Bußgelder und räumlicher Geltungsbereich der DSGVO

Bereits verhängte Bußgelder

Eine aktuelle Auflistung der bereits verhängten Bußgelder finden Sie in folgenden Listen (Download als Excel-Sheet) nach Bußgeldhöhe sortiert:

Verhängte Bußgelder

Verhängte internationale Bußgelder

Allgemeines

Neu ist seit der Geltung der DSGVO, dass die Bußgelder, so formuliert es der Gesetzgeber, „abschreckend“ sein sollen. Art. 83 DSGVO besagt:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. …“

Dabei ist es aber keineswegs so, dass die deutschen Datenschutzbehörden ohne Maß Bußgelder verteilen. Im Gegenteil: in Fällen, die nicht gravierend sind, ist ein sehr maßvoller Umgang der Datenschutzbehörden mit diesem Thema zu beobachten. In Fällen, in denen allerdings gravierende Verstöße gegen den Datenschutz festgestellt werden, werden die Datenschutzaufsichtsbehörden allerdings die „Daumenschrauben“ gewaltig anziehen (müssen), weil sie hierzu laut Gesetz schlicht verpflichtet sind. Nachdem sich große Konzerne wie Facebook und Google bislang nicht um das Thema gekümmert haben, werden diese sich damit beschäftigen müssen, wenn sie nicht gewaltige Bußgelder auf sich ziehen wollen: denn Art. 3 DSGVO besagt folgendes über den räumlichen Geltungsbereich:

  • Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. 
  • Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist, oder das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
  • Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

Dies bedeutet, dass die DSGVO nicht nur für Unternehmen gilt, die in der EU ihren Sitz haben, sondern auch für solche, die in der EU Waren oder Dienstleistungen anbieten!

Präventionsmaßnahmen ergreifenVorsicht ist besser als Nachsicht

Die Ergreifung von Maßnahmen für einen zuverlässigen Datenschutz innerhalb von Unternehmen und Vereinen ist zwingend notwendig, denn dies dient einer gezielten Absicherung gegen eine Vielzahl von Risiken.

Kernziel ist die Vermeidung von Verstößen gegen den Datenschutz, denn wenn dieser Fall eintritt, müssen die Verantwortlichen mit ernsthaften Konsequenzen rechnen. 

Noch immer gibt es zahlreiche Geschäftsführer und sonstige Entscheider, die sowohl die eigentlichen Risiken als auch die Konsequenzen maßgeblich unterschätzen und das Thema Datenschutz sowie das Thema Datenschutzbeauftragter nicht ernst nehmen.

Dabei kann es vergleichsweise leicht zu einem Verstoß gegen  die EU-weit geltenden Gesetzesvorschriften kommen. Aufgrund des heutzutage normalen erheblichen Einsatzes von Informationstechnologie besteht das Risiko, dass selbst kleine Fehler gravierende Folgen nach sich ziehen.

Beispiel: So schnell ist es passiert

Ein ganz typisches Beispiel für unabsichtlich begangene Datenschutzverstöße sind falsch aufgesetzte E-Mail Verteiler. Es kommt ganz oft vor, dass Unternehmen ihre Newsletter fehlerhaft versenden, indem sie die einzelnen Empfänger sichtbar mit übermitteln und somit erkenntlich ist, wer die E-Mail ebenfalls erhalten hat. Dabei müssten alle Empfänger auf bcc gesetzt werden.

Folgen von Verstößen gegen den Datenschutz

Was sind die Folgen von Verstößen gegen den Datenschutz?

Zum Einen ist zu bedenken, dass bei einem Verstoß gegen den Datenschutz eine Schädigung der Reputation droht. Ein solcher Schaden kann immense Auswirkungen haben, weil beispielsweise Kunden zu Mitbewerbern wechseln oder Partnerunternehmen bestehende Kooperationen auflösen. Sobald ein Datenschutzverstoß in der Presse landet, lässt sich der Schaden nicht mehr aufhalten!

Zum Anderen drohen unmittelbare finanzielle Konsequenzen. Betroffene, z. B. Kunden oder Mitarbeiter, können zivilrechtliche Schadensersatzansprüche geltend machen, die das Unternehmen teuer zu stehen kommen. Ergänzend drohen Bußgelder, die von Behörden verhängt werden. Gerade hier wird die Tragweite oftmals unterschätzt. Der Gesetzgeber hat bewusst sehr hohe Bußgeldgrenzen definiert, um somit eine möglichst gute Umsetzung von Maßnahmen zum Datenschutz zu gewährleisten. 

Informationen zu den finanziellen Konsequenzen finden Sie daher nachstehend.

Bußgeldtatbestände im Datenschutz

Bei den Bußgeldtatbeständen gibt es zwei Gruppen:

Tatbestände mit einem Bußgeld von bis zu 10.000.000 Euro (bzw. 2 % vom Vorjahresumsatz, falls höher) und Tatbestände mit einem Bußgeld von bis zu 20.000.000 Euro (bzw. 4 %).

