Bußgelder bei Datenschutzverstößen: Wie hoch kann ein Bußgeld sein?

Angeblich soll es sie immer noch geben: Unternehmen, die sich nicht an die Grundbestimmungen im Datenschutz halten. Insbesondere im mittelständischen Bereich bekomme ich häufig mit, dass noch nicht bei allen Unternehmern das Thema „Datenschutz“ so priorisiert wird, wie es die Aufsichtsbehörden gerne hätten. Dabei ist Datenschutz spätestens seit der Einführung der DSGVO in aller Munde. Dennoch nehmen nicht alle das Themen so ernst, wie es sich neben den Behörden vielleicht auch Kunden und Geschäftspartner wünschen.
Dass der Staat bei Verstößen beim Datenschutz nicht zimperlich ist, möchte ich in diesem kurzen Artikel verdeutlichen. Wie schon an anderer Stelle berichtet gelten für Verstöße teilweise drakonische Strafen und Bußgelder für Unternehmen von bis zu 20 Millionen EUR. Für große global agierende Unternehmen hat der Gesetzgeber sogar ein Bußgeld von bis zu 4 Prozent des weltweiten Jahresumsatzes vorgesehen. Doch greifen diese Restriktionen in dieser Härte tatsächlich in der Praxis? Dies wollen wir u.a. nun ergründen.

Welche Verstöße können ein Bußgeld nach sich ziehen?

Ein Verstoß stellt zunächst einmal eine Ordnungswidrigkeit dar. In Härtefällen kann dies sogar zur Ahndung über das Strafgesetz führen. Eine Ordnungswidrigkeit liegt z.B. vor, wenn der Verantwortliche seiner Auskunftspflicht bei Verbraucherkrediten nicht nachkommt. Hier erwartet den Unternehmer ein Bußgeld von bis zu 50.000 EURO.

Wer unzulässig die personenbezogenen Daten von Kindern, ohne die Einwilligung der Sorgeberechtigten verarbeitet, kann sogar bis zu 10 Millionen EUR löhnen. Oder auch gerne 2 Prozent des weltweiten Jahresumsatzes. Wer keine oder nicht ausrechende technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten ergreift, muss ebenfalls bis zu 10 Mio. EUR oder sogar 2 Prozent vom globalen Umsatz entrichten.

Wer keinen Datenschutzbeauftragten benennt oder derselbe sich nicht an die in Art. 39 DSGVO festgeschriebenen Aufgaben hält, muss ebenfalls mit einem Bußgeld in Millionenhöhe rechnen.
Mit bis zu 20 Mio. EUR oder der absoluten Keule mit 4 Prozent des weltweit erzielten Vorjahresumsatzes, wird belegt, wer gegen einen der Grundsätze im Datenschutz verstößt. Diese sind die rechtmäßige, transparente, zweckgebundene, datensparsame Datenverarbeitung und letztlich die Rechenschaftspflicht. Ach ja, eine habe ich noch vergessen: Die Speicherbegrenzung. Sie dürfen also nicht unendlich viele Daten ihrer Kunden speichern. Wer das macht, wird gem. Art. 83 Abs. 5a DSGVO verantwortlich zitiert.

Ist die Einwilligung zur Datenverarbeitung eines Betroffenen erforderlich – und das ist sie öfters, als sie glauben – sprechen wir ebenfalls von derartig drakonischen Bußgeldern. Natürlich nur bei Zuwiderhandlung.

Eine Straftat stellt es dar, wenn sie z.B. wissentlich und unberechtigterweise personenbezogene Daten an eine große Anzahl von Dritten übermitteln oder auf andere Art und Weise zugänglich machen. Hier können bis zu 3 Jahre Freiheitsstrafe kommen.

Es handelt sich hierbei wohlgemerkt nur um einen Auszug des Bußgeldkataloges. Im Folgenden möchte ich selbigen noch einmal in seiner Gesamtheit zusammenfassen:

 

Verstoß gegen…	Bußgeld, Strafe	Rechtsgrundlage
Ordnungswidrigkeiten mit Bußgeldern
…Auskunftspflicht bei Verbraucherkrediten	Bis zu 50.000 €	§ 43 Abs. 1 Nr. 1,2 BDSG
…unzulässiger Verarbeitung personenbezogener Daten von Kindern, unter 16 Jahren ohne Einwilligung des Sorgeberechtigten	Bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahresumsatzes	Art. 8, 83 Abs. 4a DSGVO
… unnötige Aufbewahrung, Einholung oder Verarbeitung von personenbezogenen Daten zum Zwecke der Identifizierung einer Person, obwohl dies nicht oder nicht mehr erforderlich ist	Bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahresumsatzes	Art. 11, 83 Abs. 4a DSGVO
Keine geeigneten TOMs zum Schutz der verarbeitenden personenbezogenen Daten	Bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahresumsatzes	Art. 25, 83 Abs. 4a DSGVO
… gegen die Vor­gaben für Zerti­fizierungs­stellen	Bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahresumsatzes	Art. 43, 83 Abs. 4a, b DSGVO
… gegen die Grund­sätze der Verar­beitung von personen­bezogenen Daten	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 5, 83 Abs. 5a DSGVO
unrecht­mäßige Verar­beitung personen­bezogener Daten	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 6, 83 Abs. 5a DSGVO
… gegen die Bedin­gungen für eine wirksame Einwilli­gung des Betroffenen in die Daten­verarbeitung, sofern diese erfor­derlich ist	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 7, 83 Abs. 5a DSGVO
… gegen die Beschrän­kungen bei der Verar­beitung von beson­deren Kate­gorien personen­bezogener Daten (u. a. zur eth­nischen Her­kunft, Weltan­schauung, Reli­gion, Gesund­heitsdaten)	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 9, 83 Abs. 5a DSGVO
… gegen die Rechte der Betrof­fenen (u. a. Auskunfts­recht, Recht auf Berich­tigung, Recht auf Löschung, Wider­spruchs­recht)	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 12 bis 22, 83 Abs. 5b DSGVO
unzulässige Über­mittlung von personen­bezogenen Daten an Empfänger in einem Dritt­land oder interna­tionale Organi­sation	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 44 bis 49, 83 Abs. 5c DSGVO
… gegen die Vorschrif­ten für beson­dere Verar­beitungs­situationen	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 83 Abs. 5d, 85 bis 91 DSGVO
Anweisung oder einer vorüber­gehenden oder endgültigen Beschrän­kung oder Aussetzung der Datenüber­mittlung durch die Aufsichts­behörde nicht befolgt	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 58 Abs. 2, 83 Abs. 5e, 85 bis 91 DSGVO
den Aufsichts­behörden die ihnen zuste­henden Unter­suchungs­befug­nisse nicht gewährt	bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes	Art. 58 Abs. 1, 83 Abs. 5e, 85 bis 91 DSGVO
Straftaten (werden nur auf Antrag des Betroffenen verfolgt)
unberech­tigte, wissent­liche Datenüber­mittlung von personen­bezogenen Daten einer großen Anzahl von Personen an Dritte	Geld­strafe oder Frei­heits­strafe bis 3 Jahre	§ 42 Abs. 1 Nr. 1 BDSG
… auf andere Art und Weise zugäng­lich gemacht	Geld­strafe oder Frei­heits­strafe bis 3 Jahre	§ 42 Abs. 1 Nr. 2 BDSG
unberechtigte Verar­beitung von personen­bezogenen Daten, die nicht all­gemein zugänglich sind, zum Zwecke der Berei­cherung oder Schädi­gung eines Betroffenen	Geld­strafe oder Frei­heits­strafe bis 2 Jahre	§ 42 Abs. 2 Nr. 2 BDSG
personen­bezogene Daten, die nicht all­gemein zugänglich sind, durch unrichtige Angaben zum Zwecke der Bereich­erung oder Schädi­gung eines Betrof­fenen erschlichen	Geld­strafe oder Frei­heits­strafe bis 2 Jahre	§ 42 Abs. 2 Nr. 2 BDSG

Wer ist nun für die Durchsetzung eines Bußgeldes zuständig?

