Man liest es immer mal wieder: Teils Millionenbeträge als Strafen bei Verstößen gegen die Datenschutz-Grundverordnung. Doch auf welchen rechtlichen Grundlagen mit welchem konkreten Strafmaß beruhen diese Entscheidungen eigentlich?
Bitte beachten Sie, dass dieser Beitrag keinerlei rechtliche Beratung darstellt.
Der Datenschutz wurde mit der Datenschutz-Grundverordnung (DSGVO) EU-weit einheitlich geregelt. Dabei ergeben sich viele Pflichten für Unternehmen, die Daten verarbeiten. Verstöße werden dabei mit empfindlichen Strafen geahndet. Unterschieden wird dabei zwischen Ordnungswidrigkeiten und strafbaren Verstößen. Mit dem Inkrafttreten der DSGVO sind die Bestimmungen aus dem Bundesdatenschutzgesetz (BDSG) nur noch ergänzend anzuwenden.
Rechtsgrundlagen: DSGVO und BDSG
Bevor die Datenschutz-Grundverordnung in der Europäischen Union rechtsgültig wurde, regelte das Bundesdatenschutzgesetz die Verstöße gegen den Datenschutz und legte Strafen fest. Nach 2018 wurden diese Bestimmungen zugunsten der DSGVO größtenteils aufgehoben. Das BDSG definiert nun lediglich ergänzende Bestimmungen zu den in der DSGVO festgelegten Delikten.
Vor 2018: §§ 43, 44 BDSG
Bis 2018 waren die Paragrafen 43 und 44 vom BDSG maßgeblich. Darin waren Verstöße gegen Datenschutz als Ordnungswidrigkeit (§ 43) bzw. Straftat definiert (§ 44). Dabei fanden sich in den Paragrafen jeweils umfangreiche Auflistungen von Vergehen, welche zu der jeweiligen Kategorie gehören.
Die Ordnungswidrigkeiten waren mit zwei verschiedenen Stufen von Ordnungsgeldern bewehrt:
- bis zu 50.000 Euro: u.a. für Verstöße gegen Meldepflicht, Zweckbindung oder Erhebung von Daten, ohne dass Betroffene zugestimmt haben
- bis zu 300.000 Euro: u.a. für Abgreifen von Daten während der Übermittlung, Nutzung personenbezogener Daten für Werbung, obwohl ein Widerspruch vorlag
Seit 2018: DSGVO mit Ergänzungen im BDSG
Seit dem 28. Mai 2018 ist die DSGVO in der EU verbindlich anzuwenden. Entsprechend gelten seither die Bestimmungen in Artikel 83 Datenschutz-Grundverordnung. Dort werden die Definitionen der Verstöße vorgenommen sowie das jeweilige Strafmaß festgelegt.
Im Bundesdatenschutzgesetz wird nun auf die DSGVO Bezug genommen. In der Folge sind viele Bestimmungen nicht mehr im Gesetzestext zu finden, da sie von der Verordnung bereits geregelt sind.
Der Strafrahmen für Ordnungswidrigkeiten im BDSG ist nun auf 50.000 Euro begrenzt und betrachtet nur noch zwei Delikte (§ 43 (1) DSGVO):
- Verstoß gegen das Auskunftsrecht
- nicht rechtzeitige Unterrichtung von Betroffenen
Hingegen kann die wissentliche, gewerbsmäßige und unberechtigte Weitergabe von personenbezogenen Daten nun sogar mit einer Freiheitsstrafe geahndet werden (§ 42 (1) DSGVO).
Strafbewehrte Verstöße gegen den Datenschutz
Im Jahr 2020 wurden in der EU Bußgelder in Höhe von fast 160 Millionen Euro wegen Datenschutzverstößen verhängt. Die Bußgeldsumme stieg im Jahr 2022 auf unsagbare 1,6 Milliarden Euro an (vgl. Haufe.de).
Aus den Bestimmungen von Bundesdatenschutzgesetz und Datenschutz-Grundverordnung ergeben sich drei verschiedene Stufen von Strafen für Ordnungswidrigkeiten. Die Straftaten, welche als Antragsdelikte verfolgt werden, haben zwei unterschiedliche Strafrahmen nach BDSG.
Ordnungswidrigkeiten
Bei den Ordnungswidrigkeiten sind drei verschiedene Strafmaße möglich. Diese sind in § 43 BDSG sowie (maßgeblich) Artikel 83 DSGVO festgelegt. Ordnungswidrigkeiten werden verfolgt, sobald sie den Behörden bekannt sind. Insbesondere bedeutet das, dass kein Antrag Betroffener vorliegen muss, um den Tatbestand zu erfüllen. Bei den Straftatbeständen gem. BDSG ist das anders (siehe unten).
Bis 50.000 Euro
Dieses Strafmaß ist in § 43 des Bundesdatenschutzgesetzes festgelegt. Dabei handelt es sich um ein Höchstmaß, die tatsächliche Höhe wird in einem Gerichtsverfahren bestimmt. Dieses Strafmaß ist vor allem für Auskunfteien wie die Schufa anzuwenden, da es einen Rückgriff auf § 30 BDSG macht. Wichtig bei der Feststellung ist, dass das Versäumnis vorsätzlich oder fahrlässig begangen wurde. Behörden und andere öffentliche Stellen werden nicht belangt.
Bis 10 Mio. Euro oder 2 % des Jahresumsatzes
Die DSGVO legt das Strafmaß nach dem weltweiten Jahresumsatz oder einem Höchstbetrag fest, je nachdem, welcher Betrag höher ausfällt. Dabei liegt ein besonderes Verständnis von Unternehmen zugrunde: Als Unternehmen werden dabei nicht nur einzelne natürliche oder rechtliche Personen verstanden, sondern auch Zusammenschlüsse. So wird bei Konzernen mitunter der Jahresumsatz des gesamten Konzerns der Bußgeldberechnung zugrunde gelegt. Dabei sind die Sanktionen bewusst drakonisch, um eine Abschreckungswirkung zu erzielen.
Bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes werden als Bußgeld fällig, wenn einer der folgenden Verstöße begangen wurde (Art. 83 DSGVO):
|
Delikt |
Erwähnung des Verstoßes |
Beschreibung der verletzten Pflicht |
|
unzulässige Verarbeitung von personenbezogenen Daten von Kindern |
Art. 83 Abs. 4a |
Art. 8 |
|
unnötige Aufbewahrung, Einholung oder Verarbeitung personenbezogener Daten, wenn dies geschieht, um eine Person zu identifizieren, obwohl das nicht (mehr) nötig ist |
Art. 83 Abs. 4a |
Art. 11 |
|
technisch-organisatorische Maßnahmen, die dem Schutz der personenbezogenen Daten dienen, nicht oder nicht im geeigneten Rahmen ergriffen |
Art. 83 Abs. 4a |
Art. 25 -38 |
|
Verstoß gegen die Aufgaben des Datenschutzbeauftragten |
Art. 83 Abs. 4a |
Art. 39 |
|
Verstoß gegen Vorgaben zur Zertifizierung |
Art. 83 Abs. 4a, b |
Art. 42 |
|
Verstoß gegen Vorgaben, die für Zertifizierungsstellen gelten |
Art. 83 Abs. 4a, b |
Art. 42, 43 |
|
keine Maßnahmen bei Verstoß getroffen (gilt für Überwachungsstellen) |
Art. 83 Abs. 4c |
Art. 41 Abs. 4 |
Bis 20 Mio. Euro oder 4 % des Jahresumsatzes
Auch bei diesem Strafmaß gilt, dass der jeweils höhere Betrag Anwendung findet. Diese Strafe wird fällig, wenn einer der folgenden Verstöße begangen wurde:
|
Delikt |
Erwähnung des Verstoßes |
Beschreibung der verletzten Pflicht |
|
Verstoß gegen die Datenschutz-Grundsätze |
Art. 83 Abs. 5a |
Art. 5 |
|
unrechtmäßiges Verarbeiten personenbezogener Daten |
Art. 83 Abs. 5a |
Art. 6 |
|
Verstoß gegen Bedingungen einer (erforderlichen) Einwilligung Betroffener |
Art. 83 Abs. 5a |
Art. 7 |
|
Verstoß gegen Beschränkungen bei Verarbeitung besonders sensibler Daten |
Art. 83 Abs. 5a |
Art. 9 |
|
Verletzung der Rechte Betroffener (z. B. Auskunft, Berichtigung, Löschung) |
Art. 83 Abs. 5b |
Art. 12 - 22 |
|
unzulässige Übermittlung an Dritte |
Art. 83 Abs. 5c |
Art. 44 - 49 |
|
Verstoß gegen Vorschriften für die besondere Verarbeitung |
Art. 83 Abs. 5d |
Art. 85 - 91 |
|
Hinwegsetzen über eine Beschränkung durch die Aufsichtsbehörde |
Art. 83 Abs. 5e |
Art. 85 - 91 |
|
Nichtgewähren der Untersuchung durch Aufsichtsbehörde |
Art. 83 Abs. 5e |
Art. 85 - 91 |
Straftaten
Ergänzend zu den oben genannten Bestimmungen über ordnungswidrige Verstöße definiert das Bundesdatenschutzgesetz Straftatbestände im Zusammenhang mit Datenschutz. Bei diesen Delikten handelt es sich um Antragsdelikte (§ 42 Abs. 3). Das bedeutet, dass sie nur auf Antrag verfolgt werden. Berechtigt, einen solchen Antrag zu stellen, sind Betroffene und Verantwortliche, aber auch die Aufsichtsbehörde sowie der Bundesdatenschutzbeauftragte.
|
Delikt |
Erwähnung des Verstoßes |
Strafmaß |
|
unberechtigte und wissentliche Übermittlung personenbezogener Daten an Dritte |
§ 42 Abs. 1 Nr. 1 |
Freiheitsstrafe bis 3 Jahre oder Geldstrafe |
|
unberechtigtes und wissentliches Zugänglichmachen personenbezogener Daten |
§ 42 Abs. 1 Nr. 2 |
Freiheitsstrafe bis 3 Jahre oder Geldstrafe |
|
nicht allgemein zugängliche personenbezogene Daten unberechtigt Verarbeiten |
§ 42 Abs. 2 Nr. 1 |
Freiheitsstrafe bis 2 Jahre oder Geldstrafe |
|
nicht allgemein zugängliche personenbezogene Daten durch Falschangaben erhalten |
§ 42 Abs. 2 Nr. 2 |
Freiheitsstrafe bis 2 Jahre oder Geldstrafe |
Zusammenfassung
Der europäische Datenschutz verfügt über ein scharfes Schwert: Die Bußgelder nach DSGVO. Unternehmen sollten daher genauestens auf die Einhaltung der jeweiligen Bestimmungen achten. Denn auch ein Verstoß aus Fahrlässigkeiten kann Sie teuer zu stehen kommen. Lesen Sie hier konkrete Beispiele für Strafen bei Nichteinhaltung der DSGVO. Auch eine Übersicht kurioser Verstöße beim Datenschutz haben wir für Sie zusammengestellt.
Bildnachweise:
1) ©XaMaps - #569429449 / stock.adobe.com
2) ©peterschreiber.media - #210307654 / stock.adobe.com