Sanktionen

Sanktionen und Geldbußen bei Datenschutzverstößen
Stand: März 2018

I. Sanktionen nach der neuen Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz

1. Was wird sanktioniert?

  1. Sanktionen nach der neuen Datenschutz-Grundverordnung
    1. Was wird sanktioniert?
    2. Welche Höhe können die Sanktionen haben?
  2. Sanktionen nach dem neuen Bundesdatenschutzgesetz
    1. Was wird sanktioniert?
    2. Welche Höhe können die Sanktionen haben?
  3. Was kommt auf mein Unternehmen zu?
  4. Unser Leistungsangebot

Die DSGVO enthält in den Art. 83 und 84 Regelungen zu Sanktionen bei Datenschutz- verstoßen. Zum einen wird dort praktisch jeder Verstoß gegen Datenschutzvorschriften sanktioniert und zum anderen wurde die Höhe möglicher Geldbußen drastisch erhöht.

2. Welche Höhe können die Sanktionen haben?

Nach Art. 83 Abs. 1 DSGVO hat die Aufsichtsbehörde bei festgestellten Verstößen gegen die DSGVO Geldbußen zu verhängen, die in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind.

Bei der Entscheidung, in welcher Höhe eine Geldbuße verhängt wird, sind die Umstände des Einzelfalls zu berücksichtigen (Abs. 2). Hierzu zählen insbesondere:

  • Art, Schwere und Dauer des Verstoßes;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind.

Bei bestimmten Verstößen (z.B. Verstoß gegen Dokumentationspflicht aus Art. 30 DSGVO) beträgt das Bußgeld bis zu 10 Mio. Euro oder 2 % des weltweit erzielten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist (Abs. 4).

Bei anderen Verstößen beträgt das Bußgeld bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes (Abs. 5). Hierzu zählen insbesondere Verstöße gegen:

  • Die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9 DSGVO;
  • die Rechte der betroffenen Person gemäß den Art. 12-22 DSGVO;
  • die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland.

II. Sanktionen nach dem neuen Bundesdatenschutzgesetz

Parallel zu den unmittelbar geltenden europarechtlichen Datenschutznormen legen die Mitgliedstaaten nach Art. 84 DSGVO eigene Vorschriften über weitere Sanktionen für Verstöße gegen die Verordnung fest.

Entsprechende Bestimmungen sind nunmehr in den §§ 41 - 43 BDSG geregelt. Diese knüpfen an die Bußgeldtatbestände der DSGVO an und verhängen weitere Sanktionen je nach Schwere der Zuwiderhandlung. § 41 BDSG regelt die Anwendung der Vorschriften über das Bußgeld- und Strafverfahren bei Verstößen gegen die DSGVO; § 42 und § 43 BDSG enthalten eigene Straf- und Bußgeldvorschriften.

1. Was wird sanktioniert?

Die Bußgeldvorschriften des § 43 Abs. 1 und 2 BDSG greifen ausschließlich bei Verletzung der Pflichten aus § 30 BDSG (Verbraucherkrediten) ein. Eine solche Sanktionierung kommt beispielsweise in Betracht, wenn ein Unternehmen den Abschluss eines Verbraucherdarlehensvertrags infolge einer Bonitätsauskunft über den Verkäufer ablehnt und diesen hierüber nicht ausreichend unterrichtet.

Darüber hinaus enthält § 42 BDSG eigene Strafvorschriften. Danach wird nunmehr bestraft, wer gewerbsmäßig und wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht, ohne hierzu berechtigt zu sein.

- und -

wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

2. Welche Höhe können die Sanktionen haben?

Bei Verstößen nach § 43 BDSG ist die Geldbuße auf maximal 50.000 Euro beschränkt. Gegen Behörden und andere öffentliche Stellen können zudem keine Geldbußen verhängt werden, § 43 Abs. 3 BDSG.

§ 42 BDSG sieht – je nach Straftatbestand – einen Strafrahmen von Freiheitsstrafe bis zu drei Jahren oder Geldstrafe vor. Es handelt sich jedoch um ein absolutes Antragsdelikt.

III. Was kommt auf mein Unternehmen zu?

Bei der Umsetzung der DSGVO kommt auf Unternehmen, Betriebsräte, Arbeitnehmer und Datenschützer ein enormer Arbeitsaufwand zu. Neue Prozesse, neue Mechanismen und neue Zuständigkeiten müssen geschaffen werden, um die vielen neuen Vorgaben des Datenschutzes europakonform umsetzen zu können. Datenportabilität, Privacy by design, Privacy impact assessments, das Recht auf Vergessenwerden, erhöhte Informations- und Transparenzpflichten sind nur einige der vielen neuen Anforderungen, die Firmen in den kommenden zwei Jahren analysieren und umsetzen müssen. Darüber hinaus werden auch neue Compliance-Pflichten auf die Unternehmen zukommen.

In Anbetracht der vielen Neuerungen sind eine ganze Reihe von Gerichtsverfahren, Stellungnahmen von Datenschutzbehörden und weiteren behördlichen Anordnungen zu erwarten. Neben den finanziellen Risiken aufgrund hoher Bußgelder steht auch immer der Ruf und das Ansehen der Unternehmen in Gefahr.

IV. Unser Leistungsangebot

Wir unterstützen Ihr Unternehmen dabei, sich auf die neuen Anforderungen des europäischen Datenschutzrechts einzustellen, indem wir die unternehmerischen Prozesse zur Verarbeitung personenbezogener Daten dokumentieren, organisieren und durch die eine umfassende Compliance- und Risikomanagement-Strategie die Gefahr von Datenschutzverstößen minimieren.

Wir bieten Ihnen eine Bestandsaufnahme (CheckUp/Audit) Ihres derzeitigen Datenschutzes und beraten Sie über die Vorteile, Rechte und Pflichten eines internen Datenschutzbeauftragten und prüfen, ob eine Auslagerung des Datenschutzes und der IT-Sicherheit an externen Dienstleister in Ihrem Fall vorteilhaft ist.

Darüber hinaus sensibilisieren wir Ihre Mitarbeiter im Rahmen persönlicher Schulungen für die Themen Datenschutz und IT-Sicherheit.

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.