Bußgelder und Haftung

Unternehmen müssen bei Datenschutzverstößen mit hohen Strafen rechnen. Hier erfahren Sie, welche Sanktionen die Aufsichtsbehörden verhängen können.

In der Datenschutz-Grundverordnung (DSGVO) sind nicht nur Rechte und Pflichten, sondern auch Regelungen über Bußgelder und Sanktionen verankert. Letztere sollen eine abschreckende Wirkung haben und die Akteure dazu bewegen, den Datenschutz zur Sicherheit von Kunden und Mitarbeitern einzuhalten. Deshalb müssen Unternehmen bei bestimmten Datenschutzverstößen mit hohen Strafen rechnen. Hier erfahren Sie, welche Sanktionen die Aufsichtsbehörden verhängen können, nach welchen Kriterien sich ein Bußgeld richtet und welche Faktoren die Strafhöhe beeinflussen. Abschließend gibt es noch einige Hinweise dazu, was Unternehmen tun müssen, um solche Strafen nach der DSGVO und dem BDSG zu vermeiden.

Regelungen zu den Strafen bei Datenschutzverstößen

Auf EU-Ebene regelt die DSGVO, allen voran in den Artikeln 83 und 84, mögliche Sanktionen bei Datenschutzverstößen. Demnach sind die deutschen Aufsichtsbehörden zur Verhängung von Bußgeldern verpflichtet, wenn Verstöße gegen die DSGVO vorliegen. In Artikel 84 DSGVO fordert die EU-Kommission die EU-Mitgliedstaaten dazu auf, zusätzliche Regelungen für Sanktionen festzulegen und diese der EU-Kommission mitzuteilen. Der deutsche Gesetzgeber hat dies in §42 BDSG umgesetzt und für bestimmte Datenschutzverstöße Strafen (strafrechtliche Sanktionen) festgelegt, die mit einer Freiheits- oder Geldstrafe bedroht sind.

Diese Unternehmen sind von den Bußgeldbestimmungen betroffen

Die Regelungen über Bußgelder und Sanktionen betreffen zum einen Unternehmen, die in der Europäischen Union einen Firmensitz oder eine Niederlassung haben. Zudem gelten sie nach dem Marktortprinzip auch für Unternehmen, welche in der EU tätig sind und personenbezogene Daten von Personen einholen, verarbeiten und verwenden, die in den EU-Ländern ansässig sind. Wenn es um die Verhängung von Bußgeldern geht, ist der weit gefasste Unternehmensbegriff des Vertrags über die Arbeitsweise der EU (AEUV) entscheidend. Demnach gilt jede Einheit, die wirtschaftlich tätig ist, als Unternehmen im Sinne der DSGVO, egal welche Rechtsform sie innehat und wie sie finanziert wird. Dies kann ein Einzelunternehmen, ein Zusammenschluss von mehreren juristischen oder natürlichen Personen, aber auch ein ganzer Konzern sein. Bei Letzterem ist der Konzernumsatz die maßgebliche Berechnungsgrundlage für das Bußgeld.

Strafen bei Verstößen gegen die DSGVO

Werden Datenschutzverstöße gegen die DSGVO bekannt, drohen Bußgelder von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten Jahresumsatzes, den das Unternehmen im vorherigen Geschäftsjahr weltweit erwirtschaftet hat. Als Bemessungsgrundlage gilt jeweils der höhere dieser zwei Beträge. Dieser maximale Bußgeldrahmen kommt gemäß Artikel 83 Absatz 5 DSGVO bei besonders schwerwiegenden Datenschutzverstößen in Betracht. Ob es sich um einen besonders schwerwiegenden Verstoß handelt, wird anhand verschiedener Merkmale entschieden. In Erwägungsgrund 148 werden beispielsweise die Dauer des Verstoßes und getroffene Maßnahmen als Kriterien genannt, die über die Höhe des Bußgelds entscheiden. Das heißt, dass ein frühzeitig erkannter Verstoß als weniger schwerwiegend eingestuft wird, sofern der Verantwortliche unverzüglich die notwendigen Maßnahmen einleitet. Bei weniger gravierenden Verstößen gegen den Datenschutz verringert sich das Bußgeld auf bis zu 10 Millionen Euro oder zwei Prozent des Vorjahresumsatzes.

Wie hoch die Sanktion im Einzelfall ausfällt, entscheidet die Aufsichtsbehörde anhand gesetzlich festgelegter Kriterien. Zu den Bemessungskriterien gehören unter anderem die Dauer des Verstoßes, die Kategorie der betroffenen personenbezogenen Daten und die Art und Weise, wie die Aufsichtsbehörde von dem Datenschutzverstoß erfahren hat.

So vermeiden Unternehmen Strafen

Unternehmen sind gesetzlich dazu verpflichtet, ihre Datenschutzpflichten nach der DSGVO zu kennen und Maßnahmen zu ergreifen, um diese einzuhalten. Die Rechte der Betroffenen müssen bereits ab Erhebung der personenbezogenen Daten gewahrt werden. Betroffenenanfragen sind mit der nötigen Sorgfalt zügig zu bearbeiten. Als Verantwortungsträger Ihres Unternehmens sollten Sie sicherstellen, dass Sie alle Maßnahmen betreffend Datenbestand und Datenverarbeitung dokumentieren (Dokumentationspflicht) und den Datenschutz als fixen Bestandteil in Ihre betrieblichen Abläufe integrieren. Mit dieser Vorgehensweise können Sie das Risiko für eine Haftung ausschalten und hohe Strafen vermeiden.

Dabei unterstützen die externen Datenschutzexperten von DataGuard vor allem kleine und mittelgroße Unternehmen, um sie vor Bußgeldern zu schützen.

Tags
  • DSGVO
  • Datenschutz
  • Datenpanne
  • Strafe
  • Bußgeld
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649