle Schäden einen Schadenersatz nach sich ziehen können. Dies war bislang im alten BDSG nicht vorgesehen.

Des Weiteren könnten Unternehmen auf Basis der DSGVO wettbewerbsrechtliche Abmahnungen drohen. Dagegen spricht, dass die DSGVO abschließende Regelungen zu den Rechtsfolgen von Datenschutzverstößen enthält. Mittlerweile gibt es auch hierzu Urteile, die davon ausgehen, dass UWG und DSGVO parallel laufen. Siehe Oberlandesgericht München, Urteil vom 07.02.2019, Az. 6 U 2404/18.

Zusätzlich zu Bußgeldern und Schadensersatz sowie dem Aufwand für die Beseitigung von Datenschutzmängeln sind Umsatzeinbußen durch Imageverlust absehbar. Denn das mit dem Aktivwerden der Datenschutzbehörden einhergehende Medienecho ist nicht zu vernachlässigen.

Übrigens kann ein Datenschutz-Verstoß die außerordentliche Kündigung eines Mitarbeiters wegen der Verletzung arbeitsvertraglicher Pflichten und schweren Vertrauensverlustes rechtfertigen. Daher enthalten viele Arbeitsverträge und ergänzende Dokumente eine Verpflichtung auf das Datengeheimnis.

Bußgelder nach DSGVO inkl. Excel Rechner.

Typische Beispiele für einen Verstoß gegen den Datenschutz

Hier sollen einige häufig vorkommende Verstöße aufgezählt werden. Dies dient auch der Orientierung, wo Sie nach Schwachstellen in Ihrem Datenschutzmanagementsystem suchen sollten.

  • Verspätete oder nicht erfolge Beantwortung von Betroffenenanfragen.
    Praxisbeispiel: Kunde X schickt der A GmbH eine E-Mail in der der die Firma auffordert, ihm Auskunft darüber zu geben, welche Daten über Ihn gespeichert sind. Die A GmbH hat zwar eine E-Mail Adresse für solche Fragen eingerichtet, ruft die Mails aber nciht ab.
    Folgen: Diese Sanktionen kann ein Verstoß gegen die Betroffenenrechte nach sich ziehen: Melden des Verstoßes durch den Kunden bei der Behörde (Bußgeld). Kunde setzt seinen Anspruch per Anwalt durch (Anwaltskosten).
  • Vorlegen der notwendigen Dokumentationen nach DSGVO (z.B. Verzeichnis von Verarbeitungstätigkeiten) bei Anfordern durch Aufsichtsbehörde nicht möglich.
    Praxisbeispiel: Der BayLDA schickt der A GmbH einen Brief mit der Aufforderung zu Vorlage eines Verzeichnisses von Vorbereitungstätigkeiten. Die A GmbH kann dieses nicht vorlegen.
    Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten.
  • Versenden von Werbemails ohne rechtliche Grundlage (z.B. Einwilligung).
    Praxisbeispiel: Die A GmbH meldet jeden Käufer im Onlineshop direkt zum Newsletter für ihre Angebote an.
    Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten. Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).
  • Verkauf von Kundendaten ohne rechtliche Grundlage (z.B. Einwilligung).
    Praxisbeispiel: Die A GmbH möchte sich ein zweites Standbein aufbauen und verkauft seine Kundendaten, die es seit 10 Jahren sammelt an einen Adresshändler. Die Kunden werden nicht informiert.
    Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten (dazu: schwerer Verstoß gegen DSGVO). Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).
  • Verstoß gegen das „Recht auf Vergessenwerden“.
    Praxisbeispiel: Ein Wohnungsvermieter lehnt einen Bewerber mit der Begründung ab, dass er vor 12 Jahren schon mal bei ihm gewohnt hat und eine Miete nicht gezahlt hat.
    Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten. Aufsichtsbehörde fordert das Löschkonzept an oder ordnet die Löschung an. Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).
  • Datenpanne und Verlust von Kundendaten.
    Praxisbeispiel: Ein Onlineshop wird von einem sog. Erpressungstrojaner befallen. Alle Kundendaten sind verschlüsselt, es gibt kein Backup. Die Aufsichtsbehörde erfährt nur durch Zufall von dem Vorfall.
    Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten. Aufsichtsbehörde fordert die technischen und organisatorischen Maßnahmen an. Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).

Die schwere eines Verstoßes und damit auch das Bußgeld bemisst sich anhand der Schwere, Vorsätzlichkeit und ob ein Wiederholungsfall vorliegt.

