Bußgeldübersicht

Um sicherzustellen, dass sich Unternehmen an die Vorschriften der DS-GVO halten, hat der europäische Gesetzgeber eine Reihe unterschiedlicher Sanktionen für Datenschutzverletzungen vorgesehen. Die bekannteste Sanktion, die Aufsichtsbehörden verhängen können, ist das Bußgeld. Bereits nach dem alten deutschen Datenschutzrecht konnten Verstöße gegen das Datenschutzrecht mit einem Bußgeld geahndet werden. Dieses lag aber weit unter den jetzt drohenden Summen. Mit Inkrafttreten der DS-GVO hat sich der Bußgeldrahmen um das 66-Fache erhöht. In besonders gravierenden Fällen kann daher ein Bußgeld von 20 Millionen Euro oder vier Prozent des Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist.

Nachdem seit Inkrafttreten der DS-GVO bereits einige Zeit vergangen und die Orientierungsphase vorbei ist, nimmt die Zahl an verhängten Bußgeldern sowie die Höhe der Geldbuße immer mehr zu. Allein in Deutschland wurden seit Wirksamwerden der DS-GVO im Mai 2018 über 77.000 Datenschutzverstöße mit Bußgeldern geahndet. Der zulässige Maximalbetrag wird aber eher selten verhängt. Die Aufsichtsbehörden sind verpflichtet, bei der Festsetzung eines Bußgelds drei Kriterien zu beachten: Das Bußgeld muss abschreckend, wirksam und angemessen sein. Die deutschen Aufsichtsbehörden haben ein einheitliches Konzept zur Ermittlung der konkreten Höhe eines Bußgelds entwickelt. Hierbei wird aus der Unternehmensgröße und aus der Art der Datenschutzverletzung ein Betrag X errechnet, der anschließend anhand verschiedener Einzelfallkriterien an den individuellen Datenschutzverstoß angepasst wird. Zu den bußgeldbeeinflussenden Faktoren gehören z. B.

  • die Anzahl der von der Datenschutzverletzung betroffenen Personen.
  • Maßnahmen, die zur Schadensabwendung ergriffen wurden.
  • die Kooperationsbereitschaft mit der Aufsichtsbehörde.
  • die Anzahl vorhandener Verwarnungen oder Bußgelder.

Wie hoch ein Bußgeld im Einzelfall ausfällt, ist damit von unterschiedlichen Komponenten abhängig. Bereits verhängte Bußgelder können daher nur als grobe Orientierung dienen. Nachfolgend finden Sie einige bisher bekannt gewordenen Bußgelder, die aber keinesfalls als Festbeträge für vergleichbare Fälle angesehen werden dürfen. Einen einheitlichen Bußgeldkatalog wie im Straßenverkehrsrecht wird es aufgrund der von der DS-GVO vorgeschriebenen drei Einzelfallkriterien Abschreckung, Wirksamkeit und Angemessenheit auch bei einheitlichen Berechnungsmethoden nicht geben.

Dennoch zeigen die bisher verhängten Bußgelder nach der Analyse von CMS.Law einen gewissen Trend auf, in welchen Fällen die europäischen Aufsichtsbehörden eine Geldbuße verhängen und wie hoch diese ausfällt:

  • Die bisher höchsten Bußgelder in Millionenhöhe wurden zum Großteil wegen unzureichenden technischen und organisatorischen Maßnahmen sowie der Verarbeitung von Daten ohne Rechtsgrundlage verhängt.
  • Aufgrund dieser beiden Verstöße wurden zudem die meisten Bußgelder verhängt. Unzureichende Sicherheitsmaßnahmen hatten im relevanten Zeitraum in 92 Fällen eine Geldbuße zur Folge, das Fehlen einer Rechtsgrundlage wurde 53 Mal geahndet.
  • Verstöße gegen die Grundsätze der Datenverarbeitung wie den Grundsatz der Datenminimierung, Löschpflichten oder das Transparenzgebot wurden im Schnitt ebenfalls mit hohen Bußgeldern von knapp einer halben Million Euro geahndet.
  • Starken Einfluss auf die Höhe der Geldbuße hat in vielen Fällen die Zahl an betroffenen Datensätzen bzw. Personen.

Zwischen den einzelnen Mitgliedsländern zeigen sich ebenfalls Unterschiede bei der Zahl an verhängten Bußgeldern sowie deren Gesamtbetrag. Mit Abstand die meisten Bußgelder ausgesprochen hat Spanien (73), darauf folgen Ungarn (22), Deutschland (21) und Rumänien (21). Mit rund 2,3 Millionen Euro belegt Spanien im Vergleich der Gesamthöhe der verhängten Geldbußen allerdings nur den siebten Platz. Spitzenreiter ist hier Frankreich mit 51,1 Millionen Euro, gefolgt von Italien mit rund 39,4 Millionen Euro und Deutschland mit rund 25 Millionen Euro.

Die DS-GVO verpflichtet Unternehmen in Art. 32 dazu, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten mit angemessenen technischen und organisatorischen Maßnahmen (TOMs) zu schützen. Es muss daher mit entsprechenden Schutzmaßnahmen sichergestellt werden, dass das Risiko für Betroffene, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten, sind verschiedene Faktoren zu berücksichtigen, die in Art. 32 Abs. 1 1. Hs. DS-GVO aufgelistet sind. Hierzu gehören:

  • der Stand der Technik
  • die Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • die Eintrittswahrscheinlichkeit eines Risikos (Schadens) für Betroffene
  • die Schwere des Risikos für die Rechte und Freiheiten Betroffener

Sowohl die deutschen als auch die Aufsichtsbehörden anderer Länder haben bereits eine Reihe von Bußgeldern verhängt, wenn diese Vorgaben nicht ausreichend umgesetzt worden sind. Für Verstöße gegen Art. 32 DS-GVO wurden vergleichsweise im Schnitt die höchsten Bußgelder verhängt.

Personenbezogene Daten dürfen nach Art. 6 DS-GVO nur verarbeitet werden, wenn diese explizit von einer Rechtsgrundlage gestattet ist. Die meisten möglichen Rechtsgrundlagen sind in Art. 6 Abs. 1 S. 1 lit. a) bis f) DS-GVO aufgelistet. Hierzu gehören:

  • die Anbahnung eines Vertrags
  • die Erfüllung einer vertraglichen Pflicht
  • die Erfüllung einer gesetzlichen Pflicht
  • der Schutz lebenswichtiger Interessen
  • die Wahrnehmung öffentlich-rechtlicher Aufgaben
  • das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten
  • die Einwilligung in die Datenverarbeitung

Für spezielle Daten oder Bereiche wie etwa nach Art. 9 DS-GVO besonders sensible Daten oder Datenverarbeitungen im Beschäftigungsverhältnis gibt es weitere Normen mit zusätzlichen Rechtsgrundlagen. Ist keine der Rechtsgrundlagen einschlägig oder sind die Anforderungen an die Rechtsgrundlage nicht erfüllt (z. B. weil nicht alle Voraussetzungen an eine wirksame Einwilligung erfüllt sind oder die Interessensabwägung zu Gunsten der Betroffenen ausging), ist die Verarbeitung der Daten unzulässig. Solch unrechtmäßige Verarbeitungen persönlicher Daten wurden bereits mehrfach von deutschen und anderen europäischen Aufsichtsbehörden sanktioniert.

Die Betroffenenrechte ist der Sammelbegriff für die Rechte, die den Personen zustehen, deren Daten verarbeitet werden. Die DS-GVO hat die Rechtsposition der Betroffenen erheblich gestärkt und in Kapitel 3 eine ganze Reihe unterschiedlicher Rechte geregelt. Zu diesen Rechten gehören:

  • Recht auf Auskunft (Art. 15 DS-GVO)
  • Recht auf Berichtigung (Art. 16 DS-GVO)
  • Recht auf Löschung (Art. 17 DS-GVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
  • Widerruf der Einwilligung (Art. 7 DS-GVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO)

Macht eine betroffene Person eines oder mehrere dieser Rechte geltend, macht die DS-GVO strenge Vorgaben zur Bearbeitung solcher Anfragen. Fehler bei der Bearbeitung von Betroffenenanfragen landen sehr schnell bei der Aufsichtsbehörde. Grund dafür ist das Beschwerderecht, das Betroffenen zusteht und leicht geltend zu machen ist. Um sich bei der Aufsichtsbehörde zu beschweren, reicht es oft aus, ein Onlineformular auszufüllen. Die Behörde ist dann aber verpflichtet, den Vorgang zu prüfen. Daher wurden in diesem Bereich bereits etliche Bußgelder in Höhe von durchschnittlich knapp 400.000 Euro verhängt.

Auch bei der Gestaltung einer Website gilt die eiserne Datenschutzregel: werden personenbezogene Daten des Homepagenutzers verarbeitet, benötigt der Verantwortliche dafür zum einen eine Rechtsgrundlage und zum anderem muss er den User über die Verarbeitung informieren. Besonders heikel sind dabei alle Anwendungen und Plugins, die personenbezogene Daten an Dritte wie Google weitergeben.

Da eine Website ein digitales Aushängeschild eines jeden Unternehmens und von sämtlichen Personen leicht einsichtbar ist, fallen Datenschutzverstöße auf Websites besonders schnell auf. So mancher Datenschutzverstoß wurde auch schon von den Behörden mit einem Bußgeld geahndet.

Werbung gehört zu den Bereichen, bei denen aus Datenschutzsicht besonders leicht viele Fehler gemacht werden. Gleichzeitig fällt genervten Werbeempfängern der Gang zur Aufsichtsbehörde leicht. Zwar können Werbemaßnahmen laut dem Erwägungsgrund Nr. 47 zur DS-GVO als berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO angesehen werden, jedoch ist dies gerade kein Freifahrtschein. Im Gegenteil: auch im Werbebereich bestehen umfangreiche Datenschutzpflichten und nicht immer gilt Art. 6 Abs. 1 S. 1 DS-GVO wirklich. Es muss daher jede Werbemaßnahme geprüft werden, es sind umfangreiche Informationen der Empfänger nötig, klare Prozesse und ein gut geschultes Personal. Auch wenn die Einhaltung der datenschutzrechtlichen Spielregeln im Werbebereich damit zeit- und kostenintensiv ist, die Verletzung der Vorgaben ist keine Bagatelle und kann hohe Bußgelder mit sich ziehen.

An vielen Stellen sind Videokameras in der heutigen Zeit kaum mehr wegzudenken. Sie schmücken die allermeisten Bahnhöfe, Tankstellen und Verkaufsräume. Dennoch sind sie aus der datenschutzrechtlichen Sicht ein sehr dünnes Eis und oft unzulässig. Um eine Videoüberwachung datenschutzkonform einsetzen zu können müssen nämlich folgende Punkte beachtet werden:

  • Detaillierte Zweckbeschreibung und Begründung der Erforderlichkeit der Videoüberwachung
  • Die Interessenabwägung nach 6 Abs. 1 lit. f DS-GVO muss zugunsten des Unternehmens ausfallen
  • Es sind bestimmte Einstellungen bei der Videotechnik erforderlich
  • Kennzeichnung des überwachten Bereichs mit speziellen Hinweisschildern
  • Definition einer kurzen Löschfrist für die Aufzeichnung
  • Bereitstellung einer ausführlichen Datenschutzinformationen

Da diese Pflichten bußgeldbewährt sind, kommt es bei Verstößen regelmäßig zu hohen Bußgeldern. Auch die Schadensersatzpflichten gegenüber den gefilmten Personen wegen der Verletzung des Persönlichkeitsrechts dürfen nicht unterschätzt werden.

Das Prinzip der Datenminimierung verbirgt sich in Art. 5 Abs. 1 lit. c) DS-GVO und gehört damit zu den Grundpfeilern der DS-GVO. Demnach muss immer darauf geachtet werden, dass nur so wenige personenbezogene Daten wie möglich verarbeitet werden. Entscheidend für die Art der Daten ist stets der Zweck der Datenverarbeitung. Im Rahmen dieser gesetzlich zwingend vorgeschriebenen Datenminimierung ist insbesondere darauf zu achten, dass:

  • personenbezogene Daten dem „Zweck angemessen“ sind
  • personenbezogene Daten auf das „notwendige Maß beschränkt“ werden und
  • unnötige Datenkopien vermieden werden

Der Leitgedanke der Datenminimierung zieht sich wie ein roter Faden durch alle Bereiche der Datenverarbeitung – vom Umfang der Verarbeitung der personenbezogenen Daten über die Dauer der Aufbewahrung bis hin zu den Zugriffsberechtigungen. Wird der Grundsatz nicht ausreichend beachtet, verhängen die Aufsichtsbehörden regelmäßig Bußgelder.

Einer der wesentlichen Grundgedanken der DS-GVO ist, dass jede Person Herrin über ihre Daten sein soll. Jede Person soll genau wissen (können), was mit ihren Daten passiert. Ohne Transparenz bei der Verarbeitung von Daten würde der Datenschutz als solcher ins Leere laufen. Sie müssen betroffene Personen einer Datenverarbeitung deshalb ganz genau darüber aufklären, welche Daten Sie auf welche Weise zu welchem Zweck verarbeiten und welche Rechte ihnen dabei zustehen. Diese Informationen müssen leicht zugänglich und in einer klaren und verständlichen Sprache formuliert sein. Fehlende oder nicht ausreichende Transparenztexte waren bereits häufig Gegenstand von Bußgeldverfahren.

Verantwortliche Stellen sind nach der DS-GVO nicht nur verpflichtet, bei der Verarbeitung personenbezogener Daten alle Vorgaben einzuhalten, sie müssen dies auch nachweisen können. Diese Pflicht findet sich in der DS-GVO an zwei Stellen wieder. Zum einen verpflichtet Art. 5 Abs. 2 DS-GVO Sie dazu, im Rahmen der Rechenschaftspflicht die Beachtung der Grundsätze der ordnungsgemäßen Datenverarbeitung nachweisen zu können. Zum anderen dehnt Art. 24 Abs. 1 DS-GVO diese Rechenschaftspflicht auf sämtliche Pflichten des Verantwortlichen aus. Dies hat zur Folge, dass auch ein Bußgeld drohen kann, wenn die datenschutzrechtlichen Vorschriften zur Verarbeitung an sich zwar eingehalten werden, dies aber nicht nachgewiesen werden kann.

Zu den wichtigsten Punkten der DS-GVO gehört auch, dass die unbegrenzte Speicherung von personenbezogenen Daten nicht erlaubt ist. Personenbezogene Daten müssen gelöscht werden, wenn

  • die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
  • die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt,
  • die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  • die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist oder,
  • die personenbezogenen Daten eines Kindes in Bezug auf angebotene Dienste der Informationsgesellschaft, d.h. Internetangebote wie Medien, Webshops oder Online-Spiele erhoben wurden.

Ein Unternehmen muss somit nach der DS-GVO dafür Sorge tragen, dass konkrete Löschkonzepte entwickelt werden und zudem bei jedem Verfahren die vorgesehene Löschfrist angegeben wird. Speichern Unternehmen personenbezogene Daten trotz Wegfalls des Zwecks oder ist es Unternehmen technisch überhaupt nicht möglich Daten zu löschen, werden Aufsichtsbehörden hellhörig.

Werden bei der Zusammenarbeit mit anderen Unternehmen personenbezogene Daten verarbeitet, gibt es in der DS-GVO unter anderem die Konstellation der weisungsgebundenen Auftragsverarbeitung. Liegt eine solche vor, gibt es einige wichtige Voraussetzungen zu beachten. So ist die Auftragsverarbeitung nur zulässig, wenn sie auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV) erfolgt, die die Mindestanforderungen von Art. 28 Abs. 3 DS-GVO erfüllt.

Sowohl das Fehlen als auch inhaltliche Mängel und die Nichteinhaltung der geregelten vertraglichen Pflichten können mit Bußgeldern belegt werden.

Eine Datenpanne ist ein Verstoß gegen den Datenschutz und die Datensicherheit, bei dem unbefugte Personen Zugang zu personenbezogenen Daten erhalten. Es gibt viele Möglichkeiten, dass personenbezogene Daten in unbefugte Hände gelangen, ob verloren, bestohlen oder gehackt – es kann jedem Unternehmen passieren. Egal ob bewusst oder unbewusst, eine Datenpanne ist gravierend und deshalb sieht die DS-GVO ganz bestimmte Regelungen für einen solchen Fall vor. In Art. 33 und 34 DS-GVO wird beschrieben, wie Verantwortliche im Falle einer Datenpanne vorzugehen haben.

  1. Meldung an die Aufsichtsbehörde: Eine Datenpanne muss immer innerhalb von 72 Stunden gemeldet werden, außer diese stellt voraussichtlich kein Risiko für den Betroffenen dar
  2. Benachrichtigung der betroffenen Person: Besteht ein hohes Risiko für die Rechte und Freiheiten des Betroffenen muss dieser informiert werden.
  3. Technisch-organisatorische Maßnahmen zur Beseitigung des Vorfalls
  4. Dokumentation der Datenschutzverletzung

Die Meldung bei der Aufsichtsbehörde ist unangenehm und hat in vielen Fällen Nachfragen oder gar konkrete Überprüfungen der Datenschutzsituation im Unternehmen zur Folge. Gerade weil die Versuchung bei Unternehmen groß ist, der Meldepflicht nicht nachzukommen, um keine schlafenden Hunde zu wecken, ist auch diese Pflicht bußgeldbewährt. Bußgelder wurden dabei schon für gänzlich fehlende Meldungen aber auch für zu spät erfolgte Meldungen verhängt.

Die Frage ab wann ein Datenschutzbeauftragter bestellt werden muss oder sollte, beschäftigt viele Unternehmen. Die Aufgabe des Datenschutzbeauftragten ist die Einhaltung von datenschutzrechtlichen Vorgaben in einem Unternehmen zu prüfen und zu überwachen.

Die Ernennung eines Datenschutzbeauftragten kann daher in vielen Fällen sinnvoll sein. Sind die Vorrausetzungen für die Bestellpflicht nach Art. 37 DS-GVO oder § 38 BDSG erfüllt, stellt die fehlende Benennung einen Bußgeldtatbestand dar. Dieser wird auch dann erfüllt, wenn zwar ein Datenschutzbeauftragter bestellt ist, dieser aber aufgrund fehlender fachlicher Qualifikation oder eines Interessenskonflikts nicht geeignet ist. Ebenfalls mit einem Bußgeld geahndet kann die fehlende Einbindung und Unterstützung des Datenschutzbeauftragten durch die verantwortliche Stelle, zu der Unternehmen nach Art. 38 Abs. 1, 2 DS-GVO verpflichtet sind.

Neben der allgemeinen Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO sind datenverarbeitende Stellen in bestimmten Situationen zudem verpflichtet, der zuständigen Datenschutz-Aufsichtsbehörde Informationen zukommen zu lassen, mit ihr zusammenzuarbeiten oder von ihr Genehmigungen einzuholen. Insbesondere müssen Verantwortliche und Auftragsverarbeiter auf Anfrage das Verzeichnis der Verarbeitungstätigkeiten zur Verfügung stellen (Art. 30 Abs. 4 DS-GVO). Zudem müssen sie mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten (Art. 31 DS-GVO). Kommen Verantwortliche dieser Pflicht nicht nach, stellt allein die mangelnde Kooperation einen bußgeldbewährten Verstoß dar.

Bisher wird hauptsächlich davon berichtet, dass Unternehmen, Organisationen oder Vereine bei Verstößen gegen die DS-GVO Bußgeldtechnisch belangt werden. Vielen völlig unbekannt ist jedoch, dass es auch einzelne Personen treffen kann. Denn grundsätzlich müssen auch Privatpersonen, die personenbezogene Daten erheben und verarbeiten, die DS-GVO beachten. Eine Ausnahme hiervon stellt Art. 2 Abs. 2 lit. c DSGVO dar, denn danach ist die DS-GVO nicht anwendbar, solange die personenbezogenen Daten im persönlichen oder privaten Umfeld verwendet werden. Anders sieht das ganze dann wieder aus, wenn man personenbezogene Daten online veröffentlich und diese somit einer breiten Öffentlichkeit zugänglich macht. In einem solchen Fall handelt es sich dann nicht mehr um eine Verarbeitung zu ausschließlich persönlichen Zwecken.