Strafen und Bußgelder nach DSGVO

Welche Strafen oder Bußgelder sind nach DSGVO möglich und wie kann man sie effektiv verhindern? Dieser Artikel soll Ihnen helfen, das Risiko einzuschätzen. Außerdem gibt er Ihnen eine Excel Tabelle zur Hand, mit der Sie Ihr hypothetisches Bußgeld berechnen können.

In diesem Artikel erfahren Sie:

• Welche Bußgelder es bisher gab und wo Sie diese nachlesen können.
• Welche Sanktionen es wirklich gibt.
• Was typische Beispiele für Verstöße gegen den Datenschutz sind.
• Wie Sie ein Bußgeld berechnen können, gem neuem Rahmen der EU Kommission.
• Wer überhaupt für DSGVO Verstöße haftet.
• Wie sie den Aufsichtsbehörden zuvor kommen können.

Bisherige Bußgelder

Beratung und Information standen in den ersten Monaten im Anschluss an die zweijährige Frist bis zum Wirksamwerden der Datenschutzgrundverordnung im Fokus der Aufsichtsbehörden. Dennoch haben bereits einige Bußgelder mediale Aufmerksamkeit erregt. Hier die prominentesten Fälle:

• Die Deutsche Wohnen SE hat von der Berliner Datenschutzbehörde ein Bußgeld in Höhe von 14,5 Millionen Euro auferlegt bekommen.
• Die 1&1 Telecom GmbH muss wegen einem unsicheren Identifikationsverfahren ein Bußgeld von über 9 Millionen Euro zahlen.
• Die Vattenfall Europe Sales GmbH würde zu über 900.000€ Bußgeld verurteilt, weil sie illegal Stammdatensätze abgeglichen hatte.
• Auch kleinere Strafen sind interessant: so wurde im Saarland ein Restaurant mit einem 2000 Euro Bußgeld belegt, weil es unberechtigterweise Videoüberwachung eingesetzt hatte.

Weitere Bußgelder finden Sie bei der Bußgelddatenbank des DSGVO-Portals.

Mögliche Konsequenzen und Sanktionen beim Verstoß gegen den Datenschutz

Grundsätzlich gibt es fünf Folgen bei Verstößen gegen den Datenschutz:

• Bußgelder
• Strafrechtliche Sanktionen
• Schadenersatzansprüche (persönlich z.B. gegenüber Geschäftsführern oder gegenüber der Gesellschaft)
• Abmahnungen durch Wettbewerber
• Imageverlust
• Arbeitsrechtliche Konsequenzen (z.B. außerordentliche Kündigungen, Regressansprüche)

Die DSGVO sieht abschreckende Bußgelder vor. Bereits in der Eingangsstufe können Geldbußen von bis zu 10 Millionen Euro beziehungsweise bis zu 2 % des weltweiten Jahresumsatzes eines Konzerns verhängt werden. Dies gilt zum Beispiel beim Fehlen datenschutzfreundlicher Voreinstellungen. Bei schwerwiegenderen Verstößen können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des Konzernumsatzes erlassen werden. Dies betrifft beispielsweise Nichtbeachtung der Grundsätze der Verarbeitung einschließlich der Bedingungen für eine wirksame Einwilligung. Anzusetzen ist jeweils der höhere Betrag. Mittlerweile haben die Bundesländer allerdings ein gemeinsames Bußgeldkonzept erstellt, welches genauer absehen lässt wie hoch die Bußgelder in Zukunft tatsächlich sein werden. Weiter unten finden Sie einen Rechner und Beispiele für die Bußgeldberechnung.

Zusätzlich enthält das neue Bundesdatenschutzgesetz (BDSG (neu)) in § 42 strafrechtliche Sanktionen bis hin zu Freiheitsstrafen von drei Jahren. Diese oder Geldstrafen drohen bei gewerbsmäßigem Vorgehen beziehungsweise Bereicherungsabsicht. Neu ist, dass nun auch immaterielle Schäden einen Schadenersatz nach sich ziehen können. Dies war bislang im alten BDSG nicht vorgesehen.