Bis zu 10.000.000 Euro  fallen an bei Verstößen gegen:

  • Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43
  • Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43
  • Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4

Bis zu 20.000.000 Euro fallen an bei Verstößen gegen:

  • Die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9
  • Die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22
  • Die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49
  • Alle Pflichten gemäß den Rechtsvorschriften der Mitgliedsstaaten, die im Rahmen des Kapitels IX erlassen wurden
  • Eine Anweisung oder eine vorübergehende oder endgültige Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2
  • Verstoß gegen Artikel 58 Absatz 1 (Nichtgewährung des Zugangs)
  • Eine Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2

Anordnungen der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden haben eine Abhilfebefugnis, das heißt, sie dürfen und müssen Verwarnungen und Tadel aussprechen. Sie können Anweisungen und Anordnungen zu Datenverarbeitungen und Schutz der Daten erlassen und Datenverarbeitungen vollständig oder in Teilen verbieten, was letztlich im schlimmsten Fall der Schließung eines Unternehmens gleichkommen kann. Sie haben ähnliche Rechte wie Zoll und Steuerfahndung: in der Regel wird sich die Aufsichtsbehörde immer schriftlich an die Geschäftsleitung wenden, aber in schlimmeren Fällen werden die staatlichen Datenschützer vor der (Unternehmens-)Tür stehen und müssen hereingelassen werden... Dies ergibt sich alles aus Art. 58 DSGVO!

Zivilrechtliche Haftung

Grundsätzlich haftet der Verarbeiter sowohl für materielle als auch immaterielle Schäden des Betroffenen. Eine Geldentschädigung nicht mehr wie bisher auf schwere Eingriffe beschränkt ist, sondern gilt unbeschränkt. Bei der Feststellung des Schadenseintritts gilt die Schuldvermutung mit Beweislastumkehr, d.h. es wird immer angenommen, dass der Verarbeiter die Schuld trägt, bis er das Gegenteil dargelegt hat. Ein Betroffener kann also den für den Datenschutz Verantwortlichen vor den Zivilgerichten verklagen!

Strafrechtliche Haftung

Die DSGVO enthält nun eigene Regelungen/Sanktionen bei Verstößen gegen den Datenschutz, insbesondere in den Art. 83 und 84 DSGVO. Im neuen BDSG finden sich Strafvorschriften in § 42 BDSG:

1. Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, 

     1. einem Dritten übermittelt oder
     2. auf andere Art und Weise zugänglich macht

und hierbei gewerbsmäßig handelt.

2. Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, 

     1. ohne hierzu berechtigt zu sein, verarbeitet oder
     2. durch unrichtige Angaben erschleicht

und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

3. Die Tat wird nur auf Antrag verfolgt. 2Antragsberechtigt sind die betroffene Person, der Verantwortliche, die oder der Bundesbeauftragte und die Aufsichtsbehörde.

4. Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

Bei einem Verstoß gegen den Datenschutz werden die Strafen gemäß (neuem) BDSG zum Teil sogar angehoben:

1. Die wissentliche, gewerbsmäßige und unberechtigte Weitergabe zahlreicher personenbezogener Daten kann eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe zur Folge haben. Beim Erschleichen von Daten oder unberechtigter und entgeltlicher Datenverarbeitung bleibt der derzeitige Strafrahmen bestehen.

2. Die Geldbuße bei einem ordnungswidrigen Verstoß wurde auf 50.000 Euro gedeckelt. Betrachtet werden ab Mai 2018 dabei aber nur noch zwei Tatbestände gesondert: der Verstoß gegen das Auskunftsrecht sowie die nicht rechtzeitige Unterrichtung des Betroffenen. 

Abmahnungen

Mitbewerber dürfen gem. § 8 UWG grundsätzlich abmahnen, wenn Verstöße gegen den Datenschutz einen Wettbewerbsvorteil bieten, da die Verarbeitung von Daten und die damit verbundenen einzuhaltenden Regeln durchaus Einfluss auf die Wettbewerbsfähigkeit haben.

Verbandklagerecht

Verbände dürfen sowohl im Auftrag eines Betroffenen als auch ohne diesen gegen Datenschutzverstöße klagen, dies allerdings nur unter den engen Voraussetzungen von § 8 Abs. 3 UWG.

Datenschutzverstößen vorbeugen

Ein  guter Weg ist daher: Beugen Sie Datenschutzverstößen vor! Stimmen Sie Prozesse innerhalb der Organisation hinsichtlich ihrer Datensicherheit ab und überwachen Sie diese. Ein professionell installierter Datenschutz mit Hilfe eines externen Datenschutzbeauftragten stellt sicher, dass es gar nicht erst zu Verstößen kommt!

Wir als Ihre externen Datenschutzbeauftragten ergreifen maßgeschneiderte Lösungen zur Absicherung. Auch wenn Sie bereits einen Datenschutzbeauftragten haben, können wir im Rahmen einer Beratung in Einzelfragen helfen, wenn es z. B. um die Änderung von Prozessen geht, oder Sie in Detailfragen Hilfe benötigen, z. B. beim internationalen Datenverkehr, oder natürlich, wenn es um Rechtsfragen geht.


Datenschutzbeauftragten bestellen

Kontaktieren Sie unsere Datenschutz-Experten und bestellen Sie einen externen Datenschutzbeauftragten, um sich vor Bußgeldern und Strafen zu schützen: 

☎ 07031 - 41 80 90

✉ info@columbus-consulting.eu

Datenschutzbeauftragten bestellen