DSGVO: Welche Strafen & Bußgelder drohen?

1. DSGVO-Verstoß: Mögliche Strafen & Bußgelder berechnen

Ziel der am 25.05.2018 in Kraft getretenen Datenschutzgrundverordnung und der Erneuerung des Bundesdatenschutzgesetzes (BDSG) ist der Schutz personenbezogener Daten von Privatpersonen.

Um Datenmissbrauch im Netz vorzubeugen, sind bei DSGVO Verstößen hohe Strafen und Bußgelder möglich – mehr als bisher.

Welche Strafe bei welchem Vergehen drohen kann, hängt davon ab, wie schwer der Verstoß ist und ob dieser materiell oder formell ist. Mehr Informationen dazu finden Sie im 2. Kapitel.

Sie können unseren DSGVO-Bußgeld-Rechner nutzen, um das mögliche Bußgeld zu erfahren.

2. Wann liegt ein Verstoß gegen die DSGVO vor?

Gemäß DSGVO ist jede unrechtmäßige Nutzung persönlicher Daten gesetzeswidrig. Es ist irrelevant, ob Sie die Daten verwenden oder nur zu Statistikzwecken erheben und zwischenspeichern – Sie sind verpflichtet, jede mögliche Nutzung anzugeben und eine schriftliche Genehmigung des jeweiligen Nutzers einzuholen.

Die DSGVO gilt nicht nur für Unternehmen, sondern auch für Privatpersonen, die fremde Daten verarbeiten – z. B. auf einem persönlichen Blog mit Newsletter. Eine Ausnahme bilden rein private Seiten, die ohne Nutzung jeglicher Kontaktdaten auskommen.

3. Welche Datenschutzverstöße werden geahndet?

Auf Grundlage der DSGVO werden sogenannte formelle und materielle Verstöße gegen das Datenschutzrecht mit einer Strafe geahndet. Daneben spielt die Schwere des Vergehens eine Rolle, insbesondere wenn es um die Höhe der Sanktionen geht.

Formelle & materielle Verstöße

Artikel 83 der DSGVO definiert formelle und materielle Verletzungen gegen die Datenschutzgrundverordnung. Die folgende Tabelle listet einige Beispiele auf:

Formelle Verstöße werden im Vergleich zu materiellen schärfer geahndet. Dementsprechend unterscheidet sich auch die Höhe der DSGVO Strafen und Bußgelder.

Leichte bis sehr schwere Verstöße

Daneben werden weitere Verstöße gegen den Datenschutz geahndet – aber unterschiedlich streng. Hier spielt die Schwere des Vergehens eine entscheidende Rolle:

• Leichte Verstöße (wenige Betroffenen, Reue und Entschädigung durch den Verursacher, keine Delikte in der Vergangenheit): Nicht zuvor genehmigter Versand von Spam-Mails
• Mittlere Verstöße (grober Verstoß gegen die Informationspflichten, relevante Nachteile gegenüber Betroffenen): Kein Impressum oder Datenschutzerklärung
• Schwere Verstöße (viele Betroffene, gravierende Schäden, vorsätzliches Handeln): Illegaler Handel mit Kundendaten oder vorsätzliche Datenfälschung
• Sehr schwere Verstöße: (sehr viele Betroffenen, schwerwiegende, existenz­bedrohende Schäden, moralisch besonders verwerflich): Unerlaubte Bekanntgabe von Informationen aus Zeugenschutz­programmen

4. Welche Konsequenzen drohen bei einem Verstoß gegen die DSGVO?

Die DSGVO Strafen und Bußgelder sind härter als die der alten Datenschutzverordnung. Welche Sanktionen drohen und wie hoch diese ausfallen können, hängt von mehreren Faktoren ab.

Welche Strafe droht bei Datenschutzverletzung?

Die Sanktionen für einen Verstoß gegen die Datenschutzgrundverordnung können sehr unterschiedlich ausfallen. Sie sind abhängig von unterschiedlichen Faktoren:

• Art des Vergehen
• Schwere des Vergehens
• Jahresumsatz des betreffenden Unternehmens

Verstoßen Unternehmen gegen die DSGVO, müssen Sie eine Geldstrafe zahlen. Privatpersonen können mit einer Verwarnung und einer Unterlassungserklärung davonkommen. Bei groben Vergehen müssen jedoch auch Privatpersonen mit einem DSGVO-Bußgeld rechnen.

Bei schweren Vergehen gegen die DSGVO können natürlichen Personen neben Geld- auch Freiheitsstrafen drohen, z. B. für:

• Wissentliche, gewerbsmäßige Übermittlung nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen an einen Dritten: Freiheitsstrafe von bis zu 3 Jahren
• Verarbeitung nicht allgemein zugänglicher Daten ohne Genehmigung aus finanziellen Beweggründen oder um einen anderen zu schädigen: Freiheitsstrafe von bis zu 2 Jahren

Daneben können Personen, bei denen wegen eines Vergehens gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, gegen das verantwortliche Unternehmen einen Schadensersatzanspruch geltend machen.

5. Wie hoch kann das DSGVO-Bußgeld ausfallen?

Geldbußen wegen einer Datenschutzverletzung können ganz unterschiedlich ausfallen – abhängig vom Unternehmen und dem Verstoß. Bei Großkonzernen sind auch Sanktionen in Millionenhöhe möglich.

DSGVO-Bußgeld: Welche Höhe gilt als angemessen?

Verstößt ein Unternehmen gegen die Datenschutzgrundverordnung, können folgende Geldstrafen drohen:

• Bei formellen Verstößen gilt ein Bußgeld in Höhe von maximal 10 Millionen Euro beziehungsweise 2 % des weltweiten Firmenumsatzes als angemessen.
• Im Falle eines materiellen Verstoßes verdoppelt sich das Strafmaß.

Aktuelle Entscheidungen der internationalen Datenschutzbehörden in der EU sahen folgende DSGVO-Strafen 2020 als angemessen an:

• 10,4 Mio. Euro gegen notebooksbilliger
• über 12 Mio. Euro gegen Vodafone Italien
• 35,3 Mio. Euro gegen die Modekette H&M

Listen für DSGVO-Strafen finden sich zwar im Netz – was angemessen ist, entscheiden aber die Aufsichtsbehörden der jeweiligen Bundesländer.

Wie hoch kann die Strafe für Privatpersonen ausfallen?

Privatpersonen, die keinen Umsatz mit ihrer Seite erzielen, betreffen die Regelungen der DSGVO grundsätzlich nicht. Erheben oder verwenden sie aber fremde Daten und verstoßen gegen die Datenschutzgrundverordnung, kann ein Gericht auch gegen Privatpersonen Sanktionen verhängen.

So hatte z. B. ein Mann aus Sachsen-Anhalt 2018 wiederholt hunderte von E-Mails mit personenbezogenen Mailadressen im offenen Verteiler geschickt. Er wurde zu einem Bußgeld in Höhe von 2.628,50 Euro verurteilt.

Als Arbeitnehmer haften Privatpersonen für Vergehen gegen den Datenschutz im Rahmen ihres Beschäftigungsverhältnisses lediglich nach den im Arbeitsrecht geltenden Grundsätzen der Arbeitnehmerhaftung. DSGVO-Strafen sind für Angestellte eines Unternehmens nur begrenzt möglich.

Wie wird die Höhe des Bußgeldes bemessen?

Auswirkungen auf die Höhe des Bußgeldes haben die Art des Datenschutzverstoßes und die Schwere der Tat. In Kombination bilden diese beiden Faktoren die Grundlage für die Berechnung der DSGVO Strafen und Bußgelder.

Leichte formelle Vergehen ziehen dementsprechend die geringsten DSGVO Strafen und Bußgelder nach sich, materielle (sehr) schwere Vergehen haben härtere Konsequenzen.

6. DSGVO-Strafe: Was können Betroffene tun?

Ziel der Datenschutzgrundverordnung ist es, die persönlichen Daten von Nutzern zu schützen. Um Vergehen zu vermeiden, ist auf die Einhaltung der DSGVO zu achten.

Wie können Privatpersonen & Unternehmen ein DSGVO-Bußgeld vermeiden?

Um ein Bußgeld zu vermeiden, kann eine umfangreiche Datenschutzerklärung auf der eigenen Website sinnvoll sein, die wirklich jede Nutzung abdeckt.

Wichtig ist außerdem Folgendes:

• Hinweis & Wahl zur Nutzung von Cookies
• Sichere Datenverschlüsselung & permanente Aktualisierung
• Möglichst geringe Datenerhebung & Löschung nicht benötigter Daten
• Umfassende Aufklärung & Einverständnis des Nutzers über Datenverarbeitung

Die Anforderungen der DSGVO sind komplex und ihre Folgen schwer abzuschätzen. Für Gewerbetreibende kann es deshalb sinnvoll sein, ihr Projekt – sei es Website, Werbekampagne oder Onlineshop – prüfen zu lassen.

Dank einer juristischen Prüfung können Sie sich auf eine DSGVO-konforme Website verlassen und Strafen wegen eines Datenschutzverstoßes vermeiden.

Ein Anwalt mit Schwerpunkt DSGVO kann in diesem Rahmen z. B. folgende Aufgaben übernehmen:

• Erstellung eines Datenschutzkonzeptes
• Erstellung und Prüfung Ihrer Datenschutzerklärung
• Durchführung einer Datenschutz-Folgenabschätzung

Sie suchen einen Anwalt, um ein DSGVO-Bußgeld zu verhindern? advocado findet für Sie den passenden Anwalt aus einem Netzwerk mit über 500 Partner-Anwälten. Dieser kontaktiert Sie innerhalb von 2 Stunden für eine kostenlose Ersteinschätzung zu Ihren Handlungsoptionen und Erfolgsaussichten.

Was können Unternehmen & Privatpersonen tun, wenn sie bereits eine Strafe erhalten haben?

Für den Fall einer Datenpanne ist es wichtig, dass Unternehmen die geltenden Meldefristen beachten und einhalten. Vergehen müssen innerhalb von 72 Stunden an die entsprechende Behörde gemeldet werden.

Werden z. B. persönliche Daten Ihrer Kunden von Hackern gestohlen oder gehen durch den Hackerangriff verloren, sind folgende Schritte einzuhalten:

• Informieren Sie Ihren Datenschutzbeauftragten und melden Sie den Datenschutzverstoß, falls erforderlich, der Aufsichtsbehörde
• Prüfen Sie, in welchem Ausmaß der Datenschutzverstoß vorliegt
• Überprüfen Sie gemeinsam mit Ihrem IT-Leiter die Ursache für die Datenpanne und leiten Sie Gegenmaßnahmen ein.
• Prüfen Sie, wie viele Personen von dem Datenschutzverstoß betroffen sind und ob diese benachrichtigt werden müssen.

Haben Sie bzw. Ihr Unternehmen bereits einen Bußgeld oder eine Strafe wegen eines Verstoßes gegen den Datenschutz erhalten, können Sie einen Anwalt kontaktieren.

Er kann Sie zu Ihrer persönlichen Situation beraten und nach einer Überprüfung der tatsächlichen Schuldverhältnisse bei der zuständigen Stelle Widerspruch einlegen. Unter Umständen lässt sich damit eine mildere Strafe erreichen.