Rechtsgrundlagen bei DSGVO-Verstößen

Rechtsgrundlagen bei DSGVO-Verstößen

Man liest es immer mal wieder: Teils Millionenbeträge als Strafen bei Verstößen gegen die Datenschutz-Grundverordnung. Doch auf welchen rechtlichen Grundlagen mit welchem konkreten Strafmaß beruhen diese Entscheidungen eigentlich? 

Man liest es immer mal wieder: Teils Millionenbeträge als Strafen bei Verstößen gegen die Datenschutz-Grundverordnung. Doch auf welchen rechtlichen Grundlagen mit welchem konkreten Strafmaß beruhen diese Entscheidungen eigentlich? 

Bitte beachten Sie, dass dieser Beitrag keinerlei rechtliche Beratung darstellt.

Der Datenschutz wurde mit der Datenschutz-Grundverordnung (DSGVO) EU-weit einheitlich geregelt. Dabei ergeben sich viele Pflichten für Unternehmen, die Daten verarbeiten. Verstöße werden dabei mit empfindlichen Strafen geahndet. Unterschieden wird dabei zwischen Ordnungswidrigkeiten und strafbaren Verstößen. Mit dem Inkrafttreten der DSGVO sind die Bestimmungen aus dem Bundesdatenschutzgesetz (BDSG) nur noch ergänzend anzuwenden.

Rechtsgrundlagen: DSGVO und BDSG

Bevor die Datenschutz-Grundverordnung in der Europäischen Union rechtsgültig wurde, regelte das Bundesdatenschutzgesetz die Verstöße gegen den Datenschutz und legte Strafen fest. Nach 2018 wurden diese Bestimmungen zugunsten der DSGVO größtenteils aufgehoben. Das BDSG definiert nun lediglich ergänzende Bestimmungen zu den in der DSGVO festgelegten Delikten.

Vor 2018: §§ 43, 44 BDSG

Bis 2018 waren die Paragrafen 43 und 44 vom BDSG maßgeblich. Darin waren Verstöße gegen Datenschutz als Ordnungswidrigkeit (§ 43) bzw. Straftat definiert (§ 44). Dabei fanden sich in den Paragrafen jeweils umfangreiche Auflistungen von Vergehen, welche zu der jeweiligen Kategorie gehören. 

Die Ordnungswidrigkeiten waren mit zwei verschiedenen Stufen von Ordnungsgeldern bewehrt:

  • bis zu 50.000 Euro: u.a. für Verstöße gegen Meldepflicht, Zweckbindung oder Erhebung von Daten, ohne dass Betroffene zugestimmt haben
  • bis zu 300.000 Euro: u.a. für Abgreifen von Daten während der Übermittlung, Nutzung personenbezogener Daten für Werbung, obwohl ein Widerspruch vorlag

Seit 2018: DSGVO mit Ergänzungen im BDSG

Seit dem 28. Mai 2018 ist die DSGVO in der EU verbindlich anzuwenden. Entsprechend gelten seither die Bestimmungen in Artikel 83 Datenschutz-Grundverordnung. Dort werden die Definitionen der Verstöße vorgenommen sowie das jeweilige Strafmaß festgelegt.

Im Bundesdatenschutzgesetz wird nun auf die DSGVO Bezug genommen. In der Folge sind viele Bestimmungen nicht mehr im Gesetzestext zu finden, da sie von der Verordnung bereits geregelt sind. 

Der Strafrahmen für Ordnungswidrigkeiten im BDSG ist nun auf 50.000 Euro begrenzt und betrachtet nur noch zwei Delikte (§ 43 (1) DSGVO): 

  • Verstoß gegen das Auskunftsrecht 
  • nicht rechtzeitige Unterrichtung von Betroffenen

Hingegen kann die wissentliche, gewerbsmäßige und unberechtigte Weitergabe von personenbezogenen Daten nun sogar mit einer Freiheitsstrafe geahndet werden (§ 42 (1) DSGVO).

Strafbewehrte Verstöße gegen den Datenschutz

Rechtsgrundlagen

Im Jahr 2020 wurden in der EU Bußgelder in Höhe von fast 160 Millionen Euro wegen Datenschutzverstößen verhängt. Die Bußgeldsumme stieg im Jahr 2022 auf unsagbare 1,6 Milliarden Euro an (vgl. Haufe.de).

Aus den Bestimmungen von Bundesdatenschutzgesetz und Datenschutz-Grundverordnung ergeben sich drei verschiedene Stufen von Strafen für Ordnungswidrigkeiten. Die Straftaten, welche als Antragsdelikte verfolgt werden, haben zwei unterschiedliche Strafrahmen nach BDSG.

Ordnungswidrigkeiten

Bei den Ordnungswidrigkeiten sind drei verschiedene Strafmaße möglich. Diese sind in § 43 BDSG sowie (maßgeblich) Artikel 83 DSGVO festgelegt. Ordnungswidrigkeiten werden verfolgt, sobald sie den Behörden bekannt sind. Insbesondere bedeutet das, dass kein Antrag Betroffener vorliegen muss, um den Tatbestand zu erfüllen. Bei den Straftatbeständen gem. BDSG ist das anders (siehe unten). 

Bis 50.000 Euro

Dieses Strafmaß ist in § 43 des Bundesdatenschutzgesetzes festgelegt. Dabei handelt es sich um ein Höchstmaß, die tatsächliche Höhe wird in einem Gerichtsverfahren bestimmt. Dieses Strafmaß ist vor allem für Auskunfteien wie die Schufa anzuwenden, da es einen Rückgriff auf § 30 BDSG macht. Wichtig bei der Feststellung ist, dass das Versäumnis vorsätzlich oder fahrlässig begangen wurde. Behörden und andere öffentliche Stellen werden nicht belangt.

Bis 10 Mio. Euro oder 2 % des Jahresumsatzes

Die DSGVO legt das Strafmaß nach dem weltweiten Jahresumsatz oder einem Höchstbetrag fest, je nachdem, welcher Betrag höher ausfällt. Dabei liegt ein besonderes Verständnis von Unternehmen zugrunde: Als Unternehmen werden dabei nicht nur einzelne natürliche oder rechtliche Personen verstanden, sondern auch Zusammenschlüsse. So wird bei Konzernen mitunter der Jahresumsatz des gesamten Konzerns der Bußgeldberechnung zugrunde gelegt. Dabei sind die Sanktionen bewusst drakonisch, um eine Abschreckungswirkung zu erzielen.

Bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes werden als Bußgeld fällig, wenn einer der folgenden Verstöße begangen wurde (Art. 83 DSGVO):


Delikt

Erwähnung des Verstoßes

Beschreibung der verletzten Pflicht

unzulässige Verarbeitung von personenbezogenen Daten von Kindern

Art. 83 Abs. 4a

Art. 8

unnötige Aufbewahrung, Einholung oder Verarbeitung personenbezogener Daten, wenn dies geschieht, um eine Person zu identifizieren, obwohl das nicht (mehr) nötig ist

Art. 83 Abs. 4a

Art. 11

technisch-organisatorische Maßnahmen, die dem Schutz der personenbezogenen Daten dienen, nicht oder nicht im geeigneten Rahmen ergriffen

Art. 83 Abs. 4a

Art. 25 -38

Verstoß gegen die Aufgaben des Datenschutzbeauftragten

Art. 83 Abs. 4a

Art. 39

Verstoß gegen Vorgaben zur Zertifizierung

Art. 83 Abs. 4a, b

Art. 42

Verstoß gegen Vorgaben, die für Zertifizierungsstellen gelten

Art. 83 Abs. 4a, b

Art. 42, 43

keine Maßnahmen bei Verstoß getroffen (gilt für Überwachungsstellen)

Art. 83 Abs. 4c

Art. 41 Abs. 4


Bis 20 Mio. Euro oder 4 % des Jahresumsatzes

Auch bei diesem Strafmaß gilt, dass der jeweils höhere Betrag Anwendung findet. Diese Strafe wird fällig, wenn einer der folgenden Verstöße begangen wurde:


Delikt

Erwähnung des Verstoßes

Beschreibung der verletzten Pflicht

Verstoß gegen die Datenschutz-Grundsätze

Art. 83 Abs. 5a

Art. 5

unrechtmäßiges Verarbeiten personenbezogener Daten

Art. 83 Abs. 5a

Art. 6

Verstoß gegen Bedingungen einer (erforderlichen) Einwilligung Betroffener

Art. 83 Abs. 5a

Art. 7

Verstoß gegen Beschränkungen bei Verarbeitung besonders sensibler Daten

Art. 83 Abs. 5a

Art. 9

Verletzung der Rechte Betroffener (z. B. Auskunft, Berichtigung, Löschung)

Art. 83 Abs. 5b

Art. 12 - 22

unzulässige Übermittlung an Dritte

Art. 83 Abs. 5c

Art. 44 - 49

Verstoß gegen Vorschriften für die besondere Verarbeitung

Art. 83 Abs. 5d

Art. 85 - 91

Hinwegsetzen über eine Beschränkung durch die Aufsichtsbehörde

Art. 83 Abs. 5e

Art. 85 - 91

Nichtgewähren der Untersuchung durch Aufsichtsbehörde

Art. 83 Abs. 5e

Art. 85 - 91


Straftaten

Ergänzend zu den oben genannten Bestimmungen über ordnungswidrige Verstöße definiert das Bundesdatenschutzgesetz Straftatbestände im Zusammenhang mit Datenschutz. Bei diesen Delikten handelt es sich um Antragsdelikte (§ 42 Abs. 3). Das bedeutet, dass sie nur auf Antrag verfolgt werden. Berechtigt, einen solchen Antrag zu stellen, sind Betroffene und Verantwortliche, aber auch die Aufsichtsbehörde sowie der Bundesdatenschutzbeauftragte.

Delikt

Erwähnung des Verstoßes

Strafmaß

unberechtigte und wissentliche Übermittlung personenbezogener Daten an Dritte

§ 42 Abs. 1 Nr. 1

Freiheitsstrafe bis 3 Jahre oder Geldstrafe

unberechtigtes und wissentliches Zugänglichmachen personenbezogener Daten

§ 42 Abs. 1 Nr. 2

Freiheitsstrafe bis 3 Jahre oder Geldstrafe

nicht allgemein zugängliche personenbezogene Daten unberechtigt Verarbeiten

§ 42 Abs. 2 Nr. 1

Freiheitsstrafe bis 2 Jahre oder Geldstrafe

nicht allgemein zugängliche personenbezogene Daten durch Falschangaben erhalten

§ 42 Abs. 2 Nr. 2

Freiheitsstrafe bis 2 Jahre oder Geldstrafe

Zusammenfassung

Der europäische Datenschutz verfügt über ein scharfes Schwert: Die Bußgelder nach DSGVO. Unternehmen sollten daher genauestens auf die Einhaltung der jeweiligen Bestimmungen achten. Denn auch ein Verstoß aus Fahrlässigkeiten kann Sie teuer zu stehen kommen. Lesen Sie hier konkrete Beispiele für Strafen bei Nichteinhaltung der DSGVO. Auch eine Übersicht kurioser Verstöße beim Datenschutz haben wir für Sie zusammengestellt.

Bildnachweise:

1) ©XaMaps - #569429449 / stock.adobe.com
2) ©peterschreiber.media - #210307654 / stock.adobe.com

Schreibe einen Kommentar

Diese Website ist durch reCAPTCHA geschützt und es gelten die allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen von Google.

SICHERE BEHÄLTER

Sichere Datenschutztonnen in unterschiedlichen Größen.