DSGVO-Bußgelder
DSGVO-Bußgelder: Wie hoch sind die Strafen für Datenschutz-Verstöße?

DSGVO-Bußgelder: Wie hoch sind die Strafen für Datenschutz-Verstöße?

Die Datenschutz-Grundverordnung (DSGVO) hat das Handeln von Unternehmen europaweit nachhaltig geändert: Datenschutz-Verstöße werden sanktioniert – zum Teil werden horrende DSGVO-Bußgelder verhängt. War es in den ersten Jahren der DSGVO eher ruhig, ging es ab 2020 mit den DSGVO-Bußgeldern los. Aber – woraus ergeben sich Sanktionen eigentlich? Was wird beim Verhängen der DSGVO-Bußgelder berücksichtigt und warum werden sie überhaupt verhängt? Gibt es Lösungen, die Unternehmen vor Bußgeldern bewahren? Diesen und weiteren Fragen gehen wir heute auf den Grund.

DSGVO-Bußgelder: ein Überblick

Nach einer kleinen Schonfrist von etwa zwei Jahren wurden die Aufsichtsbehörden aktiv: Wer sich nun noch immer nicht an die DSGVO hielt, wurde abgestraft. Das traf jüngst den Versandriesen Amazon mit einem DSGVO-Bußgeld in Höhe von 746 Millionen Euro. Es traf jedoch auch schon Google: Die französische Datenschutzbehörde drückte dem Suchmaschinenriesen eine Sanktion von 50 Millionen Euro auf. Hierzulande war man auch nicht zimperlich: 35 Millionen Euro wurden gegen H&M verhängt. Weitere Bußgeldfälle können Sie sich in unserem Beitrag „DSGVO: Bußgelder in Anzahl & Höhe deutlich gestiegen“ ansehen.

Im europäischen Ländervergleich zeigt sich, dass die deutschen Datenschutzbehörden die Schonfrist hinter sich gelassen haben: Laut einer Studie von heyData verhängte Deutschland seit Inkrafttreten des neuen Datenschutzgesetzes DSGVO-Bußgelder in Höhe von 69 Millionen Euro. Damit ist Deutschland – direkt hinter Italien – auf Platz 2.

Die Höhe eines Bußgeldes wird von der zuständigen Datenschutzbehörde festgelegt. Feste Rezepte gibt es hier nicht – jeder Fall muss separat betrachtet werden. Art. 83 DSGVO nennt die „allgemeinen Bedingungen für die Verhängung von Geldbußen“. Ziel des Gesetzgebers war es, mit den Sanktionen empfindlich zu treffen, und so erklärt auch Satz 1 des Artikels 83 DSGVO, dass Bußgelder „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen. Weiter stellt der Absatz klar, dass zur Kalkulation der Bußgeldhöhe verschiedene Faktoren Einfluss haben, mitunter die Schwere der Datenschutzverletzung oder die Bereitschaft des Unternehmens, die Datenschutzverletzung abzustellen.

Wie hoch können DSGVO-Bußgelder ausfallen?

Die DSGVO erlaubt horrende Sanktionen. Art. 83 Abs. 24 DSGVO hält einen Katalog von Bemessungskriterien bereit. Demnach werden beim Berechnen der DSGVO-Bußgelder unter anderem folgende Punkte relevant:

  • Art und Schwere sowie die Dauer des Verstoßes,
  • Maßnahmen, die den Schaden der betroffenen Personen reduzieren können,
  • Fahrlässigkeit oder vorsätzliches Handeln,
  • etwaige frühere Verstöße gegen das Datenschutzrecht,
  • getroffene technische und organisatorische Maßnahmen,
  • die Zusammenarbeit mit der zuständigen Datenschutzaufsichtsbehörde,
  • die Art, wie der Verstoß der Aufsichtsbehörde mitgeteilt wurde (Selbstanzeigen wirken sich beispielsweise positiv aus, eine Anzeige durch betroffene Personen eher nicht),
  • das Einhalten bereits angeordneter Maßnahmen oder auch
  • Kategorien jener Daten, die durch den Verstoß betroffen sind.

Für die Praxis bedeutet dies, dass die Datenschutzbehörden einen großen Ermessensspielraum in ihrer Bewertung von Datenschutzvorfällen haben. In der Folge kann die Höhe der DSGVO-Bußgelder massiv variieren.

Konkret: Welche DSGVO-Bußgelder für welche Verstöße?