Bußgeldrechner nach DSGVO und DSK in Excel zum Download

Die DSK hat im Oktober 2019 ein Bußgeldkonzept veröffentlicht, welches es den Behörden ermöglichen soll, einen einheitlichen Bußgeldrahmen für Verstöße nach DSGVO durchzusetzen. Das Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen sieht dabei ein mehrstufiges verfahren vor, welches hier kurz angerissen werden soll. Außerdem finden Sie ein Excel Tabelle als Download in der Sie ein Bußgeld durchrechnen können.

Schritt 1: Klassifikation und Tagessatzberechnung

Am Anfang wird der Vorjahresumsatz des zu betrachtenden Unternehmens in eine Umsatzkategorie von „Kleinstunternehmen“ bis hin zu „Großen Unternehmen“ unterteilt. Daraus wird ein mittlerer angenommener Umsatz ermittelt und dieser dann durch 360 geteilt, um den Tagessatz zu ermitteln.

Praxisbeispiel: Ein Unternehmen hat in 2019 einen Umsatz von 4.000.000,00 € erzielt. Damit fällt es in die Kategorie B I. (2.000.000,00 € bis 5.000.000,00 €). Der Mittlere Umsatz für diese Kategorie ist 3.500.000,00 €. Damit beträgt der Tagessatz 3.500.000,00 € / 360 Tage = 9.722,22 € .

Schritt 2: Schweregrad des Verstoßes

Wie Schwerwiegend ist der Verstoß? Was sind die Folgen für die Betroffenen? Die DSK sieht hier eine Einstufung von 0 für leichte Verstöße bis hin zu 14,4 für extreme Verstöße vor. Diese Klassifikation wird dann mit dem Tagessatz multipliziert.

Schritt 3: Anpassung des des Bußgeldes anhand weiterer Umstände

Nun ist der sog. Grundwert bestimmt, dieser wird nun durch weitere Gewichtungen herauf bzw. herabgesetzt.  Je nach dem, ob ein hohes Eigenverschulden oder gar Vorsatz vorliegen, kann noch einmal bis zu 50% aufgeschlagen werden. Liegt leichte Fahrlässigkeit vor, kann sogar bis zu 25% abgezogen werden.

Nun wird außerdem ermittelt, ob es ein einmaliger bzw. Erstverstoß war oder es schon öfter zu Verstößen kam, je nach dem wird dann der Grundwert um den Faktor 3 erhöht.

Darüber hinaus sieht die DSK auch vor „eine drohende Zahlungsunfähigkeit des Unternehmens“ mit in die Entscheidung einzubeziehen.

Download Excel Rechner zum DSK Bußgeldkonzept und zur Berechnung Ihrer Strafe bei einem Verstoß gegen den Datenschutz

Laden Sie sich den kostenlosen Bußgeldrechner zu dem genannten Konzept herunter und errechnen Sie einfach ein mögliches Bußgeld. Es gibt einige online Rechner im Netz, allerdings ist es aus nahelegenden Gründen ggf. nicht ratsam diese zu benutzen und mit den Unternehmensdaten zu befüllen.

Bußgeldrechner nach DSGVO kostenlos herunterladen.

Wer haftet für Verstöße nach DSGVO?

Adressat von Schadenersatz-Forderungen und Bußgeldern ist in der Regel das verantwortliche Unternehmen. Doch Ansprüche gegen natürliche Personen sind nicht auf Personengesellschaften begrenzt.

Geschäftsführer und Vorstände haften für DSGVO Verstöße

Analog zum Kartellrecht besteht für Geschäftsführer und Vorstände das Risiko der persönlichen Haftung mit ihrem Privatvermögen. Denn die Einhaltung von datenschutzrechtlichen Vorgaben zählt zu den zentralen Aufgaben der Geschäftsführung. Das Fehlen von Wissen oder Fähigkeiten sind hier ebenso wenig eine Rechtfertigung wie die Delegation von Kontrollpflichten. Regelungen zu Sorgfaltspflicht, Verantwortlichkeit und Haftung finden sich in den Vorschriften der einschlägigen Gesetze zu Kapitalgesellschaften (§ 93 II AktG, § 43 II GmbHG).

Haftung von Arbeitnehmern nach DSGVO

Die Ableitung von Schadenersatzansprüchen eines Unternehmens an seine Mitarbeiter ist im Fall von Bußgeldern möglich. Diese Regressmöglichkeiten im Innenverhältnis sind nicht auf Führungskräfte beschränkt, jedoch zwingend durch Arbeitnehmerschutzrechte begrenzt. Selbst bei grober Fahrlässigkeit darf die Haftung nicht die wirtschaftliche Existenz des Arbeitnehmers bedrohen. Gerichte orientieren sich tendenziell an drei Monatsgehältern. Eine volle Arbeitnehmerhaftung kommt grundsätzlich bloß bei Vorsatz infrage. Insbesondere, wenn es eine ausführliche Datenschutzschulung gab, kann sich das Unternehmen ggf. wehren.

Datenschutzbeauftragte und DSGVO Verstöße

Auch für Datenschutzbeauftragte gelten die Begrenzungen der Arbeitnehmerhaftung, sofern es sich um Mitarbeiter handelt. Externe Datenschutzbeauftragte dagegen haften bei Pflichtverstößen voll. Ein etwaiges Mitverschulden der Geschäftsleitung ist im Einzelfall zu berücksichtigen.

Bußgleder nach DSGVO lassen sich durch mehrstufiges Vorgehen berechnen.

Vorsorgen und Sanktionen vermeiden

Angesichts der möglichen, monetären Konsequenzen lohnt es, in das Thema Datenschutz zu investieren. Neben dem Aufbau einer Datenschutz-Organisation und der Sensibilisierung der Mitarbeiter spielen die Dokumentationspflichten eine besondere Rolle. Zum einen sind Unterlassungstatbestände an sich bußgeldbewehrt, zum anderen besteht Rechenschaftspflicht: Generell liegt die Nachweispflicht bei den Verantwortlichen. Sie müssen die Gesetzeskonformität ihrer Datenverarbeitung darlegen können (Art. 5 Abs. 2 DSGVO). Als unverzichtbar gelten, unabhängig von der Unternehmensgröße:

Vereinbarungen mit Mitarbeitern wie Dienstanweisungen oder Betriebsvereinbarungen sind speziell für Auftragsverarbeiter unverzichtbar – und generell sinnvoll. Je nach unternehmerischem Kontext sollte zusätzlich die Compliance-Risikoanalyse um DSGVO-Risiken ergänzt werden. Dazu ist die mögliche Schadenshöhe mit der Wahrscheinlichkeit eines Bußgelds beziehungsweise anderer monetärer Auswirkungen zu bewerten. Auch dahingehend sollten die weiteren Aktionen der Aufsichtsbehörden beobachtet werden.

Aus den bisherigen Verwaltungsakten lässt sich ferner schließen, dass eine Zusammenarbeit mit den Behörden lohnen könnte. Daher macht es Sinn, sie früh zu involvieren, umfassend zu informieren – und ihren Entscheidungen zu folgen.

Die drei häufigsten Fragen zum Thema DSGVO und Bußgelder

Führt jeder Datenschutzverstoß automatisch zu einem Bußgeld?

Nein, grundsätzlich haben die Aufsichtsbehörden Ermessensspielraum. Wenn Sie Ihre Dokumentationen vorbildlich vorliegen haben und sonst keine weiteren Verstöße begangen haben, kann sich dies auch darin auswirken, dass kein Bußgeld verhängt wird.

Ist das Bußgeldkonzept der DSK verbindlich?

Nein, es bildet nur einen Rahmen ab. Jede Behörde kann davon abweichen. Lediglich die Höchstsätze aus Art 83 DSGVO dürfen nicht überschritten werden.

Bin ich gegen Verstöße versichert, wenn ich einen externen Datenschutzbeauftragten habe?

Dies hängt natürlich von der konkreten Ausgestaltung des Beratungsvertrages zusammen, aber die Aufsichtsbehörde wird sich immer nur an den Verantwortlichen (der Unternehmer) wenden und diesen auch zur Kasse bitten.

Fazit: Die Kosten für Verstöße sind hoch und leicht vermeidbar

Verstöße gegen die DSGVO sind kein Kavaliersdelikt. Nicht nur die hohen Bußgelder sind hierbei gefährlich, vielmehr gilt es Haftungsfragen zu kennen und zu wissen, was für Konsequenzen für einzelne Mitarbeiter drohen. Die meisten Risiken lassen sich durch einen sorgfältigen Umgang mit personenbezogenen Daten verringern. Darüber hinaus ist eine vollständige Dokumentation essentiell und schnell erstellt.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-83-dsgvo/

https://dsgvo-gesetz.de/art-84-dsgvo/

https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf