Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Bußgelder im Datenschutz

Grundsätzlich gilt: Wer gegen die Datenschutzgesetze verstößt, kann mit Geldbuße, Geld- oder Freiheitsstrafe zur Verantwortung gezogen werden. Die Höhe der Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) kann existenzbedrohend sein.

➜ Wann können die Aufsichtsbehörden Bußgelder verhängen?

Werbung ohne Einwilligung: 1,2 Mio Euro Bußgeld
Bild: Lothar Drechsel / iStock / Getty Images Plus
Krankenkasse & Datenschutz

Ein Bußgeld in Höhe von 1,2 Millionen Euro muss die AOK Baden-Württemberg zahlen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) verhängte das Millionen-Bußgeld wegen eines massiven Verstoßes gegen die europäische Datenschutz-Grundverordnung (DSGVO).

Anspruch auf Verhängung einer Geldbuße?

Sie sind von einem Verstoß gegen den Datenschutz betroffen und beschweren sich bei der zuständigen Aufsichtsbehörde. Entgegen Ihren Erwartungen verhängt die Datenschutzaufsicht kein Bußgeld gegen den „Missetäter“. Können Sie die Behörde mit dem Ziel verklagen, dass sie aktiv wird?

Sanktionen der DSGVO

Anfang September gab es Wirbel um ein vermeintlich „geheimes Bußgeldmodell“ der Aufsichtsbehörden. Die Datenschutzkonferenz hat das Modell mittlerweile veröffentlicht. Was bedeutet es für die Praxis?

Keine exorbitanten Bußgelder bei DSGVO-Verstößen
Bild: iStock.com / Stadtratte
DSGVO

Gegen das Telekommunikationsunternehmen 1&1 hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) ein Bußgeld in Höhe von fast zehn Millionen Euro wegen Verstoßes gegen die DSGVO angekündigt. Demnach habe das Unternehmen personenbezogene Daten zu wenig geschützt.

DP+
Wann verjähren Datenschutzverstöße?
Bild: iStock.com / Stadtratte
Geldbußen nach der DSGVO

Die enorm hohen Geldbußen, die die DSGVO vorsieht, führen bei Unternehmen zu erheblichen Unsicherheiten. Fraglich ist, wann diese Unsicherheit endet, sprich ab welchem Zeitpunkt Unternehmen keine Verfolgung durch Aufsichtsbehörden mehr befürchten müssen.

DP+
Inwieweit haften Inhaber und Geschäftsführer?
Bild: iStock.com / filadendron
Schadensersatzansprüche und Geldbußen

Lassen sich Unternehmensinhaber, Vorstände und Geschäftsführer persönlich für Datenschutzverstöße zur Verantwortung ziehen? Lesen Sie einen Überblick zur Haftung der Führungsebene.

Geldbußen & andere Sanktionen

Die deutschen Datenschutzbehörden haben mittlerweile erste Geldbußen verhängt. Für viele Unternehmen stellt sich nun die Frage unmittelbar, ob auch die Mitarbeiter für Datenschutzverstöße haften.

Auch Privatpersonen können gegen die DSGVO verstoßen
Bild: gabort71 / iStock.com / Getty Images
DSGVO

Im Rahmen von Schulungen werden die Teilnehmer im Zusammenhang mit dem Geltungsbereich der DSGVO immer darauf hingewiesen, dass das Gesetz bei Behörden, Unternehmen und Vereinen Anwendung findet. Unter Umständen können aber auch Privatpersonen gegen den Datenschutz verstoßen und eine Geldbuße auferlegt bekommen.

Fakten-Check zur Datenschutz-Grundverordnung

Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.

Billigtarif für Datenschutzverstöße?

Ein Privatmann dokumentiert mehr als zehn Jahre lang über 50.000 Verkehrsverstöße und zeigt sie an. In der Regel fertigt er dabei Fotografien an oder macht Videoaufzeichnungen. Die Datenschutzaufsicht versucht, einzugreifen. Am Ende steht ein gerichtlich bestätigtes Bußgeld von sage und schreibe 250 €. Die Datenschutz-Grundverordnung (DSGVO) wird solche Billigtarife künftig nicht mehr zulassen.

2 von 3

Bußgelder bzw. Geldbußen unter der DSGVO

Zwar liest man immer von „Bußgeldern“ im Zusammenhang mit den Sanktionsmöglichkeiten, die die DSGVO den Datenschutz-Aufsichtsbehörden an die Hand gibt.

Doch die DSGVO selbst spricht in Artikel 83 von „Geldbußen“. Genau genommen wäre es somit korrekt, nur von Geldbußen zu sprechen.

Straf- und Bußgeldvorschriften

  • Art. 83 DSGVO (Verhängung von Geldbußen)
  • Art. 84 DSGVO (Strafvorschriften und andere Sanktionen) in Verbindung mit nationalen Gesetzen
  • §§ 41 bis 43 BDSG (nationale Straf- und Bußgeldvorschriften in Deutschland)

Andere Gesetze, die datenschutzrechtliche Aspekte regeln, können ebenfalls Straf- und Bußgeldvorschriften enthalten, zum Beispiel das Telekommunikationsgesetz (TKG).

Wann müssen Verantwortliche mit Geldbußen rechnen?

Eine Ordnungswidrigkeit, bei der die Aufsicht ein Bußgeld verhängen kann, liegt vor, wenn beispielsweise einer der Fälle von Art. 83 DSGVO zutrifft.

Art. 83 Absatz 4 DSGVO ahndet die eher formalen Verstöße gegen die DSGVO. Die Datenschutz-Aufsichtsbehörden können sie mit maximal 10 Millionen Euro bestrafen – oder mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter erfasst sind z.B. Verstöße in den Bereichen

Art. 83 Absatz 5 DSGVO betrifft schwerwiegendere Verstöße. Als Maximalstrafe drohen 20 Mio. EUR Geldbuße oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, falls diese Summe höher sein sollte.

Darunter fallen z.B. Verstöße in den Bereichen

Daneben können auch nationale Gesetze Bußgelder verhängen (aufgrund der Öffnungsklausel in Art. 83 Abs. 7 DSGVO), beispielsweise in § 43 BDSG oder in § 149 TKG.

Bei der Bemessung der Strafe müssen die jeweiligen Umstände berücksichtigt werden. Welche das sind, nennt Art. 83 Abs. 2 DSGVO. Hier geht es beispielsweise um die Schwere und Dauer des Verstoßes, um Vorsatz, frühere Verfehlungen oder Mitwirkung bei der Aufklärung.

Das Bußgeld-Modell der Aufsichtsbehörden

Für die Höhe von Geldbußen haben sich die Aufsichtsbehörden in Deutschland auf ein Modell verständigt: Das Modell der Aufsichten zur Berechnung von Bußgeldern.

Ob die Ergebnisse dieser Berechnung vor Gerichten Bestand haben, wird sich zeigen müssen. Derzeit ist eher nicht davon auszugehen, wie etwa folgender Fall zeigt: 1&1 – eine Geldbuße schrumpft vor Gericht.

Die Geldbuße richtet sich gegen denjenigen, der seine Pflicht verletzt hat. Das kann die juristische Person sein (etwa das Unternehmen als solches), der gesetzliche Vertreter oder eine mit einer Pflicht beauftragte Person.

Mit Ablauf der Verjährung können die Aufsichtsbehörden eine Ordnungswidrigkeit nicht mehr verfolgen. Das ist nach drei Jahren der Fall (§ 31 Abs. 2 Nr. 1 Ordnungswidrigkeitengesetz (OWiG)).

Die Frist beginnt jedoch erst dann zu laufen, wenn der rechtswidrige Zustand beendet ist.

Strafvorschrift: Freiheitsstrafe statt Bußgelder

Bei schweren Datenschutz-Verstößen kann auch eine Strafbarkeit vorliegen. In Deutschland bestimmt aufgrund der Öffnungsklausel in Art. 84 DSGVO § 42 BDSG, dass bestimmte Verstöße gegen die DSGVO mit Geldstrafe oder Freiheitsstrafe bis zu drei Jahren geahndet werden können.

Die Tat wird nur auf Antrag verfolgt. Berechtigt, einen Antrag zu stellen, sind die betroffene Person, der Verantwortliche, der Bundesdatenschutzbeauftragte und die Datenschutz-Aufsichtsbehörde.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.