DSGVO Datenschutz Bußgeld Strafe

Strafrechtliche Konsequenzen möglich

Neben den Bußgeldern, die durch die EU-DSGVO vorgesehen sind, können sich für Verantwortliche strafrechtliche Konsequenzen aufgrund nationaler Gesetze ergeben. So droht nach dem neuen BDSG, das die DSGVO im deutschen Recht konkretisiert, eine Freiheitsstrafe von ein bis drei Jahren, wenn personenbezogene Daten erwerbsmäßig, wissentlich und unberechtigt weitergegeben wurden.

Da strafrechtliche Konsequenzen nach dem Bußgeld durch eine Datenschutzbehörde erfolgen können, sollte die Möglichkeit nach Erhalt eines Bußgeldes anwaltlich geprüft werden.

Rechtliche Zulässigkeit sollte geprüft werden

Nach Erhalt einer Geldstrafe sollte diese nicht ohne Prüfung gezahlt werden. Ob ein Datenschutzverstoß überhaupt strafwürdig war oder eine Verwarnung angemessen gewesen wäre, lässt sich erst nach einer ausführlichen juristischen Prüfung beurteilen. Häufig lässt sich das Strafmaß vermindern, wenn etwa mildernde Umstände aufgedeckt und der Datenschutzbehörde kommuniziert werden können. Hierfür ist allerdings ein anwaltlicher Beistand erforderlich, da es sich um einen umfangreichen juristischen Prozess handelt.

Haftungsfragen werden aufgeworfen

Generell ist die Geschäftsführung für einen Datenschutzverstoß verantwortlich zu machen. Es besteht allerdings die Möglichkeit, dass ein Dritter haftbar zu machen ist. Hat etwa der externe Datenschutzbeauftragte übersehen, die Geschäftsführung über einen bestimmten Mangel in Kenntnis zu setzen, so müsse er haften.

Anwaltliche Vertretung unvermeidbar

Die Höhe der neuen Bußgelder und die möglichen strafrechtlichen Konsequenzen machen den aufgedeckten Datenschutzverstoß für Unternehmen zu einer existenzbedrohenden Angelegenheit. Einerseits ist die anwaltliche Vertretung unvermeidbar, um den rechtlichen Konsequenzen angemessen zu begegnen, andererseits kann eine anwaltliche Vertretung ungerechtfertigte und überhöhte Geldstrafen entschärfen.

Abwehr eines DSGVO Datenschutz Bußgeldes Schritt für Schritt

Typische DSGVO Datenschutz Abmahnsituationen

Die Komplexität der DSGVO und die Unterschiede in der praktischen Anwendung sowie noch herrschende Unsicherheit in der Auslegung der neuen Verordnung sorgen für Konfliktpotenzial. Viele Aspekte sind bisher ungeklärt und erst durch Rechtsprechung wird Rechtssicherheit geschaffen. Folgende Beispiele dienen als zwei potenzielle Kategorien von Verstößen.

1. Verstoß durch unangemessene Voreinstellungen

Betriebliche Prozesse müssen so konstruiert sein, dass der Datenschutz der Betroffenen gewährleistet ist. Dies gilt gegenüber Kunden als auch Mitarbeitern. Fehler können hierbei entweder bei der Verarbeitung der Kundendaten im Onlineshop oder etwa der Aufbewahrung der Daten ehemaliger Mitarbeiter passieren. Auch Fehler bei der Organisation, wie etwa das Verfehlen der Bestellung eines Datenschutzbeauftragten, gehören zu unangemessenen Voreinstellungen.

2. Zugriff durch Unberechtigte

Eine wissentliche Weitergabe von personenbezogenen Daten an einen Dritten ist nicht nur ein Verstoß gegen die DSGVO, sondern hat auch strafrechtliche Konsequenzen. Sollte ein unbefugter Zugriff, etwa durch ein Datenleck, erfolgt sein, so muss das Unternehmen den Zugriff innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Andernfalls liegt ein Verstoß vor.

Ein Datenschutzverstoß kann an verschiedenen Stellen erfolgen und unterschiedlich ausfallen. Die folgenden praktischen Beispiele gehören jedoch zu den typischen DSGVO-Verstößen, die Strafen und Bußgelder nach sich ziehen.

Kein Datenschutzbeauftragter

Zahlreiche Unternehmen mussten bereits vor Anwendung der DSGVO ab dem 25.05.2018 einen Datenschutzbeauftragten bestellen. Durch die höheren Strafen und Bußgelder der DSGVO sowie die Ankündigung der strengeren Verfolgung ist der Druck jedoch gestiegen.

Wenn ein Unternehmen mehr als zehn Mitarbeiter beschäftigt, sensible Daten verarbeitet oder verwendet oder aber ein Geschäftsmodell verfolgt, dass auf der Erhebung von personenbezogenen Daten basiert, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden. Seine Aufgaben bestehen in der Beratung der Geschäftsführung zu Datenschutzthemen. Dafür muss er die komplette Betriebsstruktur analysieren und die Prozesse auf datenschutzrechtliche Relevanz prüfen.

Auf der Basis seiner Analyse erstellt er ein Datenschutzkonzept, dass er der Geschäftsführung vorlegt. Während er bei der Umsetzung des Konzeptes beratend zur Seite stehen kann, hat er selber keine Weisungsbefugnis. Allerdings unterstützt er bei der Schulung der internen Mitarbeiter.

Das Konzept des Datenschutzbeauftragten wurde entwickelt, um einen ganzheitlichen Datenschutz innerhalb einer Organisation zu gewährleisten. Da der organisatorische Aufwand mit dem des Rechnungswesen vergleichbar ist, soll ab einer gewissen Unternehmensgröße oder datenschutzrechtlichen Relevanz der Datenverarbeitung eine zusätzliche Person die Einhaltung der gesetzlichen Anforderungen überwachen.

Organisationen, die trotz Notwendigkeit keinen Datenschutzbeauftragten bestellen, müssen mit Bußgeldern und Geldstraften nach DSGVO durch ihre zuständige Datenschutzbehörde rechnen.

Unvollständige oder unkorrekte Datenschutzhinweise

Art. 12 DSGVO sieht vor, dass Verantwortliche die Betroffenen, deren personenbezogene Daten erhoben werden sollen, ausreichend informieren. Die genauen Anforderungen sind Art. 12 bis 14 DSGVO zu entnehmen. Zuvor galt die Informationspflicht in Form einer Datenschutzerklärung nach §13 TMG. In Art. 13 DSGVO wurden die Anforderungen jedoch enorm erweitert:

• Konkrete Rechtsgrundlage: Es muss nicht nur jede Form der Erhebung, Verarbeitung und Verwendung von personenbezogen Daten erwähnt werden, sondern es muss auch die konkrete Rechtsgrundlage für die Handlung erwähnt werden.
• Benennung aller Rechte der Betroffenen: Die entsprechenden Rechte der Betroffenen müssen erwähnt werden, wenn sie für die Art der Datenverarbeitung des Unternehmens relevant sind. Sowohl alte als auch neue Rechte sind von dieser Anforderung betroffen.
• Kontaktadresse: In jeder Datenschutzerklärung muss eine verantwortliche Person genannt werden, die für den Datenschutz verantwortlich ist und von Betroffenen kontaktiert werden kann. Wenn ein Datenschutzbeauftragter bestellt werden muss, ist er der Ansprechpartner. Andernfalls ist es die verantwortliche Person, was in der Regel der Inhaber oder der Geschäftsführer ist.
• Betitelung der externen Server bei Datenweitergabe: Viele Anwendungen im digitalen Bereich werden von dritten Unternehmen gestellt. In einigen Fällen werden dabei personenbezogene Daten an Server weitergeleitet, deren Standort nicht innerhalb der EU ist. Dabei muss der Standort erwähnt werden und ob es im Land des Standortes ein Datenschutzniveau auf EU-Niveau sowie ein Datenschutzabkommen mit dem Land und der EU gibt.
• Bezeichnung der Speicherfristen: Nach der DSGVO müssen Daten sofort gelöscht werden, sobald die Speicherung seinen Zweck erfüllt hat. Die Frist jeder Form der Speicherung muss somit in der Datenschutzerklärung explizit erwähnt werden.
• Erwähnung automatisierter Entscheidungsfindung: Eine besondere Art der Datenverwendung ist die automatisierte Entscheidungsfindung aufgrund erhobener personenbezogener Daten. Ein typisches Beispiel ist die Kreditzusage nach einer automatischen Prüfung der Bonitä Die DSGVO sieht vor, dass diese Art der Verfahren explizit erwähnt und öffentlich kommuniziert werden.
• Einfacher und verständlicher Sprachgebrauch: Auch wenn es sich bei der Datenschutzerklärung um einen juristischen Text handelt, müssen die Hinweise in einfacher und verständlicher Sprache gehalten sein, sodass jeder sie verstehen kann.
• Einfacher Zugang: Jedem Betroffenen muss ein einfacher Zugang zu der Datenschutzerklärung gewährleistet werden. Auf einer Webseite wird der einfache Zugang beispielsweise durch einen Link im Footer-Bereich gewährleistet, da die Erklärung so von jeder Unterseite erreichbar ist.

Wie genau die Datenschutzhinweise gestaltet werden müssen, hängt von der Art und Form der Datenverarbeitung ab. Sie müssen allerdings öffentlich einsehbar sein. Da bei fehlerhaften Datenschutzhinweisen ein Bußgeld oder eine Strafe droht, sollten sie anwaltlich und mit Bedacht erstellt werden.

Verweigerung oder fehlerhaftes Nachkommen des Auskunftsrechts

Das Auskunftsrecht ist ein wichtiges Recht betroffener Privatpersonen. Es erhält seine Rechtsgrundlage durch Art. 15 DSGVO. Kommt ein Unternehmen oder eine Organisation dem Auskunftsrecht nach einer Anfrage einer betroffenen Privatperson nicht nach, so kann die Person eine Meldung bei einer Datenschutzbehörde machen, was eine DSGVO-Strafe oder ein Bußgeld nach sich führt. Folgende Details müssen von Verantwortlichen „ohne schuldhaftes Verzögern“, spätestens aber innerhalb eines Monats nach Auskunftsersuchen mitgeteilt werden:

• Der Zweck der Erhebung, Verarbeitung oder Verwendung.
• Die Kategorien der verarbeiteten Daten.
• Die Empfänger der Daten bei Weitergabe.
• Die Speicherdauer.
• Eine Aufzählung aller relevanten Rechte zur Löschung der Daten, zur Einschränkung der Verarbeitung oder zur Beschwerde bei Datenschutzbehö
• Das Bestehen einer automatisierten Entscheidungsfindung.
• Die Quelle der Daten, wenn diese nicht vom Verantwortlichen erhoben wurden.

Dem Auskunftsrecht muss durch eine formgerechte Übermittlung der Daten nachgekommen werden. Da jeder ein Auskunftsersuchen vornehmen kann, können Datenschutzverstöße aufgrund einer mangelnden Folgeleistung des Ersuchens einfach festgestellt werden. Wird dem Recht nicht nachgekommen, droht ein Bußgeld durch die Datenschutzbehörde, sobald der Verstoß aufgedeckt wird.

Mangelhafte Erklärung der Einwilligung

Jede Art der Erhebung personenbezogener Daten ist generell verboten, es sei denn, es liegt eine gesetzliche Grundlage oder die Einwilligung der Betroffenen vor. Art. 7 DSGVO beschreibt, dass jeder Betroffene für die Datenerhebung seiner personenbezogenen Daten explizit einwilligen muss. Eine Ausnahme ist nur gegeben, wenn ein Verantwortlicher ein „berechtigtes Interesse“ an der Datenerhebung hat (Art. 6 DSGVO). Da zum aktuellen Standpunkt juristisch noch nicht eindeutig ist, welche Tatbestände unter ein berechtigtes Interesse fallen, sind hier juristische Konflikte über die Rechtfertigung einer Geldstrafe von Seiten der Datenschutzbehörden zu erwarten.

So könnte ein Unternehmen auf eine explizite Einwilligung eines Betroffenen verzichten, wenn ein berechtigtes Interesse vorliegt. Da die DSGVO hier jedoch nicht abschließend ist, kann erst durch Rechtsprechung festgelegt werden, wann auf die Einwilligung verzichtet werden kann.

Sollten Sie ein Bußgeld einer Datenschutzbehörde aufgrund einer mangelnden Einwilligung zur Datenerhebung eines Betroffenen erhalten haben, ist die anwaltliche Prüfung des Sachverhaltes angemessen.

Keine Möglichkeit zum Datentransport

Ein dem deutschen Datenschutzrecht bisher unbekanntes Recht ist das Recht auf Datentransportabilität. Es wurde geschaffen, um ein wettbewerbsschadendes Phänomen zu beseitigen. Verbraucher neigen dazu nicht zu einem günstigeren Anbieter zu wechseln, etwa im Versorgerbereich, da die Übertragung der Daten für sie zu aufwendig erscheint. Das Recht auf Datenportabilität aus Art. 20 DSGVO soll diesen Umstand beseitigen.

Verantwortliche Organisationen oder Unternehmen, die personenbezogene Daten erheben, müssen die aufbereiteten Daten in einem angemessenen Format bereitstellen, wenn der Betroffene es anfragt. Zudem müssen die Daten auf Wunsch direkt an einen anderen Anbieter übertragen werden. Kommt das Unternehmen diesem Begehren des Betroffenen nicht nach, liegt ein Datenschutzverstoß vor, der von der zuständigen Datenschutzbehörde mit einer Geldstrafe gerügt werden kann.

Keine Löschung der Daten

Art. 17 DSGVO sieht vor, dass Betroffene ihre erhobenen Daten auch nach Einwilligung durch den Verantwortlichen löschen lassen können. Generell müssen Daten automatisch gelöscht werden, sobald der in den Datenschutzhinweisen erwähnte Zweck der Erhebung erfüllt ist. Zudem können Betroffene eine Anfrage auf eine vorzeitige Löschung stellen, die ihnen gewährt werden muss. Nach der Erfüllung des Zweckes oder einer Anfrage des Betroffenen muss die Löschung durch den Verantwortlichen „ohne schuldhaftes Verzögern“ vorgenommen werden, was in der Regel sofort bedeutet.

Es bestehen allerdings einige Ausnahmen. So kann einer Anfrage zur Löschung widersprochen werden, wenn die Aufbewahrung der Daten notwendig ist, um eine Aufgabe des öffentlichen Interesses zu erfüllen oder einen rechtlichen Anspruch wahrzunehmen. Da in der DSGVO hierzu keine konkreten Grenzen dargelegt wurden, kann die Verwehrung des Löschrechts eines Betroffenen, aufgrund der Annahme des Vorliegens einer berechtigten Ausnahme, häufig zu einem Bußgeld oder einer Geldstrafe durch eine Datenschutzbehörde führen. Da bisher endgültigen Klärung durch die gerichtliche Rechtsprechung keine abschließende Grenze gezogen werden kann, sollten Sie den Verstoß anwaltlich prüfen lassen, wenn Sie ein Bußgeld von Ihrer Datenschutzbehörde erhalten.

Daten werden nicht vergessen

Simultan zum Recht auf Löschung, räumt Art. 17 DSGVO betroffenen das Recht auf Vergessenwerden ein. Verantwortliche müssen die personenbezogenen Daten eines Betroffenen löschen, sobald der Zweck der Erhebung erreicht wurde. Wegen Art. 19 DSGVO müssen Verantwortliche die Betroffenen auch darüber informieren, wann die Löschung der Daten vorgesehen ist. Meistens wird die Frist in den Datenschutzhinweisen oder der Datenschutzerklärung angegeben. Für allgemeine Speicherzwecke gibt es bisher noch keine konkreten Anforderungen. Erst durch die künftige Rechtsprechung werden klare Grenzen gezogen. So wird beispielsweise momentan diskutiert, ob die Speicherung von Cookies auf einer Webseite für 14 oder 30 Tage zulässig ist. Verantwortliche, die über das angemessene Maß hinaus Daten speichern, müssen mit Bußgeldern und Geldstrafen rechnen.