Die Aufsichtsbehörden unterscheiden für die Kalkulation der DSGVO-Bußgelder: Kommt ein Unternehmen etwa seinen Überwachungs- oder Zertifizierungspflichten nicht nach oder werden weitere Vorschriften verletzt, wird ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweit erzielten Vorjahresumsatzes fällig. Besonders schwerwiegende Vergehen jedoch, das Verletzen der Betroffenenrechte oder auch das Nichtbefolgen von Anweisungen seitens der Aufsichtsbehörden führen zu höheren Strafen: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – in diesem Rahmen können sich die Aufsichtsbehörden bewegen. Dabei wird der Wert berücksichtigt, der höher ausfällt.

Zusätzlich zu den Bußgeldern können Unternehmen von weiteren Sanktionen getroffen werden: Datenschutzvorfälle ziehen in der Regel Imageverluste nach sich, außerdem könnten Betroffene Schadenersatzansprüche stellen. Auch strafrechtliche Konsequenzen sind denkbar.

Nun gibt es hierzulande 18 Aufsichtsbehörden und wie eben dargelegt, können sich erhebliche Differenzen in der Berechnung der DSGVO-Bußgelder ergeben. Um etwas einheitlicher agieren zu können, hat die Datenschutzkonferenz (DSK) ein Bußgeldbemessungskonzept (PDF) veröffentlicht. Dieses Konzept erlaubt es, sich zu informieren, welche Aspekte in die Bußgeldkalkulation einfließen:

  • Unternehmenskategorisierung nach Größenklassen: Kleinstunternehmen, KMU oder Großunternehmen
  • Bestimmung mittlerer Jahresumsätze der jeweiligen Größenklasse: Durch diesen Schritt soll der wirtschaftliche Grundwert ermittelt werden.
  • Festsetzung des wirtschaftlichen Grundwerts: Nun kann ein durchschnittlicher Tagessatz ermittelt werden.
  • Multiplizieren des Grundwerts nach Schweregrad der Tat: Der Verstoß wird in „leicht“, „mittel“, „schwer“ oder „sehr schwer“ eingeordnet. Der hier ermittelte Faktor wird mit dem vorher ermittelten Grundwert multipliziert.
  • Anpassung des Grundwerts: Im letzten Schritt wird der eben berechnete Betrag den Umständen angepasst, wenn dies bislang noch nicht berücksichtigt wurde. Gemeint sind hier die im obigen Absatz genannten Bemessungskriterien aus Art. 83 DSGVO. Es fließen aber auch sonstige Umstände mit ein, etwa eine drohende Zahlungsunfähigkeit seitens des Unternehmens oder eine lange Verfahrensdauer.

Datenschutzverstöße und Lösungen

Es gibt unzählige Gründe, die zu DSGVO-Bußgeldern führen können. Darunter befinden sich einige klassische Fallstricke – deshalb erhalten Sie im Folgenden einen Überblick über die häufigsten Datenschutz-Verstöße.

Cookie-Einsatz ohne Einwilligung

Dieser Fall gehört wirklich zu den Klassikern: Die Unternehmenswebsite setzt Cookies, in die Nutzende jedoch nicht eingewilligt haben. Tatsächlich müssen Nutzende jedoch einwilligen, bevor Cookies gesetzt werden dürfen. Eine Vorbelegung der technisch nicht notwendigen Cookies darf ebenfalls nicht erfolgen. Nutzende müssen informiert und aktiv einwilligen. Mittlerweile existieren sinnvolle Einwilligungslösungen, jedoch ist das Thema noch nicht abschließend geklärt: Im TTDSG wird das Einwilligungsmanagement konkretisiert (wir berichteten).

Keine oder fehlerhafte Datenschutzerklärung

Ist die Datenschutzerklärung auf der Website fehlerhaft oder fehlt sie ganz, kann eine Information von Betroffenen nicht stattfinden. Die DSGVO verlangt jedoch genau diese Informationen. Fehler in der Datenschutzerklärung können darüber hinaus ein Verstoß gegen das UWG (Gesetz gegen unlauteren Wettbewerb) bedeuten. Wie Sie Ihre Datenschutzerklärung rechtssicher formulieren, erklären wir Ihnen in unserem Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.

Missachtung des Auskunftsrechts von Betroffenen

Art. 15 DSGVO spendiert Betroffenen das Recht, über die zu ihrer Person gespeicherten Daten Auskunft zu verlangen. Unternehmen müssen diesem Auskunftsersuch binnen einen Monats nachkommen; Fristverlängerungen sind – begründet und unter bestimmten Umständen – möglich. Kommt das Unternehmen dem Auskunftsersuch jedoch gar nicht nach, können Sanktionen folgen. Deshalb ist jedem Auskunftsersuch die notwendige Beachtung zu schenken. Weitere Informationen über das Auskunftsrecht betroffener Personen finden Sie im oben verlinkten Artikel „Betroffenenrechte & Datenschutzerklärung nach DSGVO“ sowie in unserem Beitrag „Auskunftsrecht: Welche Rechte haben Betroffene?“

Fehlende DSB-Bestellung

Den Datenschutzbeauftragten (DSB) gab es zwar auch schon vor der DSGVO, jedoch wurde seine Stellung seit dem neuen Datenschutzrecht gestärkt. Unternehmen, in denen mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten befasst sind, sind in der Pflicht, einen DSB zu bestellen. Verpassen betroffene Unternehmen dies, kann das DSGVO-Bußgelder nach sich ziehen.

Praxisbeispiel DSGVO-Verstoß mit Lösungen

Gehen wir noch einmal in die Praxis und sehen uns ein konkretes Beispiel und damit einen der häufigsten Gründe für DSGVO-Bußgelder an: Kunde Müller des Beispiel-Unternehmens möchte die ihm zustehende Auskunft gemäß Art. 15 DSGVO und sendet ein entsprechendes Auskunftsersuchen an die allgemeine E-Mail-Adresse des Beispiel-Unternehmens. Diese allgemeine E-Mail-Adresse wird vom Sekretariat verwaltet – die Stelle ist ungeschult und weiß daher nichts mit der Anfrage anzufangen. Im Stress des Alltags gerät das Auskunftsersuchen in Vergessenheit – Kunde Müller hat nun sechs Wochen lang keine Auskunft erhalten. Frustriert wendet er sich an die zuständige Aufsichtsbehörde, die nun bereits DSGVO-Bußgelder verhängen kann.

Die Lösung für diese Herausforderung ist recht simpel: Es ist am Verantwortlichen, also der Geschäftsführung oder dem Vorstand, die Rechte von Betroffenen sowie die Datenschutz-Vorschriften zu kennen und sich – falls erforderlich – qualifizierte Unterstützung ins Boot zu holen. Es wäre angeraten, individuelle Anforderungen durch eine Ist-Analyse herauszuarbeiten. Erst dann zeigt sich, wo Lücken bestehen und wie diese sich schließen lassen. Hat das Unternehmen einen DSB benannt, wird dieser helfen können. Auch externe Datenschutzbeauftragte sind in diesem Fall hilfreich: sie verfügen über das notwendige Know-how und bieten transparente Kostenstrukturen, sodass Unternehmen gut planen können.

DSGVO-Bußgelder können besonders für KMU bedrohlich sein

Die DSGVO wurde geschaffen, um Datenkraken das Handwerk zu legen. Doch sie gilt auch für Kleinstunternehmen, kleine und mittelständische Betriebe. Und gerade in dieser Unternehmensgröße können DSGVO-Bußgelder schnell existenzbedrohend werden. Während Amazon die 746 Millionen Euro DSGVO-Strafe mit verhältnismäßiger Leichtigkeit zahlt, wäre dieser Betrag – oder auch nur die Hälfte davon – für einen Mittelständler bereits existenzvernichtend.

Die DSGVO-Bußgelder sind jedoch nicht das einzige, was es zu bedenken gilt: Die Image-Verluste, die nach Datenskandalen unvermeidbar sind, sind nicht konkret zu beziffern. Etwaige Schadenersatzansprüche können hinzukommen. Es ist daher essenziell, dass Sie die korrekte Umsetzung der DSGVO-Vorschriften beachten, um Risiken zu minimieren.

Wir, die PSW Consulting, verstehen uns als Ihr Datenschutz-Partner: Gerne unterstützen wir Sie mit Verstand und Hand dabei, den Datenschutz in Ihrer Organisation optimal umzusetzen. Optimal bedeutet: Individuell auf Ihren Bedarf zugeschnitten. Wir können Ihnen nicht nur einen externen Datenschutzbeauftragten stellen, sondern beraten auch umfassend zum Datenschutz. Darüber hinaus bieten wir Awareness-Trainings zur Sensibilisierung Ihrer Mitarbeitenden. Treten Sie einfach in Kontakt zu uns – unsere zertifizierten Datenschutz-Experten sind gerne für Sie da!

2 Replies to “DSGVO-Bußgelder: Wie hoch sind die Strafen für Datenschutz-Verstöße?”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert