DSGVO: Geldbußen und Strafen

Nach der Datenschutz-Grundverordnung obliegt es den nationalen Aufsichtsbehörden, Bußgelder für Verstöße gegen den Datenschutz zu verhängen. Diese kommen zusätzlich oder anstelle weiterer Bei- und Abhilfebefugnisse zum Einsatz. Zu Letzteren gehört die Anordnung, den Verstoß zu beenden oder die Datenverarbeitung an gesetzliche Vorgaben anzupassen. Alternativ besteht die Möglichkeit, die Verarbeitung der Daten temporär oder dauerhaft zu untersagen. Resultieren aus einem Verstoß gegen die DSGVO Geldbußen, sollen diese abschreckend und dennoch verhältnismäßig ausfallen. Die allgemeinen Bedingungen für das Verhängen dieser Bußgelder regelt Artikel 83 in der Datenschutz-Grundverordnung.

Sind die DSGVO-Strafen verhältnismäßig?

Laut Artikel 83 DSGVO stellt jede Aufsichtsbehörde sicher, dass das Verhängen von Geldbußen für Verstöße gegen den Datenschutz im Einzelfall wirksam und verhältnismäßig ausfällt. Dementsprechend steht neben der abschreckenden Wirkung die Fairness im Vordergrund.

Entsprechende Bußgelder kommen auf Unternehmen zu, wenn ihre Verwendung von Cookies nicht DSGVO-konform ausfällt. Des Weiteren drohen Sanktionen, wenn sie gegen Art 22 DSGVO verstoßen. Passen sich Unternehmen den Richtlinien an, entsteht die Frage: Sind die DSGVO-Strafen verhältnismäßig?

Mit dieser befassten sich Datenschützer und fanden im Hinblick auf die geforderte Verhältnismäßigkeit mehrere Kritikpunkte. Fällt eine Strafe verhältnismäßig aus, erfordert das tat- und schuldangemessene Sanktionen. Das neue Bußgeldmodell berücksichtigt diese Anforderung in Teilen.

Vorwiegend die Umsatzhöhe eines Unternehmens nimmt auf die Höhe der verhängten Geldbuße Einfluss. Kritiker sehen in diesem Punkt eine Schwachstelle des Modells. Laut Artikel 83 Abs. 4 bis Abs. 6 DSGVO sollen sich die Obergrenzen für die Bußgelder am globalen Vorjahresumsatz eines Konzerns orientieren. Gleichzeitig herrscht eine geltende Obergrenze von zehn Millionen Euro.

Die DSGVO fordert teilweise bei Verstößen eine Zahlung von zwei Prozent des weltweiten Jahresumsatzes. Liegt dieser bei global agierenden Unternehmen bei über 500 Millionen Euro, überschreitet die geforderte Summe die zehn Millionen Euro.

Um das zu vermeiden, basiert die Höhe der Strafzahlung auf dem Umsatz eines Großkonzerns in dem Land, dessen Aufsichtsbehörde die Strafe verhängt. Die Maßnahme wirkt sich auf die Verhältnismäßigkeit der Sanktion negativ aus.

dsvgo geldbussen

Lesen Sie mehr:

DSGVO Geldbußen gegen Behörden verhängen – geht das?

Die Aufsichtsbehörden eines Landes prüfen, ob Unternehmen die Vorschriften der Datenschutz-Grundverordnung einhalten. Geschieht das nicht und sie erhalten Meldung über den Verstoß, verhängen sie gegen den jeweiligen Konzern Bußgelder. Seltener setzen sie DSGVO Geldbußen gegenüber Behörden fest. Der Grund besteht in der Öffnungsklausel in der Datenschutz-Grundverordnung.

Sie bietet jedem Staat innerhalb der Europäischen Union die Entscheidungsfreiheit, ob er Bußgelder gegenüber Behörden verhängt. Deutschland entschied sich im Paragrafen 43 Abs. 3 BDSG gegen die Möglichkeit, Behörden mit Strafzahlungen zu belegen.

Für wen gelten innerhalb der EU die DSGVO Geldbußen nicht?

Die Datenschutz-Grundverordnung gilt im Grundsatz in allen Staaten, die der Europäischen Union angehören. Die einzelnen Länder erhalten die Möglichkeit, bestimmte Vorschriften ihren individuellen Vorstellungen anzupassen. Zu den Delikten, die in der Mehrzahl der EU-Länder dem Datenschutz widersprechen, zählt die fehlerhafte Nutzung von Cookies. Sie dienen der Datenerhebung. Bei ihnen herrscht das Verbot mit Erlaubnisvorbehalt.

Folglich ist ihre Nutzung unzulässig, sofern die Webseitenbetreiber die Besucher nicht darüber informieren und ihre Erlaubnis einholen. Allerdings gelten nicht für alle fehlerhaften Datenerhebungen in der EU die DSGVO Geldbußen. Beispielsweise greifen die Strafen nicht bei einer rein persönlichen oder familiären Datenverarbeitung.

Des Weiteren schließt sie Strafverfolger, die personenbezogene Daten nutzen, von Sanktionen aus. Das betrifft amtliche Stellen, für die eine spezielle EU-Richtlinie existiert. Ebenso brauchen sich EU-Institutionen nicht vor der Bußgelderhebung zu fürchten. Für sie gilt eine separate Verordnung, die an die DSGVO angepasst ist.

Verhängte Geldbußen nach der DSGVO: bekannte Beispiele

Bei vielen Unternehmen und Seitenbetreibern im Internet herrscht im Hinblick auf die Datenschutz-Grundverordnung Unsicherheit. Unter Umständen glauben Firmen, mit einem Verstoß gegen den Datenschutz keine schwere Strafe zahlen zu müssen. Dass dies ein Irrglaube ist, zeigt ein Blick auf verhängte Geldbußen laut DSGVO.

Deutsche Wohnen

In der Vergangenheit kassierte die große deutsche Wohnungsgesellschaft eine Strafe. Die Berliner Aufsichtsbehörde sanktionierte das unterlassene Löschen von Mieterdaten durch die Wohnungsgesellschaft Deutsche Wohnen mit einer Strafzahlung von 14,5 Millionen Euro.

Zu den Daten gehören beispielsweise:

  • Arbeitsverträge,
  • Gehaltsbescheinigungen sowie
  • Steuerunterlagen.

Datenschützer forderten das Unternehmen mehrfach auf, die Speicherung der Mieterdaten zu unterlassen und vorhandene Personendaten zu löschen. Die Wohnungsgesellschaft kam diesen Anliegen nicht ordnungsgemäß nach, sodass der Bußgeldbescheid folgte.

Delivery Hero

Ein weiteres Unternehmen, das wegen nicht gelöschter Kundendaten gegen den Datenschutz verstieß, nennt sich Delivery Hero. Zusätzlich versandte die Firma mit Sitz in Berlin unzulässige Werbe-E-Mails. Aufgrund dieser Verstöße verhängten die Behörden eine Geldbuße von 195.407 Euro. Bis zu diesem Zeitpunkt handelte es sich um das höchste Bußgeld gegen ein deutsches Unternehmen wegen Datenschutzverstößen nach der DSGVO.

Google

Das erste Bußgeldverfahren von Frankreichs Datenschutzbehörde CNIL betraf den Suchmaschinenriesen Google. Ein rechtswidriger Einrichtungsprozess auf dem Betriebssystem Android zog 50 Millionen Euro Geldbuße nach sich. Die CNIL kritisierte die schwere Einsehbarkeit essenzieller Datenschutzinformationen in dem System. In der Folge erhielten die Nutzer keine Möglichkeit, die Dauer der Datenspeicherung sowie deren Weiterverarbeitung nachzuvollziehen.

Des Weiteren sah die Aufsichtsbehörde es nicht als rechtskonform an, dass die User dem Erstellen eines Accounts zustimmen mussten. Der nächste Kritikpunkt betraf das Erstellungsmenü für personalisierte Werbung. Bei dieser war die CNIL der Ansicht, dass die individuellen Möglichkeiten der Einstellung zu schwer aufzufinden seien.

Knuddels

Das Chatportal Knuddels zahlte ein Bußgeld in Höhe von 20.000 Euro. Der Grund: Der Plattformbetreiber informierte die vorrangig jungen User zum ersten Mal im Herbst 2018 über eine Datenpanne. Hacker veröffentlichten über 800.000 E-Mail-Adressen, die Knuddels unverschlüsselt auf einem älteren Server sammelte.

Knuddels reagierte umgehend, indem das Unternehmen die IT-Sicherheit optimierte. Obgleich in Baden-Württemberg ansässige Datenschutzbehörde das Engagement lobte, folgte der Bußgeldbescheid mit einer im Vergleich geringen Forderung von 20.000 Euro.

Wie hoch können Bußgelder nach der DSGVO sein?

Herrschen bei Unternehmen Unsicherheiten in Bezug auf die Datenschutz-Grundverordnung, stellt sich die Frage: Wie hoch können Bußgelder nach der DSGVO sein? Die Höhe einer Strafzahlung, die einem Verstoß gegen den Datenschutz folgt, bestimmen die Landesbeauftragten einer Datenschutzbehörde im Einzelfall.

Artikel 83 DSGVO hält den Bußgeldrahmen fest. Beim Verhängen einer Geldbuße berücksichtigen die Behörden, welche Art der Datenschutzverletzung vorliegt. Verstößt ein Unternehmen gegen die DSGVO oder gegen Überwachungs- oder Zertifizierungspflichten, liegt eine Strafhöhe bis zu zehn Millionen Euro im Bereich des Möglichen.

Alternativ berechnen die Aufsichtsbehörden ein Bußgeld, das bis zu 2 Hundertstel des globalen Jahresumsatzes des jeweiligen Konzerns betragen kann.

INFO: Die Behörde straft stets mit dem höheren Betrag.

Kommt es durch einen Betrieb zur Missachtung der Anweisung durch die Aufsichtsbehörde, verdoppelt sich das Strafmaß. In anderen Situationen betragen die DSGVO-Strafen vier Hundertstel des international erzielten Jahresumsatzes oder bis zu einem Betrag von 20 Millionen Euro.

Macht sich ein Unternehmen eines schwerwiegenden Rechtsverstoßes schuldig, tritt dieser Fall ein. Entsprechende Verstöße listet Artikel 83 Abs. 5 in der Datenschutz-Grundverordnung auf.

Beispiele für die Höhe der DSGVO-Strafen

Um der DSGVO zu entsprechen, führen zahlreiche Unternehmen interne Schulungen der Mitarbeiter durch. Zu dem Zweck beschäftigen sie einen Datenschutzbeauftragten. Manche Firmen versuchen, Kosten einzusparen und unterlassen die Schulungspflicht. Die Festsetzung eines Bußgeldes von bis zu zu zehn Millionen Euro Bußgeld ist die Konsequenz für die Nichtbefolgung der Regelung in der DSGVO.

Ein schwerwiegender Verstoß besteht in der Missachtung gesetzlicher Informationspflichten. 20 Millionen Euro ist die Höchstgrenze des Bußgeldes, das einem Unternehmen droht, wenn beispielsweise eine Datenschutzerklärung fehlt. Diese Beispiele verdeutlichen, dass sich die Strafhöhen abhängig vom Schweregrad der Datenschutzverletzung zeigen.

Die Mehrzahl dieser Sanktionen wenden die Unternehmen durch einfache Maßnahmen wie eine Rechtsberatung ab. Die Aufwendungen für diesen Service sind deutlich niedriger als die zu erwartenden Geldbußen bei einem Verstoß.

Wonach bemisst sich die Höhe der DSGVO Geldbußen?

Ahnden die Aufsichtsbehörden einen Verstoß gegen die Datenschutz-Grundverordnung, behalten sie die Verhältnismäßigkeit der Strafzahlung im Auge. Sie wägen die Höhe der Sanktionen bei jedem Verstoß separat ab. Die Behörden bewerten die Schwere der Datenschutzverletzung und prüfen, wie lange diese anhielt.

Des Weiteren eruiert die Aufsichtsbehörde die Anzahl der von der Datenschutzverletzung betroffenen Personen und bemisst den entstandenen Schaden. Weitere Fragen spielen beim Ermessen der DSGVO-Strafe eine Rolle:

  • Beging das Unternehmen die Datenschutzverletzung absichtlich?
  • Wann und wie begrenzte es den Schaden?
  • Bestehen weitere Verstöße?
  • Existieren mildernde Umstände?
  • Zeigte sich der Datenschutzbeauftragte bereit, bei der Aufklärung mitzuwirken?
  • Versuchte die Firma, den Verstoß zu verschleiern?

Da diese Fragen auf die Höhe der Strafzahlung Einfluss nehmen, sollten Betriebe, bei DSGVO-Verstößen schnell handeln. Es ergibt Sinn, zeitnah Schadensbegrenzung zu betreiben.

Das könnte Sie interessieren:

Die Bewertung des DSGVO-Verstoßes bleibt Willkür der Behörden

Die Datenschutz-Grundverordnung sieht sich starker Kritik ausgesetzt. Zu den größten Kritikpunkten zählt der große Ermessensspielraum der Behörden. Die Bewertung des DSGVO-Verstoßes bleibt Willkür.

Im Gegensatz zum Punktekatalog, den das Kraftfahrtbundesamt nutzt, gibt das DSGVO-Bußgeldkonzept keinen Aufschluss darüber, welcher Verstoß zu welchen Bußgeldern führt. Dementsprechend handelt es sich um ein unkonkretes Rechnungsmodell, das stark von der Entscheidung der Behörde abhängt. Sie erhalten viel Freiraum bei der Bewertung eines Verstoßes. Ihnen obliegt es, ihn als leicht oder schwer einzustufen.


Redakteur Christian Habeck
Nach oben
×
Dein Bonus Code:
Das Bonusangebot hat sich bereits in einem weiteren Fenster geöffnet. Falls nicht, kannst du es aber auch nochmal über den folgenden Link öffnen:
Zum Anbieter