DSGVO-Bußgelder wurden bisher nicht wirklich als Konsequenz von DSGVO-Verstößen ernstgenommen. Bisher ging es eher um die Abmahnbarkeit von DSGVO-Verstößen. Dies soll sich nun aber ändern. Wir erklären, was Sie zum Thema DSGVO-Bußgelder wissen müssen!

Wofür können DSGVO-Bußgelder ausgesprochen werden?

Die zentrale Norm rund um Bußgelder ist Art. 83 DSGVO. Dort wird nicht nur die Höhe der Bußgelder bestimmt, sondern auch die Handlungen, die ein Bußgeld zur Folge haben können. Zusammengefasst sind das Art. 5-9, 11-22, 25-39, 42-49, 58 sowie Pflichten, die aus nationalen Vorschriften stammen. Im Klartext bedeutet das: Wer gegen eine Vorschrift der DSGVO verstößt, muss zahlen. Umfasst ist alles von unrechtmäßiger Datenverarbeitung über Verstöße gegen das Auskunfts- und Löschungsrecht, unzureichende technische oder organisatorische Maßnahmen bis hin zu fehlenden Datenschutzbeauftragten, fehlenden Datenschutzerklärungen und Verstößen gegen die Meldepflicht von Datenpannen.

Wie hoch fallen DSGVO-Bußgelder aus?

In jeden Einzelfall müssen die verhängten Geldbußen „wirksam, verhältnismäßig und abschreckend“ sein., erklärt Art. 83 Abs. 1 DSGVO. Die Norm erklärt auch, dass DSGVO-Bußgelder maximal 20 Millionen Euro bzw. 4 % des Jahresumsatzes des letzten Geschäftsjahrs betragen darf, wenn dieser höher als 20 Millionen Euro war.

Wonach bestimmt sich die Höhe der DSGVO-Bußgelder?

Art. 83 Abs. 2 DSGVO beinhaltet einen ganzen Katalog an Kriterien, die die Höhe des jeweiligen Bußgeldes bestimmen. Dazu gehören unter anderem:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind

…und viele weitere.

Wofür wurden bisher DSGVO-Bußgelder in Deutschland verhängt?

In Deutschland wurden bisher mehrere, teilweise sechsstellige DSGVO-Bußgelder verhängt. Das jüngste und gleichzeitig höchste Bußgeld kassierte „Delivery Hero“, unter dessen Haube Lieferheld und Co. agierten. Die Strafe in Höhe von 195.407 Euro wurde von der Berliner Datenschutzbeauftragten von Berlin ausgesprochen, weil das Unternehmen Kundenaccounts nicht gelöscht hatte und unerwünschte Werbe-E-Mails verschickte. Wir berichteten erst kürzlich über diesen Fall.

Statement der Berliner Datenschutzbeauftragten:

Die Berliner Datenschutzbeauftragte Maja Smoltczyk erklärte dazu in einer Pressemitteilung:

„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im digitalen Zeitalter ein besonders wichtiges Grundrecht ist. Die DSGVO wirkt dem entgegen. Bei den genannten Unternehmen ist die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar. Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.“

Auch Bank N26 abgestraft!

Mit der hohen Geldstrafe sollte also ein Zeichen gesetzt werden. Bisher wurden nämlich eher wenige Strafen ausgesprochen. Bekannt ist zum Beispiel ebenfalls ein Bußgeld der Berliner Datenschutzbeauftragten von März 2019 in Höhe von 50.000 Euro gegen die Bank N26. Dieses hatte nach Angaben der Datenschutzbeauftragten „zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden auf eine schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.“

Welche Bußgelder wurden bisher in der EU verhängt?

Die knapp 200.000 Euro gegen Delivery-Hero beschert uns den 14. Platz im Ranking der höchsten DSGVO-Bußgelder in der EU. Den ersten und zweiten Platz schnappt sich Groß Britannien mit Summen von 204.600.000 und 110.390.200 Euro. Diese enorm hohen Strafen sollen gegen die britische Fluggesellschaft British Airways und das US-amerikanische Hotelunternehmen Marriott International kassieren. British Airways soll gegen Art. 32 DSGVO verstoßen haben, da ein Teil des Nutzerverkehrs zu einer betrügerischen Webseite umgeleitete wurde, auf der die Hacker 50.000 Kundendaten abgriffen. Marriott soll ebenfalls gegen Art. 32 DSGVO verstoßen haben, da rund 339 Millionen Gästedaten offengelegt wurden.

Die bisher höchste eingetriebene Strafe erhielt Google, wegen mangelnder Transparenz (Art. 5 DSGVO), unzureichender Information (Art. 13/14 DSGVO) und mangelnder Rechtsgrundlage (Art. 6 DSGVO). Sie betrug 50 Millionen Euro.

Wie wird sich die Bußgeld-Thematik in Zukunft entwickeln?

Auch in Deutschland soll es bald Bußgelder in Millionenhöhe geben und Verstöße härter bestraft werden. Die Datenschutzkonferenz (DSK) entwickelt und testet zur Zeit ein neues Konzept zur Bemessung von Bußgeldern. Deses wurde noch nicht öffentlich vorgestellt, soll sich aber an den oben genannten Kriterien von Art. 83 DSGVO orientieren.

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

  • Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
  • Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen)bestimmt, in die das Unternehmen eingeordnet wurde.
  • Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
  • Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
  • Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.

Wir helfen Ihnen!

Wir bieten auf unserer Webseite einen DSGVO-Fragebogen an, mit dem Sie prüfen können, ob Ihr Unternehmen fit für die DSGVO ist. Außerdem haben wir ein DSGVO Website Update für Sie zum Festpreis, mit dem Sie Ihre Webseite DSGVO-sicher machen und so Bußgelder verhindern können. Sprechen Sie uns bei Frage einfach unverbindlich an. Wir helfen Ihnen gerne!