Bußgelder bei Datenschutzverstößen: Rechtsgrundlagen und Praxis

Datenschutzverstöße können in Deutschland erhebliche Bußgelder nach sich ziehen, insbesondere seit der Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018. Diese strengen Vorschriften sollen die Verarbeitung personenbezogener Daten regulieren und Betroffenen mehr Kontrolle über ihre Daten geben. Die Behörden haben dabei weitreichende Befugnisse, Bußgelder zu verhängen, die sowohl präventiv wirken als auch konkrete Verstöße sanktionieren sollen.

Rechtsgrundlagen für Bußgelder

Die wichtigsten Regelungen zu Bußgeldern bei Datenschutzverstößen finden sich in der DSGVO sowie im Bundesdatenschutzgesetz (BDSG).

  • Artikel 83 DSGVO: Legt fest, dass Bußgelder bei Verstößen verhängt werden können. Diese sind gestaffelt und richten sich nach der Art und Schwere des Verstoßes:
  • Mildere Verstöße:
    • Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).
    • Beispiele:
      • Fehlende Datenschutz-Folgenabschätzung (Art. 35 DSGVO).
      • Fehlerhafte Führung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO).
  • Schwerwiegende Verstöße:
    • Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
    • Beispiele:
      • Verletzung der Betroffenenrechte, wie Auskunft (Art. 15 DSGVO) oder Löschung (“Recht auf Vergessenwerden”, Art. 17 DSGVO).
      • Unzureichende Sicherheitsmaßnahmen zum Schutz personenbezogener Daten (Art. 32 DSGVO).
  • Grundsätze der Bußgeldbemessung (Art. 83 Abs. 2 DSGVO): Die Höhe des Bußgeldes wird nach dem Prinzip der Verhältnismäßigkeit bemessen. Berücksichtigt werden unter anderem:
    • Art, Schwere und Dauer des Verstoßes.
    • Vorsätzliches oder fahrlässiges Handeln.
    • Maßnahmen zur Minderung des Schadens.
    • Kooperationsbereitschaft mit den Behörden.
    • Wirtschaftliche Verhältnisse des Unternehmens.

  • Ergänzende Regelungen: Das BDSG regelt nationale Besonderheiten, z. B. im Bereich von öffentlichen Stellen.
  • Bußgeldregelung (§§ 41 ff. BDSG): Erlaubt die Verhängung von Bußgeldern für Datenschutzverstöße, die nicht direkt von der DSGVO abgedeckt sind.

Praxis: Wie werden Bußgelder verhängt?

Bußgelder werden von den Datenschutzbehörden der Länder verhängt, in Deutschland z. B. durch die jeweiligen Landesdatenschutzbeauftragten oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Bundesbehörden. Die Verfahren umfassen folgende Schritte:

  • Datenschutzbehörden prüfen Beschwerden, melden Datenverstöße oder führen Stichproben durch.
  • Unternehmen müssen Datenschutzvorfälle gemäß Art. 33 DSGVO innerhalb von 72 Stunden melden.

  • Die Behörde analysiert, ob ein Verstoß gegen die DSGVO oder das BDSG vorliegt.
  • Hierbei wird auch geprüft, ob die internen Datenschutzmaßnahmen eines Unternehmens angemessen waren.

  • Nach Abschluss der Untersuchung entscheidet die Behörde über ein mögliches Bußgeld und dessen Höhe.

  • Unternehmen haben die Möglichkeit, gegen Bußgeldbescheide
  • Einspruch einzulegen (§ 67 Abs.1 OWiG)
  • gerichtlich vorzugehen.

Beispiele für verhängte Bußgelder

In Deutschland wurden seit Einführung der DSGVO zahlreiche Bußgelder verhängt. Einige prominente Beispiele sind:

  • Verstoß: Überwachung von Mitarbeitern in einem Service-Center.
  • Bußgeld: 35,3 Millionen Euro durch die Hamburger Datenschutzbehörde.

  • Verstoß: Speicherung sensibler Mieterdaten ohne rechtliche Grundlage.
  • Bußgeld: 14,5 Millionen Euro.

  • Verstoß: Unrechtmäßige Videoüberwachung am Arbeitsplatz.
  • Bußgeld: 10,4 Millionen Euro.

Schutz vor Bußgeldern: Compliance-Maßnahmen

Unternehmen können das Risiko von Bußgeldern erheblich reduzieren, indem sie datenschutzrechtliche Vorgaben ernst nehmen. Zu den wesentlichen Maßnahmen gehören:

  • Einführung von Datenschutzrichtlinien und Prozessen.
  • Regelmäßige Schulungen der Mitarbeiter.

Zum Beispiel:

  • Absicherung von IT-Systemen gegen unbefugten Zugriff.
  • Verschlüsselung sensibler Daten

Weitere Informationen zu technischen und organisatorischen Maßnahmen (TOMs).

  • Meldung an die zuständige Behörde innerhalb der vorgeschriebenen Frist.
  • (Information der betroffenen Personen.)

Bußgelder durch rechtskonforme Verarbeitung vermeiden

Die Einhaltung der DSGVO und des BDSG ist für Unternehmen und öffentliche Stellen in Deutschland unerlässlich, um hohe Bußgelder zu vermeiden. Die Datenschutzbehörden agieren zunehmend konsequent, um Verstöße zu ahnden und Datenschutzstandards durchzusetzen. Unternehmen sollten daher proaktiv handeln, um ihre Prozesse datenschutzkonform zu gestalten und die Rechte von Betroffenen zu schützen.

Umfassende Datenschutzberatung für Unternehmen

Wir unterstützen Sie bei der Umsetzung der DSGVO und anderer Datenschutzbestimmungen.

Vertrauen Sie auf unsere Erfahrung und unser Know-how.

Beratung anfragen