Verantwortlich für die Durchsetzung von DSGVO-Bußgeldern sind die Aufsichtsbehörden für den Datenschutz und die Datensicherheit. Dazu zählt vor allem der Bundesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Neben dem Bund, sind die Datenschutzbeauftragten der Länder für die Durchsetzung von Bußgeldern verantwortlich. Im Land Brandenburg ist der Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg.
Hier geht es zu einer Liste der aktuellen Landesdatenschutzbehörden mit allen relevanten Kontaktinformationen.

Gegenüber den Aufsichtsbehörden können Betroffene mögliche Verstöße melden.

Schadensersatzanspruch? Nicht nur Bußgelder bei DSGVO-Verstoß möglich

Neben den zugegeben sehr hoch angesetzten Bußgeldern, Geld- und Freiheitsstrafen, haftet der Unternehmer auch für eventuelle Schäden bei Betroffenen. So heißt es in Art. 82 Abs. 1 DSGVO wortwörtlich: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Das heißt, jeder Betroffene, der einen Schaden durch den vom Unternehmer hervorgerufenen Datenschutzverstoß erleidet, kann dafür Ersatzanspruch geltend machen. Das gilt also nicht nur für die Verantwortlichen, sondern auch für jene, die im Auftrag von Verantwortlichen handeln. Das sind z.B. Lohnbuchhaltungsunternehmen, Anbieter von Cloud-Diensten oder Marketing-Agenturen.
Der Verantwortliche kann allerdings gem. Art. 82 Abs. 5 DSGVO auch von anderen Verantwortlichen und Auftragsverarbeitern, die für den Datenschutzverstoß haftbar gemacht werden können, auf Schadensersatz beanspruchen.

Warum sind die Bußgelder und Strafen so hoch?

Immer wieder stellt sich in der Öffentlichkeit die Frage nach der Verhältnismäßigkeit. Angesichts der Tatsache, dass in der Regel niemand einen wirklich lebensbedrohlichen Schaden durch die meisten Datenschutzverstöße erleidet, erscheinen die Sanktionen ziemlich hart. Ich nehme an, dass der Gesetzgeber damit eine möglichst hohe Abschreckung gewährleisten möchte. Denn sind wir doch einmal ehrlich. Während im Mai 2018 alle Unternehmer wegen der Einführung der DSGVO aus allen Wolken gefallen sind, gab es diese Datenschutzbestimmungen bereits schon vorher auf nationaler Ebene. Wenn auch das Bundesdatenschutzgesetz entsprechend angepasst wurde, so hatte dies bereits vor der DSGVO eine ähnliche Gangart in Umgang mit personenbezogenen Daten verlangt. Dennoch haben sich nur die wenigsten Unternehmen darangehalten. Wir leben an der Schwelle zu einer digitalen, vielleicht sogar von KI gesteuerten Lebensweise. Digitale Daten werden zunehmend wichtiger. Informationen waren schon immer das kostbarste für Unternehmen. Die Digitalisierung eröffnet vorher ungekannte Möglichkeiten zum Austausch und der Verarbeitung von Daten.
Informationen bedeuten einen unternehmerischen Vorteil. Personenbezogene Daten sind in der heutigen Zeit bares Geld.

Und wie sieht die Realität aus?

Es stellt sich nun die Frage, ob derartig hohe Bußgelder in der Praxis überhaupt verhängt werden können bzw. verhängt werden. Mittlerweile haben wir nach jetzt mehr als 3 Jahren ein etwaiges Gefühl dafür, wie die Rechtsprechung mit dem Thema umgeht. In 2020 wurden in Deutschland 283 Bußgelder insgesamt in Höhe von ca. 48 Mio. EUR verhängt. Im Vorjahr waren es laut DSGVO-Portal, eine Datenbank, die alle Verstöße erfasst, etwa 190 Verstöße, die geahndet wurden . Das entspricht einem Anstieg um ca. 50 Prozent.
Den größten Bußgeldbescheid bekam die H&M Hennes & Mauritz Online Shop A.B. & Co. KG mit über 35 Mio. EUR. Das Vergehen bestand darin, dass unnötige Informationen über Mitarbeiter von mindestens 2014 an permanent auf dem Server gespeichert wurden. Darunter befanden sich z.B. Daten über religiöse Bekenntnisse, familiäre Umstände, Urlaubs- sowie Krankenabwesenheitszeiten und die dazugehörigen Krankheitssymptome. Diese Daten konnten von mehreren Führungskräften regelmäßig eingesehen werden. Die Hamburgische Behörde ließ in ihrem Bescheid auch mildernde Umstände einfließen. So war H&M offensichtlich kooperativ und daran interessiert, dass das Vergehen lückenlos aufgeklärt wurde. Es handelt sich daher um einen eher milderen Beschluss, der auch hätte viel härter ausfallen können.

Urteil des LG Bonn: Deutet sich eine Korrektur an?

Für viel Aufsehen sorgte ein im November 2020 erfolgtes Urteil des Landgericht Bonn. In dem Gerichtsverfahren klagte der Telekommunikationsanbieter 1&1. Zuvor setzte der Bundesdatenschutzbeauftragte ein Bußgeld in Höhe von 9,55 Mio. EUR fest. Der Vorwurf bestand in der Tatsache, dass es in einem konkreten Fall sehr leicht für eine Person war, Daten ihres Ex-Freundes im Call-Center des Unternehmens in Erfahrung zu bringen. Die Frau war eine Stalkerin. Zur Authentifizierung gab sie lediglich nur den Namen und das Geburtsdatum des Mannes an. Der Call-Center-Mitarbeiter gab daraufhin die Telefonnummer des Ex-Partners raus. Da die Herausgabe von wesentlichen personenbezogenen Daten so freigiebig geschah, sah die Bundesdatenschutzbehörde ein Bußgeld von über 9,5 Mio. EUR als gerechtfertigt an. daraufhin klagte 1&1, worauf das LG Bonn das Bußgeld auf 900.000 EUR herabstufte.

Offenbar sah das Gericht das hohe Bußgeld vom Bundesdatenschutzbeauftragten als nicht verhältnismäßig an. Laut Urteil handele es sich nur um einen geringen Verstoß, da Telefonnummern keine sensiblen Daten darstellen. Hätte die Frau sich nach Kontoverbindungen, Verkehrsdaten oder Einzelverbindungsnachweisen erkundigt, hätte sie ohne ein hinreichendes Authentifizierungsverfahren keine Chance gehabt. Damit korrigierte und reduzierte das Gericht das Bußgeld um ca. 90 Prozent.
Zum Volltext des Urteils geht es hier.

Das Urteil könnte richtungsweisend in der künftigen Festlegung von Bußgeldern sein. Das höchste Bußgeld in 2020 betrug jedoch immerhin satte 10,4 Mio. EUR in Deutschland. Hier bestand der Verstoß in der permanenten Videoüberwachung von Mitarbeitern über 2 Jahre. Das Bußgeld setzte die Niedersächsische Datenschutzbehörde fest.

Wie vermeide ich Bußgelder und Strafen?

Es liegt auf der Hand, dass Datenschutz damit nicht nur ein gutes Verkaufsargument gegenüber ihren Kunden ist, sondern tatsächlich bares Geld ausmacht. Mögen die Bußgelder auch drakonische und vielleicht für den einen oder anderen nicht nachvollziehbare Höhen besitzen. Dennoch sind sie in der DSGVO sowie dem BDSG festgelegt und sollten daher erstgenommen werden.
Wie Sie solche Bußgelder vermeiden können? Betreiben Sie ein umfangreiches und sicheres Datenschutzmanagement! Hier ein kleiner Leitfaden für Sie (https://pro-id.net/datenschutz/datenschutzmanagement-nach-der-dsgvo-ein-kleiner-leitfaden/). Sobald Sie mehr als 20 Mitarbeiter haben, müssen sie einen Datenschutzbeauftragten benennen, der sie berät und Verantwortung in diesem Bereich übernimmt. Ich rate ihnen auch dann einen Datenschutzberater ins Haus zu holen, wenn diese Pflicht de jure nicht erforderlich ist. De facto allerdings sind Unternehmer meist ausgelastet und haben nicht die Zeit und nicht das nötige Wissen entsprechende Präventionen zu gewährleisten. Lesen Sie dazu auch meinen Artikel „Warum und wann brauche ich einen Datenschutzbeauftragten?“.

 

Holen Sie sich das Know-how ins Haus!

Jetzt Kontakt aufnehmen unverbindlich ein kostenloses Beratungsgespräch anfordern!