Des Weiteren könnten Unternehmen auf Basis der DS-GVO wettbewerbsrechtliche Abmahnungen drohen. Dagegen spricht, dass die DSGVO abschließende Regelungen zu den Rechtsfolgen von Datenschutzverstößen enthält. Mittlerweile gibt es auch hierzu Urteile, die davon ausgehen, dass UWG und EU-DSGVO parallel laufen. Siehe Oberlandesgericht München, Urteil vom 07.02.2019, Az. 6 U 2404/18.

Zusätzlich zu Bußgeldern und Schadensersatz sowie dem Aufwand für die Beseitigung von Datenschutzmängeln sind Umsatzeinbußen durch Imageverlust absehbar. Denn das mit dem Aktivwerden der Datenschutzbehörden einhergehende Medienecho ist nicht zu vernachlässigen.

Übrigens kann ein Datenschutz-Verstoß die außerordentliche Kündigung eines Mitarbeiters wegen der Verletzung arbeitsvertraglicher Pflichten und schweren Vertrauensverlustes rechtfertigen. Daher enthalten viele Arbeitsverträge und ergänzende Dokumente eine Verpflichtung auf das Datengeheimnis.

Typische Beispiele für einen Verstoß gegen den Datenschutz

Hier sollen einige häufig vorkommende Verstöße aufgezählt werden. Dies dient auch der Orientierung, wo Sie nach Schwachstellen in Ihrem Datenschutzmanagementsystem suchen sollten.

• Verspätete oder nicht erfolge Beantwortung von Betroffenenanfragen.
  Praxisbeispiel: Kunde X schickt der A GmbH eine E-Mail in der der die Firma auffordert, ihm Auskunft darüber zu geben, welche Daten über Ihn gespeichert sind. Die A GmbH hat zwar eine E-Mail Adresse für solche Fragen eingerichtet, ruft die Mails aber nciht ab.
  Folgen: Diese Sanktionen kann ein Verstoß gegen die Betroffenenrechte nach sich ziehen: Melden des Verstoßes durch den Kunden bei der Behörde (Bußgeld). Kunde setzt seinen Anspruch per Anwalt durch (Anwaltskosten).
• Vorlegen der notwendigen Dokumentationen nach Datenschutzgesetzgebung (z.B. Verzeichnis von Verarbeitungstätigkeiten) bei Anfordern durch Aufsichtsbehörde nicht möglich.
  Praxisbeispiel: Der BayLDA schickt der A GmbH einen Brief mit der Aufforderung zu Vorlage eines Verzeichnisses von Vorbereitungstätigkeiten. Die A GmbH kann dieses nicht vorlegen.
  Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten.
• Versenden von Werbemails ohne rechtliche Grundlage (z.B. Einwilligung).
  Praxisbeispiel: Die A GmbH meldet jeden Käufer im Onlineshop direkt zum Newsletter für ihre Angebote an.
  Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten. Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).
• Verkauf von Kundendaten ohne rechtliche Grundlage (z.B. Einwilligung).
  Praxisbeispiel: Die A GmbH möchte sich ein zweites Standbein aufbauen und verkauft seine Kundendaten, die es seit 10 Jahren sammelt an einen Adresshändler. Die Kunden werden nicht informiert.
  Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten (dazu: schwerer Verstoß gegen DSGVO). Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).
• Verstoß gegen das „Recht auf Vergessenwerden“.
  Praxisbeispiel: Ein Wohnungsvermieter lehnt einen Bewerber mit der Begründung ab, dass er vor 12 Jahren schon mal bei ihm gewohnt hat und eine Miete nicht gezahlt hat.
  Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten. Aufsichtsbehörde fordert das Löschkonzept an oder ordnet die Löschung an. Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).
• Datenpanne und Verlust von Kundendaten.
  Praxisbeispiel: Ein Onlineshop wird von einem sog. Erpressungstrojaner befallen. Alle Kundendaten sind verschlüsselt, es gibt kein Backup. Die Aufsichtsbehörde erfährt nur durch Zufall von dem Vorfall.
  Folgen: Aufsichtsbehörde kann ein Bußgeldverfahren einleiten. Aufsichtsbehörde fordert die technischen und organisatorischen Maßnahmen an. Schadenersatzanspruch Kunde (nur tatsächlicher Schaden).

