Bußgeld Datenschutzverstoß

Zu den Neuerungen, die die DS-GVO für den Datenschutz mit sich gebracht hat, gehören auch die sehr hohen Bußgelder bei Verletzungen der Vorgaben. Verstoßen Verantwortliche gegen ihre datenschutzrechtlichen Pflichten nach der DS-GVO, kann die zuständige Datenschutz-Aufsichtsbehörde ein Bußgeld verhängen. Diese Sanktion an sich gab es zwar bereits unter dem alten BDSG, die Bußgeldobergrenze wurde allerdings um das 66-Fache erhöht. Ein Datenschutzverstoß kann für Verantwortliche demnach eine empfindliche Geldbuße gem. Art. 83 DS-GVO zur Folge haben.

Bemessung der Bußgeldhöhe

Die Aufsichtsbehörden sind angehalten, Bußgelder zu verhängen, die wirksam, verhältnismäßig und abschreckend sind. Die Bemessung der Bußgeldhöhe wird in Art. 83 Abs. 2 DS-GVO geregelt. Demnach ist die Höhe des Bußgeldes im Einzelfall zu bestimmen, wobei unter anderem folgende Faktoren zu berücksichtigen sind:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung des Umfangs der Verarbeitung, der Zahl der Betroffenen und der Schadensauswirkung
  • Vorsätzlichkeit oder Fahrlässigkeit
  • getroffene Maßnahmen zur Minderung des Schadens
  • Grad der Verantwortung unter Berücksichtigung der umgesetzten TOMs
  • etwaige frühere Verstöße
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Kategorien der vom Verstoß betroffenen Daten
  • Einhaltung der Meldepflichten nach dem Verstoß
  • ggf. Einhaltung vorhergehender Anweisungen der Aufsichtsbehörde in Bezug auf denselben Gegenstand
  • Einhaltung von Verhaltensregeln (Art. 40 DS-GVO) und Zertifizierungsverfahren (Art. 42 DS-GVO)
  • weitere mildernde oder erschwerende Umstände wie durch den Verstoß erlangte finanzielle Vorteile

Die aufgelisteten Faktoren sind nicht abschließend. Die Aufsichtsbehörden können im Einzelfall weitere Umstände positiv oder negativ in die Bemessung der Bußgeldhöhe einfließen lassen.

Bußgeldkonzept der DSK

Um die Bemessung der Bußgeldhöhe in Deutschland trotz mehrerer Aufsichtsbehörden einheitlich und transparent zu gestalten, hat die Datenschutzkonferenz (DSK) ein gemeinsames Bußgeldkonzept entwickelt und Ende des Jahres 2019 vorgestellt. Die Bußgeldzumessung erfolgt nach diesem Konzept in insgesamt fünf Schritten:

  1. Zuordnung des betroffenen Unternehmens zu einer Größenklasse
    In Abhängigkeit des gesamten weltweit erzielten Vorjahresumsatzes werden die Unternehmen einer von vier Größenklassen (Kleinstunternehmen, kleine Unternehmen, mittlere Unternehmen und Großunternehmen) zugeordnet. Die Gruppen werden anschließend nochmals in drei bis sieben Untergruppen unterteilt.
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
    Danach wird der mittlere Jahresumsatz der Untergruppe bestimmt, der das betreffende Unternehmen zugeordnet wurde.
  3. Ermittlung des wirtschaftlichen Grundwerts
    Der mittlere Jahresumsatz wird anschließend durch 360 (Tage) dividiert, um einen auf die Vorkommastelle aufgerundeten Tagessatz zu erhalten – den wirtschaftlichen Grundwert.
  4. Multiplikation des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen Faktors
    Im nächsten Schritt wird der Datenschutzverstoß anhand der konkreten tatbezogenen Umstände des Einzelfalls einem Schweregrad zugeordnet (leicht, mittel, schwer, sehr schwer). Als Kriterien dienen die mildernden bzw. erschwerenden Faktoren aus Art. 83 Abs. 2 DS-GVO). Bei formellen Verstößen (Art. 83 Abs. 4 DS-GVO) liegt der Multiplikationsfaktor zwischen 1 und 6, bei materiellen Verstößen (Art. 83 Abs. 5, 6 DS-GVO) zwischen 1 und 12.
  5. Anpassung anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände
    Zuletzt wird der errechnete Betrag anhand sonstiger Umstände, die unter Punkt 4 noch nicht berücksichtigt wurden, positiv oder negativ angepasst (z. B. drohende Zahlungsunfähigkeit des Unternehmens).

Bußgeldobergrenze

Die Bußgeldobergrenze ist abhängig von der Art des Datenschutzverstoßes, das heißt, welche Vorgabe der DS-GVO verletzt wurde. Für formelle Verstöße liegt die Bußgeldobergrenze gem. Art. 83 Abs. 4 DS-GVO bei 10 000 000 Euro beziehungsweise 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Bei materiellen Verstößen liegt sie gem. Art 83 Abs. 5 DS-GVO bei 20 000 000 Euro beziehungsweise 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Ausschlaggebend ist jeweils der Betrag, der höher ist.

Befolgen Unternehmen eine Anweisung der Aufsichtsbehörde gem. Art. 58 DS-GVO nicht, kann dies ebenfalls ein Bußgeld von bis zu 20 000 000 Euro beziehungsweise 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zur Folge haben.

Bußgeldbewehrte Verstöße

Nicht für jede Verletzung einer Pflicht aus der DS-GVO kann grundsätzlich ein Bußgeld verhängt werden. In Art. 83 Abs. 4, 5, 6 DS-GVO ist genau geregelt, welche Verstöße bußgeldbewehrt sind.

Nach Art. 83 Abs. 4 DS-GVO kann insbesondere bei Verstößen gegen folgende Vorgaben ein Bußgeld verhängt werden:

  • Art. 8 DS-GVO (Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft)
  • Art. 11 DS-GVO (Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist)
  • Art. 25 DS-GVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen)

Außerdem sind nach Art. 83 Abs. 5 DS-GVO insbesondere materielle Verstöße gegen folgende Normen bzw. die Nichtbeachtung folgender Vorschriften bußgeldbewehrt:

  • Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten)
  • Art. 6 DS-GVO (Rechtmäßigkeit der Datenverarbeitung)
  • Art. 7 DS-GVO (Bedingungen für die Einwilligung)
  • Art. 9 DS-GVO (Verarbeitung besonderer Kategorien personenbezogener Daten)
  • Art. 12–22 DS-GVO (Rechte der betroffenen Personen)
  • Art. 44–49 DS-GVO (Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder eine internationale Organisation)
  • Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Vorschriften für besondere Verarbeitungssituationen; u. a. Datenverarbeitung im Beschäftigungskontext) erlassen wurden
  • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DS-GVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DS-GVO

Bußgeldverfahren

Bevor ein Bußgeld verhängt wird, führt die Bußgeldstelle der zuständigen Aufsichtsbehörde zunächst umfangreiche Ermittlungen zur Feststellung des vollständigen Sachverhalts durch. Hier werden unter anderem auch der Verantwortliche, zuständige Mitarbeiter und ggf. weitere beteiligte Personen befragt und relevante Prozesse/Dokumentationen im Unternehmen geprüft. Eingeleitet werden können Bußgeldverfahren, wenn der Behörde ein ahndungswürdiger Sachverhalt bekannt wird, beispielsweise infolge von eigenen proaktiven Kontrollen, Beschwerden von betroffenen Personen, Meldung eines Datenschutzverstoßes durch den Verantwortlichen oder auch Mitteilungen in der Presse.

Lassen Sie sich von einem Datenschutzexperten beraten!

Suchen Sie einen externen Datenschutzbeauftragten oder braucht Ihr interner Datenschutzbeauftragter Unterstützung bei der Erfüllung seiner Pflichten? Wir beraten und unterstützen Sie gerne!

Kontakt aufnehmen