Unsicherer E-Mail-Verkehr

Der Email-Verkehr mit Kunden zu Kommunikations- und Werbezwecken wird durch die EU-DSGVO geregelt. Um die Datensicherheit zu garantieren ist streng genommen eine Verschlüsselung möglich. Geschieht aufgrund einer Nachlässigkeit ein Datenleck oder wurden die entsprechenden Voreinstellungen überhaupt nicht vorgenommen, kann die zuständige Datenschutzbehörde ein Bußgeld oder eine Geldstrafe verhängen. Ein Grundprinzip sieht vor, dass die technischen Maßnahmen zum Datenschutz dem aktuellen Technologieniveau entsprechen muss. Eine E-Mail-Verschlüsselung ist durchsetzbar und damit erforderlich. Bei der Kommunikation besonders sensibler Daten ist die Verschlüsselung streng erforderlich.

E-Mail-Marketing ist Gegenstand der DSGVO

Das E-Mail-Marketing ist eines der effektivsten Marketingwerkzeuge im digitalen Marketing. Durch die Speicherung und Verarbeitung der Daten ist es allerdings erforderlich, wie zuvor schon unter dem BDSG, eine explizite Einwilligung des Betroffen einzuholen und diese zu dokumentieren. Das bisher legale Verfahren des „Double-Opt-In“ wird auch nach Anwendung der DSGVO anzuwenden sein. Falls bisher vernachlässigt, muss die Einwilligung des Verbrauchers zum Erhalt des Newsletters oder anderer Marketingmails dokumentiert werden. Gleichzeitig dürfen nur die Daten erhoben werden, die zum Betreiben des Email-Marketings erforderlich sind. Somit darf nur noch die Email-Adresse verpflichtend sein, um die Mails zu erhalten. Die Speicherung weiterer Daten hingegen darf freiwillig sein.

Zahlreiche Verstöße sind zu erwarten

Im Bereich des Email-Marketings sind praktisch viele Verstöße zu erwarten. Nach dem Stichtag des 25. Mai 2018 waren lediglich 50% aller Unternehmen auf die DSGVO vorbereitet. Auch die rechtliche Unsicherheit wird zu zahlreichen Beschwerden von Verbrauchern gegenüber Datenschutzbehörden und in Folge dessen zum Verhängen zahlreicher DSGVO-Bußgelder führen. Sollten Sie von einem Bußgeld aufgrund eines Verstoßes im Email-Marketing betroffen sein, sollten Sie unbedingt eine anwaltliche Prüfung vornehmen lassen. Da es noch keine abschließende Regelung gibt, ist die Wahrscheinlichkeit des Bestehens einer Möglichkeit zur Schadensminderung groß.

Typische Arten des Bekanntwerdens eines DSGVO-Verstoßes

Durch die mediale Darstellung wurde des Thema Darstellung in den Fokus der Öffentlichkeit gerückt. Die Ankündigung stärkerer Kontrollen durch Datenschutzbehörden sowie die gestiegenen Bußgelder bietet das Datenschutzrecht für Unternehmen, die sich der Compliance entziehen wollen oder das Thema nicht ernst nehmen, eine große Angriffsfläche. Folgende Szenarien sollen verdeutlichen, auf welchem Wege Datenschutzverstöße bekannt werden können und wieso Unternehmen das Thema ernst nehmen müssen.

Routineüberprüfung der zuständigen Datenschutzbehörde

Nach den Ankündigungen der EU-Abgeordneten und Väter der DSGVO-Gesetze sowie die Einstimmung der nationalen Datenschutzbehörden, ist zu erwarten, dass ab Ende Mai 2018 verstärkt Datenschutzkontrollen in größeren und auch mittelständischeren Unternehmen vorgenommen wird. Viele Unternehmen, die schon vor der Anwendung der DSGVO im Fokus der Öffentlichkeit aufgrund ihrer Datenschutzrelevanz standen, müssen mit verstärken Kontrollen rechnen. So lag bereits wenige Stunden nach Inkrafttreten der DSGVO die erste Klage gegen Whatsapp wegen eines Datenschutzverstoßes vor.

Es ist zu erwarten, dass Behörden stärker örtliche Kontrollen durchführen, ähnlich einer Betriebsprüfung durch Finanzämter. Sollten Verstöße festgestellt werden, erfolgt je nach Schwere des Verstoßes eine Verwarnung oder ein Bußgeld.

Anzeige durch unzufriedene Mitarbeiter

Im Gegensatz zum Rechnungswesen, betrifft der Datenschutz auch alltägliche Betriebsprozesse, die durch Mitarbeiter oder Praktikanten durchgeführt werden. Schließlich müssen auch ihre Daten, wenn sie sich an Betriebscomputern über persönliche Konten einloggen, DSGVO-konform dokumentiert, gespeichert und fristgerecht gelöscht werden.

Da Konflikte mit internen Mitarbeitern niemals vollständig auszuschließen sind, besteht hier ein erhebliches Risiko. Unzufriedene oder entlassene Mitarbeiter können ohne Probleme Datenschutzverstöße feststellen und der zuständigen Datenschutzbehörde melden. Liegen schwerwiegende Verstöße vor, ist nicht nur ein Bußgeld durch die Datenschutzbehörde, sondern unter Umständen auch ein strafrechtliches Verfahren zu erwarten.

Meldung durch Kunden oder Konkurrenten

Die Anpassung an die neuen strengen Anforderungen der DSGVO kostet vielen Unternehmen Zeit und finanzielle Ressourcen. Unternehmen, die eine DSGVO-Compliance vornehmen, sind im Nachteil gegenüber den Unternehmen, die wissentlich Verstöße vergehen oder die neuen Datenschutzgesetze ignorieren. Es würde ein Wettbewerbsnachteil entstehen. Es ist somit verständlich, dass Konkurrenten gegen Wettbewerber vorgehen, wenn diese versuchen die DSGVO zu umgehen oder sogar wissentlich Datenschutzverstöße begehen, um Gewinne zu erzielen.

Das Risiko bei einem offensichtlichen Datenschutzverstoß durch einen Wettbewerber einerseits abgemahnt und andererseits an die Datenschutzbehörde gemeldet zu werden, ist somit groß. Bei entsprechender Schwere kann die Datenschutzbehörde die Meldung nicht ignorieren und eine Betriebsprüfung wie anschließende Bußgelder sind wahrscheinlich.

Eine kalkulierte Selbstanzeige

Die potenzielle Höhe der Bußgelder zeigt klar, dass Unternehmen dem Datenschutz eine hohe Bedeutung zumessen müssen. Neben hohen Bußgelder, die mitunter die Existenz bedrohen können, drohen für die Geschäftsführung oder einzelne Personen sogar strafrechtliche Konsequenzen. Dies ist etwa der Fall, wenn Daten wissentlich und erwerbsmäßig erhoben und an Dritte weitergeben werden. Doch auch grobe Fahrlässigkeit bei der Verarbeitung sensibler Daten, etwa gesundheitlicher Daten privat Personen mit entsprechender Brisanz, kann der Anlass für eine strafrechtliche Ermittlung werden.

Es wird somit mit Sicherheit Unternehmen geben, die bisher eine graurechtliche Geschäftspraxis verfolgt oder sich aus anderen Gründen in einer Situation befinden, in der eine Selbstanzeige gegenüber der Datenschutzbehörde ein strategisch-sinnvoller Schritt sein kann. So könnte beispielsweise ein ehemaliger Mitarbeiter mit einer Anzeige drohen. Die rechtlichen Konsequenzen können entschärft werden, wenn eine Selbstanzeige vorgenommen wird.

Aufdeckung durch die Presse

Die DSGVO ist die Antwort auf den immer stärker werdenden Wunsch der EU-Bevölkerung nach mehr Datenschutz. Gleichzeitig ist der Datenschutz durch die informationelle Selbstbestimmung nach der EU-Charta ein Grundrecht. Verstöße gegen den Datenschutz können dementsprechend als Verstoß gegen ein europäisches Grundrecht verstanden werden.

Schon vor der DSGVO waren Datenschutzverstöße der großen Internetgiganten, wie Google oder Facebook, ein tägliches Thema in der Presse. Auch nach Inkrafttreten der DSGVO ist zu erwarten, dass sich investigative Journalisten mit dem Thema auseinandersetzen und es sich zur Aufgabe machen, gewerbliche oder kommerziell motivierte Datenschutzverstöße aufzudecken und ihre Ergebnisse den Datenschutzbehörden mitzuteilen.

DSGVO Datenschutz Strafen und Bußgelder

Neben der medialen Aufmerksamkeit sorgen die hohen Strafen und Bußgelder für das Erzeugen der notwendigen Aufmerksamkeit durch Unternehmen gegenüber dem Thema Datenschutz. Die Strafen wurden so angesetzt, dass sie existenzbedrohend sind und das Thema dadurch von Unternehmen nicht mehr ignoriert werden kann. Bisher waren nach dem deutschen Bundesdatenschutzgesetz, dass als Vorbild der DSGVO dient, ein maximales Bußgeld von 350.000 € möglich. Gerade für große Konzerne, wie Facebook, war diese Summe weniger abschreckend.

Nach der DSGVO können allerdings Bußgelder bis zu 20 Mio. € oder in Höhe von 4% des weltweiten Konzernumsatzes verhängt werden. Dabei wird stets der Maßstab gewählt, der zu einem höheren wirtschaftlichen Verlust des Unternehmens führt. Es handelts ich dabei allerdings um ein Höchstmaß. In welcher Höhe Geldstrafen tatsächlich verhängt werden, hängt von unterschiedlichen Faktoren ab.

Höhe der Geldstrafe von unterschiedlichen Faktoren abhängig

Ob und in welcher Höhe das Bußgeld wegen eines DSGVO-Verstoßes verhängt wird, liegt im Ermessen der zuständigen Datenschutzbehörde. Die DSGVO gibt in Art. 83 allerdings einen konkreten Katalog an die Hand, der die Vergabe von Bußgeldern reguliert. Folgende Faktoren sind dabei relevant:

• Art, Schwere und Dauer des Verstoßes: Ein geringfügiger Verstoß wird nur sehr unwahrscheinlich direkt mit einer Geldstrafe gerügt werden. Ein unabsichtlicher Fehler in der Datenschutzerklärung oder eine versehentliche Erhebung von Email-Adresse und Vor- und Nachnamen eines Betroffenen sollte zunächst zu einer Verwarnung anstatt einer Geldstrafe fü Ein wissentlicher, erwerbsmäßiger Verstoß, etwa die illegale Erhebung und Weitergabe von personenbezogenen Daten gegen Entgelt sollte direkt zu einem Bußgeld und sogar strafrechtlichen Konsequenzen führen.
• Fahrlässigkeit oder Vorsätzlichkeit: Unbeabsichtigte Verstöße werden mit geringeren Bußgeldern geahndet, als vorsätzliche oder fahrlässige Verstöß Allerdings liegt nach DSGVO die Beweispflicht immer beim Verantwortlichen, der den Verstoß begangen hat. Er muss nachweisen können, dass er tatsächlich unbeabsichtigt gehandelt hat, damit eine Fahrlässigkeit oder der Vorsatz ausgeschlossen werden kann.
• Ergriffene Maßnahmen zur Schadensminderung: Bei einem akuten Verstoß, etwa einem Datenleck aufgrund mangelnder technischer Maßnahmen, sollte der Verantwortliche Maßnahmen ergreifen, um den Schaden zu minimieren. Die Reaktion auf das Bekanntwerden des Verstoßes wirkt sich auf Höhe der Geldstrafe aus.
• Grad des Verschuldens: Das Grad des Verschuldens kann sich auf die Geldstrafe auswirken. Hat ein Geschäftsführer etwa einen Datenschutzverstoß zu verantworten, der durch die Nachlässigkeit des bestellten Datenschutzbeauftragten entstanden ist, so ist das Grad des Verschuldens gering, was sich mildernd auf das Strafmaß Der Datenschutzbeauftragte könnte hierbei sogar haftbar gemacht werden.
• Wiederholung oder Erstverstoß: Ein einmaliger Datenschutzverstoß wird erwartungsgemäß nicht überordentlich streng bestraft werden. Begehen Verantwortliche jedoch wiederholend und absichtlich Verstöße, so ist das volle anwendbare Strafmaß der Datenschutzbehörden zu erwarten.
• Kooperationsbereitschaft mit der Behörde: Die Datenschutzbehörden haben neben der Verfolgung von Verstößen auch die Beratung der Unternehmen als Aufgabe. Da die DSGVO und deren Anwendung für viele Neuland ist, sollte zu erwarten sein, dass es zunächst zur Kontaktaufnahme und sogar zur Beratung durch eine Behörde kommt. Zeigt ein Unternehmen hierbei Kooperations- und Aufnahmebereitschaft, kann sich dies mildernd auf spätere Verstöße auswirken.
• Art der betroffenen Daten: Die Art der Daten, die im Rahmen des Verstoßes verarbeitet, verwendet oder erhoben wurden, beeinflussen die Höhe des Bußgeldes maß Umso sensibler und genauer der Grad der Daten ist, umso höher wird die Geldstrafe ausfallen. Werden etwa illegal Email-Adressen erhoben, ist der Verstoß weniger schwerwiegend, als bei der illegalen Erhebung gesundheitlich-relevanter Daten von betroffenen Privatpersonen.
• Art des Bekanntwerdens des Verstoßes: Wie im Strafrecht, wirkt eine Selbstanzeige strafmildernd. Wird ein Datenschutzverstoß etwa durch eine Anzeige oder sogar öffentlich durch die Presse bekannt, ist die Datenschutzbehörde angewiesen, den Verstoß strenger zu ahnden. Generell wird die öffentliche Bekanntheit eines Datenschutzverstoßes, wie etwa beim jüngsten Datenskandal von Yahoo, die Behörden zu strengeren Maßnahmen zwingen. Umso geringer das öffentliche Interesse ist, um so eher kann ein Verstoß durch anwaltliche Vertretung gemindert werden.
• Umsetzung vorheriger Anordnungen durch die Datenschutzbehörde: Simultan zur Kooperationsbereitschaft, wird bei der Bestimmung der Schwere eines Verstoßes das frühere Verhalten des verantwortlichen Unternehmens hinzugezogen. Hat die Datenschutzbehörde schon zuvor Maßnahmen angeordnet, wird die Einsicht und Umsetzung des Verantwortlichen hinzugezogen.
• Mildernde Umstände: Neben den bereits genannten mildernden Umständen, können individuelle Umstände bestehen, die eine Milderung der Geldstrafe begründen könnten.

 

Wer kann ein DSGVO-Bußgeld erhalten?

Die DSGVO ist ein neues Datenschutzgesetz dessen weitläufige Umsetzung und internationale Anwendbarkeit seinesgleichen sucht. Auch wenn die Verordnung durch den europäischen Gesetzgeber geschaffen und hauptsächlich auf eine Vereinheitlichung des Datenverkehrs innerhalb des europäischen Binnenmarkts abzielt, greift das Gesetz über die Grenzen Europas hinaus. Zudem werden nicht nur privatrechtliche Organisationen reguliert, sondern auch öffentliche Behörden.

Generell kann jeder ein Bußgeld oder eine Geldstrafe durch eine Datenschutzbehörde erhalten, der Gegenstand der DSGVO ist. Die Organisationen, auf die sich die EU-DSGVO bezieht, können sachlich und regional definiert werden.

Sachliche Abgrenzung möglicher DSGVO-Bußgeldempfänger

Generell werden alle Personen, Organisationen oder Institute Gegenstand der DSGVO, die personenbezogene Daten erheben, verarbeiten oder verwenden. Personenbezogene Daten sind Datensätze, die direkte oder indirekte Rückschlüsse auf eine natürliche Person zulassen. Sowohl Daten wie Namen und Adresse als auch anonymisierte Daten, wie Onlinekennungen in einem Online-Forum, ist davon betroffen. Dementsprechend ist das Anwendungsgebiet der DSGVO breit gefächert. Eine Gewinnerzielungsabsicht ist nicht erforderlich. Potenzielle Empfänger eines DSGVO-Bußgeldes sind somit:

• Privatpersonen (bspw. Blogger)
• Vereine
• NGOs
• Öffentliche Institute und Behörden
• Unternehmen
• Einzelunternehmer und Freelancer

Regionale Abgrenzung möglicher DSGVO-Bußgeldempfänger

Eine weitere Abgrenzung ist aus regionaler Sicht möglich. Interessanterweise ist es Ziel der DSGVO, auch den Datenverkehr über die EU-Grenzen hinaus zu regulieren, insofern personenbezogene Daten von EU-Einwohnern verarbeitet werden. Darüber hinaus sind folgende Abgrenzungen Interessant.

Vereine, Unternehmen und Behörden sind Regulierungsgegenstand der DSGVO, wenn:

• Personen aus dem EU-Gebiet zur Zielgruppe des Unternehmens gehören und Daten von EU-Bürgern verarbeitet, erhoben oder verwendet werden sollen.
• Der Verantwortliche einen Sitz in der EU hat und somit zwangsläufig personenbezogene EU-Daten verarbeitet.

Somit ist klar deutlich, dass auch internationale Unternehmen, etwa aus den USA, theoretisch durch die EU-Behörden zur Compliance gezwungen werden können. Diese internationale Ausrichtung des EU-Gesetzes hat zuletzt zu internationalen Spannungen geführt. Manche US-Unternehmen haben beispielsweise EU-Bürgern den Zugang zu ihren Webseiten verweigert, um sich dem Einzugsgebiet der DSGVO zu entziehen.

Welche Behörden können Bußgelder und Geldstrafen nach DSGVO verhängen?

Die Bußgelder und Geldstrafen sollen von Datenschutzbehörden verhängt werden. Sie sind als Exekutive des Datenschutzrechts zu verstehen. Neben der Kontrolle und Überwachung, ist es ihre Aufgabe Verantwortliche zu beraten. Ähnlich wie beim Finanzamt, gibt es Datenschutzbehörden, die je nach Standort eines Unternehmens regional zuständig sind. Die deutschen Datenschutzbehörden existieren auf Bundes- und Länderebene. Zudem existieren einzelne Behörden in den Bundesländern, die sich mit bestimmten Teilgebieten des Datenschutzrechts auseinandersetzen. Die internationale Verfolgung von Datenschutzverstößen nach DSGVO ist Aufgabe der europäischen Datenschutzbehörde.

Rechtlicher Schutz gegen DSGVO Datenschutz Abmahnungen

Die DSGVO ist juristisches Neuland. Es mangelt dem Gesetz an konkreten Richtlinien für die praktische Umsetzung im Alltag. Somit ist zu erwarten, dass viele Konfliktpunkte der gerichtlichen Klärung bedürfen. Die Ansichten der Datenschutzbehörden werden nicht immer mit denen der Gerichte übereinstimmen.

Das zeigt sich bereits in der Interpretation der DSGVO bezüglich des Umgangs mit Cookies. Während viele Unternehmen der Meinung sind, dass der Einsatz von Cookies beim Webtracking im Zuge eines berechtigten Interesses legitim ist, wurde auf der Konferenz der Datenschutzbehörden Gegenteiliges verkündet. Die rechtliche Ungewissheit sollte verdeutlichen, dass die Verteidigung und juristische Prüfung einer verhängten DSGVO-Geldstrafe meistens angemessen und erforderlich ist.

Anwaltliche Prüfung des Verstoßes

Sollten Sie ein Bußgeld wegen eines DSGVO-Verstoßes von ihrer zuständigen Datenschutzbehörde erhalten haben, so können wir eine juristische Prüfung vornehmen. Dabei interessiert besonders die Frage nach der Schuld und die Bewertung der Höhe der angesetzten Strafe.

Unter Beachtung der oben aufgezählten Aspekte zur Bemessung eines Bußgeldes aus Art. 83 DSGVO prüfen wir, ob nicht mildernde Umstände vorliegen, die eine Entschärfung der verhängten Geldstrafe gerechtfertigt erscheinen lassen. Zudem prüfen wir aktuelle gerichtliche Rechtsprechung, um zu prüfen, ob die Datenschutzbehörde gegenteilig zu den Ansichten der Gerichte handelt und unter Umständen überhaupt kein DSGVO-Verstoß vorliegt.

Klärung der Haftungsfrage

Art 83. DSGVO sieht eine unbedingte Ahndung von Datenschutzverstößen durch die Verhängung einer Geldstrafe vor. Allerdings könnte ein Bußgeld abgewehrt werden, indem die Haftung des Verstoßes einer anderen Person zuzuschreiben ist. Denkbar ist dies beispielsweise durch eine illegale Handlung Dritter, etwa einem Hackerangriff, während der Verantwortliche alle notwendigen Maßnahmen ergriffen hat, um eine DSGVO-Konformität zu wahren.

Gleichzeitig könnte der externe Datenschutzbeauftragte haftbar gemacht werden, wenn er beispielsweise versäumt hat, die Geschäftsführung über das Bestehen eines Verstoßes zu informieren. Wurde dieser intern bestellt, wird aufgrund der inneren Betriebshaftung auch bei Fehlverhalten des Datenschutzbeauftragten der Betrieb haftbar gemacht.

Außerdem sind Haftungen durch schweres vorsätzliches oder fahrlässiges Fehlverhalten von internen Mitarbeitern denkbar. In jedem Fall sollte die Haftung eines DSGVO-Verstoßes nach Verhängung eines Bußgeldes durch die Datenschutzbehörde geprüft werden.

Kommunikation mit der Behörde

Wurde der vorgeworfene Verstoß anwaltlich geprüft und wurden Umstände entdeckt, die eine Verringerung der verhängten Geldstrafe oder eine Umwälzung auf eine haftende Person denkbar erscheinen lassen, können Sie über uns Kontakt mit der Datenschutzbehörde aufnehmen lassen.

Um juristische Fehltritte oder zusätzliche Schuldeingeständnisse zu vermeiden, sollte der Kontakt allerdings über Ihren persönlichen Rechtsanwalt erfolgen. Andernfalls besteht die Gefahr, dass die Umstände nicht entsprechend kommuniziert oder schlimmstenfalls zusätzliche Verstöße aufgedeckt werden. Daher sollte die Kommunikation nur über einen anwaltlichen Beistand erfolgen.

Gerichtliche Klärung der Schuldfrage

Ist der vermeintliche Verstoß des Datenschutzrechtes von unserer Seite nicht nachvollziehbar, etwa weil es bereits eine Musterentscheidung durch ein Gericht gab, die den vorliegenden Sachverhalt anders bewerten lässt, so bedarf es einer gerichtlichen Klärung des Vorfalls. Wie bei allen Bußgeldern besteht auch bei DSGVO-Geldstrafen die Möglichkeit, einen Einspruch einzulegen. Fortlaufend kann dies zu einem gerichtlichen Prozess führen, der eine endgültige Klärung der Schuldfrage herbeiführt.

Rechtlicher Schutz gegen DSGVO Datenschutz Bußgelder

Neben dem DSGVO-Bußgeld kann ein Verstoß zusätzliche rechtliche Folgen mit sich bringen. Ist etwa ein Verstoß von wettbewerbsrechtlicher Relevanz, könnten Wettbewerber und Konkurrenten eine Abmahnung in Erwägung ziehen.

Abmahnungen durch Wettbewerber möglich

Wettbewerbsrechtlich-relevante Datenschutzverstöße können zu einer Abmahnung nach dem UWG oder dem UKlaG führen. Die DSGVO ist in dieser Hinsicht speziell, denn neben den Wettbewerben können auch Verbraucher oder Wettbewerbs- und Verbraucherschutzverbände abmahnen. Im Vergleich zu Verbrauchern oder Wettbewerbern, ist es die Aufgabe derartiger Verbände Datenschutzverstöße zu ahnden, wenn sie verbraucherrechtliche oder wettbewerbsrechtliche Relevanz haben. Die Gefahr einer Abmahnung durch einen Verband ist somit ein Vielfaches höher. Zudem verfügen Verbände über das entsprechende Budget, um einen Fall vor Gericht ausfechten zu lassen.

Gewinnabschöpfung als weiteres Mittel

Wurde durch einen Datenschutzverstoß ein Gewinn erzielt, so ist eine Gewinnabschöpfung durch die Datenschutzbehörde denkbar. Wurden mit einer illegalen Praxis gewerblich Erträge erzielt, kann die Datenschutzbehörde eine Auszahlung dieser Gewinne veranlassen. Bei der Verfolgung halblegaler Geschäftsmodelle, die auf der illegitimen Verarbeitung von personenbezogenen Daten basieren, kann zudem die Insolvenz eine Folge sein.

Aufforderung zur Unterlassung des Verstoßes

Nach Art. 58 Abs. 2 DSGVO kann die Datenschutzbehörde, ähnlich der Unterlassung, eine Beendigung des Verstoßes oder eine Beseitigung der verursachenden Umstände des Verstoßes anordnen.

Schadensersatz gegenüber Verbrauchern

Hat ein Datenschutzverstoß stattgefunden, wobei etwa sensible Daten von Verbrauchern illegaler Weise weitergegeben wurden, so kann ein zivilrechtlicher Anspruch auf Schadensersatz entstehen. Es ist zu erwarten, dass auch Verbraucher zukünftig dieses Rechtsmittel ausschöpfen, um ihr Grundrecht auf informationelle Selbstbestimmung geltend zu machen.

Vorteile der Verteidigung gegen eine DSGVO-Abmahnung

Typische Fehler im Umgang mit Bußgeld durch Datenschutzbehörde

Der Erhalt einer DSGVO-Abmahnung ist ein ernstzunehmender Umstand, der nicht ignoriert werden sollte. Es gibt eine reihe von typischen Fehlern, die die Situation oder die Verteidigung des Bußgeldes erschweren. Da die Verstöße durch die Datenschutzbehörde meistens zu streng bewertet oder die Bußgelder zu hoch angesetzt sind, ist eine anwaltliche Verteidigung das beste Mittel, um einen der folgenden typischen Fehler zu vermeiden.

 

Beispiele für DSGVO Datenschutz-Verstöße

Als eine auf Verteidigung von Abmahnungen und den allgemeinen Datenschutz spezialisierte Kanzlei werden wir Ihre DSGVO-Abmahnung zunächst kostenfrei einschätzen. Die Überprüfung ist unverbindlich – Sie erhalten eine sofortige Erfolgseinschätzung. Erst wenn die Verteidigung Aussicht auf Erfolg, werden wir die abmahnende Partei kontaktieren, um die Reduzierung oder Rücknahme der Abmahnung anzustreben. In allen anderen Fällen ist unsere Prüfung für Sie komplett kostenfrei.

Nach der Abwehr der DSGVO Datenschutz Bußgeld

Das können Sie als Unternehmer typischerweise erwarten:

Das erwartet Sie typischerweise als Unternehmer – im Detail:

Unsere Prinzipien bei Abwehr eines DSGVO Datenschutz Bußgelds

Ihre Fragen und unsere Antworten zur DSGVO Datenschutz Abmahnung