Die schwere eines Verstoßes und damit auch das Bußgeld bemisst sich anhand der Schwere, Vorsätzlichkeit und ob ein Wiederholungsfall vorliegt.

Neuer Bußgeldrahmen des Europäischen Datenschutzausschuss (EDSA)

Am 24.05.2023 wurden neue Leitlinien zur Ermittlung von angemessenen Bußgeldern durch den Europäischen Datenschutzausschuss (EDSA) verabschiedet.

Die Leitlinien zur Ermittlung von Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) umfassen fünf Schritte:

1. Identifizierung der Verarbeitung personenbezogener Daten: Der Verantwortliche muss in einem ersten Schritt die verarbeiteten personenbezogenen Daten identifizieren. Bei mehreren Verstößen ist die Anwendbarkeit von Artikel 83 Absatz 3 DSGVO zu prüfen. Außerdem ist zu prüfen, ob Art. 9 Daten betroffen sind.
2. Festlegung des Ausgangspunkts: Anschließend erfolgt die Festlegung des Ausgangspunkts für die Berechnung der Geldbuße. Hierbei wird der Verstoß genau überprüft und seine Schwere im Hinblick auf die Umstände des Einzelfalls sowie den Umsatz des Unternehmens berücksichtigt.
3. Bewertung von erschwerenden und mildernden Umständen: Im dritten Schritt werden erschwerende und mildernde Umstände hinsichtlich des früheren oder gegenwärtigen Verhaltens des Verantwortlichen bewertet. Je nach Ergebnis wird die Geldbuße entsprechend erhöht oder herabgesetzt. Vorsätzliches Verhalten wird wohl anders klassifiziert als fahrlässiges.
4. Ermittlung der gesetzlichen Höchstbeiträge: Die einschlägigen gesetzlichen Höchstbeiträge für verschiedene Verstöße werden ermittelt. Gemäß Artikel 83 DSGVO können die Geldbußen bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes betragen. Die ermittelten Werte dürfen diese Maximalgrenzen nicht überschreiten.
5. Prüfung der Wirksamkeit, Abschreckung und Verhältnismäßigkeit: Abschließend ist zu überprüfen, ob der errechnete Endbetrag den Anforderungen aus Artikel 83 Absatz 1 DSGVO hinsichtlich der Wirksamkeit, Abschreckung und Verhältnismäßigkeit genügt. Dabei kann die Geldbuße entsprechend angepasst werden, solange die gesetzlichen Höchstgrenzen nicht überschritten werden.

Die neuen Regeln der EDSA geben nun also von höchter Stelle etwas Gewissheit über die Höhe von zu erwartenden Bußgeldern, wie das ganze in der Praxis umgesetzt wird, bleibt abzuwarten.

Bußgeldrechner nach DSGVO und DSK in Excel zum Download

Die DSK hat im Oktober 2019 ein Bußgeldkonzept veröffentlicht, welches es den Behörden ermöglichen soll, einen einheitlichen Bußgeldrahmen für Verstöße nach EU-Datenschutz-Grundverordnung durchzusetzen. Das Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen sieht dabei ein mehrstufiges verfahren vor, welches hier kurz angerissen werden soll. Außerdem finden Sie ein Excel Tabelle als Download in der Sie ein Bußgeld durchrechnen können.

Schritt 1: Klassifikation und Tagessatzberechnung

Am Anfang wird der Vorjahresumsatz des zu betrachtenden Unternehmens in eine Umsatzkategorie von „Kleinstunternehmen“ bis hin zu „Großen Unternehmen“ unterteilt. Daraus wird ein mittlerer angenommener Umsatz ermittelt und dieser dann durch 360 geteilt, um den Tagessatz zu ermitteln.

Praxisbeispiel: Ein Unternehmen hat in 2019 einen Umsatz von 4.000.000,00 € erzielt. Damit fällt es in die Kategorie B I. (2.000.000,00 € bis 5.000.000,00 €). Der Mittlere Umsatz für diese Kategorie ist 3.500.000,00 €. Damit beträgt der Tagessatz 3.500.000,00 € / 360 Tage = 9.722,22 € .

Schritt 2: Schweregrad des Verstoßes

Wie Schwerwiegend ist der Verstoß? Was sind die Folgen für die Betroffenen? Die DSK sieht hier eine Einstufung von 0 für leichte Verstöße bis hin zu 14,4 für extreme Verstöße vor. Diese Klassifikation wird dann mit dem Tagessatz multipliziert.

Schritt 3: Anpassung des des Bußgeldes anhand weiterer Umstände

Nun ist der sog. Grundwert bestimmt, dieser wird nun durch weitere Gewichtungen herauf bzw. herabgesetzt.  Je nach dem, ob ein hohes Eigenverschulden oder gar Vorsatz vorliegen, kann noch einmal bis zu 50% aufgeschlagen werden. Liegt leichte Fahrlässigkeit vor, kann sogar bis zu 25% abgezogen werden.

Nun wird außerdem ermittelt, ob es ein einmaliger bzw. Erstverstoß war oder es schon öfter zu Verstößen kam, je nach dem wird dann der Grundwert um den Faktor 3 erhöht.

Darüber hinaus sieht die DSK auch vor „eine drohende Zahlungsunfähigkeit des Unternehmens“ mit in die Entscheidung einzubeziehen.

Download Excel Rechner zum DSK Bußgeldkonzept und zur Berechnung Ihrer Strafe bei einem Verstoß gegen den Datenschutz

Laden Sie sich den kostenlosen Bußgeldrechner zu dem genannten Konzept herunter und errechnen Sie einfach ein mögliches Bußgeld. Es gibt einige online Rechner im Netz, allerdings ist es aus nahelegenden Gründen ggf. nicht ratsam diese zu benutzen und mit den Unternehmensdaten zu befüllen.

Wer haftet für Verstöße nach DSGVO?

Adressat von Schadenersatz-Forderungen und Bußgeldern ist in der Regel das verantwortliche Unternehmen. Doch Ansprüche gegen natürliche Personen sind nicht auf Personengesellschaften begrenzt.

Geschäftsführer und Vorstände haften für Datenschutz Verstöße

Analog zum Kartellrecht besteht für Geschäftsführer und Vorstände das Risiko der persönlichen Haftung mit ihrem Privatvermögen. Denn die Einhaltung von datenschutzrechtlichen Vorgaben zählt zu den zentralen Aufgaben der Geschäftsführung. Das Fehlen von Wissen oder Fähigkeiten sind hier ebenso wenig eine Rechtfertigung wie die Delegation von Kontrollpflichten. Regelungen zu Sorgfaltspflicht, Verantwortlichkeit und Haftung finden sich in den Vorschriften der einschlägigen Gesetze zu Kapitalgesellschaften (§ 93 II AktG, § 43 II GmbHG).

Haftung von Arbeitnehmern nach DSGVO

Die Ableitung von Schadenersatzansprüchen eines Unternehmens an seine Mitarbeiter ist im Fall von Bußgeldern möglich. Diese Regressmöglichkeiten im Innenverhältnis sind nicht auf Führungskräfte beschränkt, jedoch zwingend durch Arbeitnehmerschutzrechte begrenzt. Selbst bei grober Fahrlässigkeit darf die Haftung nicht die wirtschaftliche Existenz des Arbeitnehmers bedrohen. Gerichte orientieren sich tendenziell an drei Monatsgehältern. Eine volle Arbeitnehmerhaftung kommt grundsätzlich bloß bei Vorsatz infrage. Insbesondere, wenn es eine ausführliche Datenschutzschulung gab, kann sich das Unternehmen ggf. wehren.

Datenschutzbeauftragte und DSGVO Verstöße

Auch für Datenschutzbeauftragte gelten die Begrenzungen der Arbeitnehmerhaftung, sofern es sich um Mitarbeiter handelt. Externe Datenschutzbeauftragte dagegen haften bei Pflichtverstößen voll. Ein etwaiges Mitverschulden der Geschäftsleitung ist im Einzelfall zu berücksichtigen.

Vorsorgen und Sanktionen vermeiden

Angesichts der möglichen, monetären Konsequenzen lohnt es, in das Thema Datenschutz zu investieren. Neben dem Aufbau einer Datenschutz-Organisation und der Sensibilisierung der Mitarbeiter spielen die Dokumentationspflichten eine besondere Rolle. Zum einen sind Unterlassungstatbestände an sich bußgeldbewehrt, zum anderen besteht Rechenschaftspflicht: Generell liegt die Nachweispflicht bei den Verantwortlichen. Sie müssen die Gesetzeskonformität ihrer Datenverarbeitung darlegen können (Art. 5 Abs. 2 DSGVO). Als unverzichtbar gelten, unabhängig von der Unternehmensgröße:

• Datenschutzerklärung einschließlich Deklaration der Betroffenenrechte
• machen Sie einen DSGVO Webseiten Check.
• Verzeichnis der Verarbeitungstätigkeiten
• Dokumentation zu Einwilligungen
• Technisch-organisatorische Maßnahmen (TOM)
• Verträge zur Auftragsverarbeitung
• Datenschutz-Folgenabschätzung bei hohen Risiken

Vereinbarungen mit Mitarbeitern wie Dienstanweisungen oder Betriebsvereinbarungen sind speziell für Auftragsverarbeiter unverzichtbar – und generell sinnvoll. Je nach unternehmerischem Kontext sollte zusätzlich die Compliance-Risikoanalyse um DSGVO-Risiken ergänzt werden. Dazu ist die mögliche Schadenshöhe mit der Wahrscheinlichkeit eines Bußgelds beziehungsweise anderer monetärer Auswirkungen zu bewerten. Auch dahingehend sollten die weiteren Aktionen der Aufsichtsbehörden beobachtet werden.

Aus den bisherigen Verwaltungsakten lässt sich ferner schließen, dass eine Zusammenarbeit mit den Behörden lohnen könnte. Daher macht es Sinn, sie früh zu involvieren, umfassend zu informieren – und ihren Entscheidungen zu folgen.

Die häufigsten Fragen (FAQ) zum Thema DSGVO und Bußgelder

Fazit: Die Kosten für Verstöße sind hoch und leicht vermeidbar

Verstöße gegen die DSGVO sind kein Kavaliersdelikt. Nicht nur die hohen Bußgelder sind hierbei gefährlich, vielmehr gilt es Haftungsfragen zu kennen und zu wissen, was für Konsequenzen für einzelne Mitarbeiter drohen. Die meisten Risiken lassen sich durch einen sorgfältigen Umgang mit personenbezogenen Daten verringern. Darüber hinaus ist eine vollständige Dokumentation essentiell und schnell erstellt.

Quellen

https://dsgvo-gesetz.de/art-83-dsgvo/

https://dsgvo-gesetz.de/art-84-dsgvo/

https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf