DSGVO Datenschutz Bußgeld oder Strafe erhalten? Wir helfen Ihnen!
Sie wurden von Ihrer zuständigen Datenschutzbehörde gerügt und haben ein Bußgeld aufgrund eines DSGVO-Verstoßes erhalten? Oder Ihnen droht gar ein Strafverfahren wegen einer Datenschutz-Angelegenheit? Wir kennen die rechtlichen Anforderungen an die Zulässigkeit von Sanktionen und bieten Ihnen die Prüfung und Verteidigung an.
Nach Inkrafttreten der DSGVO sind hohe Sanktionen möglich
Durch die Einführung der DSGVO sollte der Datenschutz zum zentralen Thema aller unternehmerischer Tätigkeiten in Europa werden. Die EU-Grundrechtscharta sieht die informationelle Selbstbestimmung als Grundrecht und hält strenge Datenschutzgesetze für erforderlich. Unternehmen, Organisationen und auch Privatpersonen, die nach dem 25.05.2018 einen Verstoß gegen das Datenschutzrecht begangen haben, können Bußgelder in einer Höhe bis zu 20 Mio. € erhalten.
Die Angemessenheit und Höhe der Bußgelder ist jedoch stark abhängig von der Art und den Rahmenbedingungen des Verstoßes. Durch sorgfältige Prüfung und anwaltliche Vertretung lässt sich das Maß häufig verringern.
Andre Kraus, Rechtsanwalt und Gründer der KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei, ist Ihr Ansprechpartner in Sachen Gründung, Markenrecht, Reputationsschutz und Unternehmensrecht.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Typische DSGVO Verstöße
Die Komplexität der DSGVO und die Unterschiede in der praktischen Anwendung sowie noch herrschende Unsicherheit in der Auslegung sorgen für Konfliktpotenzial. Viele Aspekte sind bisher ungeklärt und erst durch Rechtsprechung wird Rechtssicherheit geschaffen. Folgende Kategorien von Verstößen sind zu unterscheiden.
- Verstoß durch unangemessene Voreinstellungen
Betriebliche Prozesse müssen so konzipiert sein, dass der Datenschutz der Betroffenen gewährleistet ist. Dies gilt sowohl gegenüber Kunden als auch Mitarbeitern. Fehler können hierbei entweder bei der Verarbeitung der Kundendaten im Onlineshop oder etwa der Aufbewahrung der Daten ehemaliger Mitarbeiter passieren. Auch Fehler bei der Organisation, wie etwa das Versäumnis der Bestellung eines Datenschutzbeauftragten, gehören zu den unangemessenen Voreinstellungen.
- Zugriff durch Unberechtigte
Eine wissentliche Weitergabe von personenbezogenen Daten an einen Dritten ist nicht nur ein Verstoß gegen die DSGVO, sondern hat auch strafrechtliche Konsequenzen. Sollte ein unbefugter Zugriff, etwa durch ein Datenleck, erfolgt sein, so muss das Unternehmen den Zugriff innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Andernfalls liegt ein Verstoß vor.
Ein Datenschutzverstoß kann an verschiedenen Stellen erfolgen und unterschiedlich ausfallen. Die folgenden praktischen Beispiele gehören zu den typischen DSGVO-Verstößen, die Bußgelder bzw. Sanktionen nach sich ziehen können.
Kein Datenschutzbeauftragter
Zahlreiche Unternehmen mussten auch bereits vor Anwendung der DSGVO ab dem 25.05.2018 einen Datenschutzbeauftragten bestellen. Durch die höheren Strafen und Bußgelder der DSGVO sowie die Ankündigung der strengeren Verfolgung ist der Druck jedoch gestiegen.
Wenn ein Unternehmen mehr als zehn Mitarbeiter beschäftigt, sensible Daten verarbeitet oder verwendet oder aber ein Geschäftsmodell verfolgt, das auf der Erhebung von personenbezogenen Daten basiert, muss in jedem Fall ein Datenschutzbeauftragter bestellt werden. Seine Aufgaben bestehen in der Beratung der Geschäftsführung zu Datenschutzthemen. Dafür muss er die komplette Betriebsstruktur analysieren und die Prozesse auf datenschutzrechtliche Relevanz prüfen.
Auf der Basis seiner Analyse erstellt er ein Datenschutzkonzept, das er der Geschäftsführung vorlegt. Bei der Umsetzung des Konzeptes hat er beratende Funktion und selber keine Weisungsbefugnis. Allerdings unterstützt er Schulungen der internen Mitarbeiter.
Das Konzept des Datenschutzbeauftragten dient dem ganzheitlichen Datenschutz innerhalb einer Organisation. Da der organisatorische Aufwand mit dem des Rechnungswesen vergleichbar ist, soll ab einer gewissen Unternehmensgröße oder datenschutzrechtlichen Relevanz der Datenverarbeitung eine zusätzliche Person die Einhaltung der gesetzlichen Anforderungen überwachen.
Organisationen, die trotz Verpflichtung keinen Datenschutzbeauftragten bestellen, müssen mit Sanktionen rechnen.
Unvollständige oder unkorrekte Datenschutzhinweise
Art. 12 DSGVO sieht vor, dass Verantwortliche die Betroffenen, deren personenbezogene Daten erhoben werden sollen, ausreichend informieren. Die genauen Anforderungen sind Art. 12 bis 14 DSGVO zu entnehmen. Zuvor galt die Informationspflicht in Form einer Datenschutzerklärung nach §13 TMG. In Art. 13 DSGVO wurden die Anforderungen jedoch deutlich erweitert:
- Konkrete Rechtsgrundlage: Es muss nicht nur jede Form der Erhebung, Verarbeitung und Verwendung von personenbezogen Daten genannt werden, sondern es muss auch die konkrete Rechtsgrundlage für die Handlung erwähnt werden.
- Benennung aller Rechte der Betroffenen: Die entsprechenden Rechte der Betroffenen müssen genannt werden, wenn sie für die Art der Datenverarbeitung des Unternehmens relevant sind. Sowohl alte als auch neue Rechte sind von dieser Anforderung betroffen.
- Kontaktadresse: In jeder Datenschutzerklärung muss eine verantwortliche Person benannt werden, die für den Datenschutz verantwortlich ist und von Betroffenen kontaktiert werden kann. Wenn ein Datenschutzbeauftragter bestellt werden muss, ist er der Ansprechpartner. Andernfalls ist es die verantwortliche Person, in der Regel der Inhaber oder der Geschäftsführer.
- Betitelung der externen Server bei Datenweitergabe: Viele Anwendungen im digitalen Bereich werden von dritten Unternehmen gestellt. In einigen Fällen werden dabei personenbezogene Daten an Server weitergeleitet, deren Standort nicht innerhalb der EU ist. Dabei muss der Standort genannt werden und ob es im Land des Standortes ein Datenschutzniveau auf EU-Niveau sowie ein Datenschutzabkommen mit dem Land und der EU gibt.
- Bezeichnung der Speicherfristen: Nach der DSGVO müssen Daten sofort gelöscht werden, sobald die Speicherung ihren Zweck erfüllt hat. Die Frist jeder Form der Speicherung muss somit in der Datenschutzerklärung explizit erwähnt werden.
- Erwähnung automatisierter Entscheidungsfindung: Eine besondere Art der Datenverwendung ist die automatisierte Entscheidungsfindung aufgrund erhobener personenbezogener Daten. Ein typisches Beispiel ist die Kreditzusage nach einer automatischen Prüfung der Bonität. Die DSGVO sieht vor, dass diese Art von Verfahren explizit erwähnt und öffentlich kommuniziert werden.
- Einfacher und verständlicher Sprachgebrauch: Auch wenn es sich bei der Datenschutzerklärung um einen juristischen Text handelt, müssen die Hinweise in einfacher und verständlicher Sprache gehalten sein, sodass jeder sie verstehen kann.
- Einfacher Zugang: Jedem Betroffenen muss ein einfacher Zugang zu der Datenschutzerklärung ermöglicht werden. Auf einer Webseite wird der einfache Zugang beispielsweise durch einen Link im Footer-Bereich gewährleistet, da die Erklärung so von jeder Unterseite erreichbar ist.
Wie genau die Datenschutzhinweise gestaltet werden müssen, hängt von der Art und Form der Datenverarbeitung ab. Sie müssen allerdings öffentlich einsehbar sein. Da bei fehlerhaften Datenschutzhinweisen ein Bußgeld oder eine Strafe droht, sollten sie anwaltlich und mit Bedacht erstellt werden.
Verweigerung oder fehlerhaftes Nachkommen des Auskunftsrechts
Das Auskunftsrecht ist ein wichtiges Recht betroffener Privatpersonen. Es findet seine Rechtsgrundlage in Art. 15 DSGVO. Kommt ein Unternehmen oder eine Organisation dem Auskunftsrecht nach einer Anfrage einer betroffenen Privatperson nicht nach, so kann die Person eine Meldung bei einer Datenschutzbehörde machen, was eine Sanktion oder ein Bußgeld nach sich ziehen kann. Folgende Details müssen von Verantwortlichen „ohne schuldhaftes Verzögern“, spätestens aber innerhalb eines Monats nach Auskunftsersuchen, mitgeteilt werden:
- Der Zweck der Erhebung, Verarbeitung oder Verwendung.
- Die Kategorien der verarbeiteten Daten.
- Die Empfänger der Daten bei Weitergabe.
- Die Speicherdauer.
- Eine Aufzählung aller relevanten Rechte zur Löschung der Daten, zur Einschränkung der Verarbeitung oder zur Beschwerde bei Datenschutzbehörde
- Das Bestehen einer automatisierten Entscheidungsfindung.
- Die Quelle der Daten, wenn diese nicht vom Verantwortlichen erhoben wurden.
Dem Auskunftsrecht muss durch eine formgerechte Übermittlung der Daten nachgekommen werden. Da jeder ein Auskunftsersuchen vornehmen kann, können Datenschutzverstöße aufgrund einer mangelnden Folgeleistung des Ersuchens einfach festgestellt werden. Wird dem Recht nicht nachgekommen, droht ein Bußgeld durch die Datenschutzbehörde, sobald der Verstoß aufgedeckt wird.
Mangelhafte Erklärung der Einwilligung
Jede Art der Erhebung personenbezogener Daten ist generell verboten, es sei denn, es liegt eine gesetzliche Grundlage oder die Einwilligung der Betroffenen vor. Art. 7 DSGVO beschreibt, dass jeder Betroffene in die Datenerhebung seiner personenbezogenen Daten explizit einwilligen muss. Eine Ausnahme ist nur gegeben, wenn ein Verantwortlicher ein „berechtigtes Interesse“ an der Datenerhebung hat (Art. 6 DSGVO).
Wann ein Unternehmen auf eine explizite Einwilligung eines Betroffenen verzichten kann, weil ein berechtigtes Interesse vorliegt, ist juristisch noch nicht eindeutig geklärt und kann erst durch Rechtsprechung festgelegt werden.
Sollten Sie ein Bußgeld einer Datenschutzbehörde aufgrund einer mangelnden Einwilligung zur Datenerhebung eines Betroffenen erhalten haben, ist die anwaltliche Prüfung des Sachverhaltes anzuraten.
Keine Möglichkeit zum Datentransport
Ein dem deutschen Datenschutzrecht bisher unbekanntes Recht ist das Recht auf Datentransportabilität. Es wurde geschaffen, um ein wettbewerbsschädigendes Phänomen zu beseitigen: Verbraucher neigen dazu, nicht zu einem günstigeren Anbieter zu wechseln, etwa im Versorgerbereich, wenn die Übertragung der Daten für sie zu aufwändig erscheint. Das Recht auf Datenportabilität aus Art. 20 DSGVO soll diesen Umstand beseitigen.
Verantwortliche Organisationen oder Unternehmen, die personenbezogene Daten erheben, müssen die aufbereiteten Daten in einem angemessenen Format bereitstellen, wenn der Betroffene dies anfragt. Zudem müssen die Daten auf Wunsch direkt an einen anderen Anbieter übertragen werden. Kommt das Unternehmen diesem Begehren des Betroffenen nicht nach, liegt ein Datenschutzverstoß vor, der von der zuständigen Datenschutzbehörde sanktioniert werden kann.
Keine Löschung der Daten
Art. 17 DSGVO sieht vor, dass Betroffene ihre erhobenen Daten auch nach Einwilligung löschen lassen können. Generell müssen Daten automatisch gelöscht werden, sobald der in den Datenschutzhinweisen erwähnte Zweck der Erhebung erfüllt ist. Zudem können Betroffene eine Anfrage auf eine vorzeitige Löschung stellen, die ihnen gewährt werden muss. Nach der Erfüllung des Zweckes oder einer Anfrage des Betroffenen muss die Löschung durch den Verantwortlichen „ohne schuldhaftes Verzögern“ vorgenommen werden, was in der Regel sofort bedeutet.
Es bestehen allerdings einige Ausnahmen. So kann einer Anfrage zur Löschung widersprochen werden, wenn die Aufbewahrung der Daten notwendig ist, um eine Aufgabe des öffentlichen Interesses zu erfüllen oder einen rechtlichen Anspruch wahrzunehmen. Da in der DSGVO hierzu keine konkreten Grenzen dargelegt wurden, kann die Verwehrung des Löschrechts eines Betroffenen aufgrund der Annahme einer solchen Ausnahme zu einem Bußgeld oder einer Sanktion führen. Da bisher eine endgültigen Klärung durch die Rechtsprechung fehlt, sollten Sie den Verstoß anwaltlich prüfen lassen, wenn Sie ein Bußgeld von Ihrer Datenschutzbehörde erhalten.
Daten werden nicht vergessen
Analog zum Recht auf Löschung räumt Art. 17 DSGVO Betroffenen das Recht auf Vergessenwerden ein. Verantwortliche müssen die personenbezogenen Daten eines Betroffenen löschen, sobald der Zweck der Erhebung erreicht wurde. Wegen Art. 19 DSGVO müssen Verantwortliche die Betroffenen auch darüber informieren, wann die Löschung der Daten vorgesehen ist. Meistens wird die Frist in den Datenschutzhinweisen oder der Datenschutzerklärung angegeben. Für allgemeine Speicherzwecke gibt es bisher noch keine konkreten Anforderungen. Erst durch die künftige Rechtsprechung werden klare Grenzen gezogen. So wird beispielsweise momentan diskutiert, ob die Speicherung von Cookies auf einer Webseite für 14 oder 30 Tage zulässig ist. Verantwortliche, die über das angemessene Maß hinaus Daten speichern, müssen mit Bußgeldern und Sanktionen rechnen.
Unsicherer E-Mail-Verkehr
Der Email-Verkehr mit Kunden zu Kommunikations- und Werbezwecken wird durch die EU-DSGVO geregelt. Entsteht aufgrund einer Nachlässigkeit ein Datenleck oder wurden die entsprechenden Voreinstellungen überhaupt nicht vorgenommen, kann die zuständige Datenschutzbehörde ein Bußgeld verhängen. Grundsätzlich müssen die technischen Maßnahmen zum Datenschutz dem aktuellen Technologieniveau entsprechen. Um die Datensicherheit zu garantieren ist unter bestimmten Voraussetzungen eine eine E-Mail-Verschlüsselung durchsetzbar und erforderlich. Bei besonders sensiblen Daten ist die Verschlüsselung streng erforderlich.
E-Mail-Marketing ist Gegenstand der DSGVO
Das E-Mail-Marketing ist eines der effektivsten digitalen Marketingwerkzeuge. Durch die Speicherung und Verarbeitung der Daten ist es allerdings erforderlich, wie zuvor schon unter dem BDSG, eine explizite Einwilligung des Betroffen einzuholen und diese zu dokumentieren. Das bisher legale Verfahren des „Double-Opt-In“ ist auch nach Einführung der DSGVO anzuwenden. Falls bisher vernachlässigt, muss die Einwilligung des Verbrauchers zum Erhalt von Newslettern oder anderen Marketingmails dokumentiert werden. Gleichzeitig dürfen nur die Daten erhoben werden, die zum Betreiben des Email-Marketings erforderlich sind. Somit darf nur noch die Email-Adresse verpflichtend sein, um Mails zu erhalten.
Zahlreiche Verstöße sind zu erwarten
Im Bereich des Email-Marketings sind praktisch viele Verstöße zu erwarten. Nach dem Stichtag des 25. Mai 2018 waren lediglich 50% aller Unternehmen auf die DSGVO vorbereitet. Auch die rechtliche Unsicherheit wird zu zahlreichen Beschwerden von Verbrauchern gegenüber Datenschutzbehörden und in Folge dessen zum Verhängen zahlreicher DSGVO-Bußgelder führen. Sollten Sie von einem Bußgeld aufgrund eines Verstoßes im Email-Marketing betroffen sein, sollten Sie unbedingt eine anwaltliche Prüfung vornehmen lassen. Da es noch keine abschließende Regelung gibt, ist die Aussicht auf eine Schadensbegrenzung gut.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Typische Arten des Bekanntwerdens eines DSGVO-Verstoßes
Durch die mediale Darstellung wurde des Thema DSGVO in den Fokus der Öffentlichkeit gerückt. Aufgrund stärkerer Kontrollen durch Datenschutzbehörden und gestiegenen Bußgelder bieten Unternehmen, die sich der Compliance entziehen wollen oder das Thema nicht ernst nehmen, eine große Angriffsfläche. Folgende Szenarien sollen verdeutlichen, auf welchem Wege Datenschutzverstöße bekannt werden können und wieso Unternehmen das Thema ernst nehmen müssen.
Routineüberprüfung der zuständigen Datenschutzbehörde
Seit Mai 2018 kommt es verstärkt zu Datenschutzkontrollen in größeren und auch mittelständischeren Unternehmen. Viele Unternehmen, die aufgrund ihrer Datenschutzrelevanz schon vor der Anwendung der DSGVO im Fokus der Öffentlichkeit standen, müssen mit verstärken Kontrollen rechnen. So lag bereits wenige Stunden nach Inkrafttreten der DSGVO die erste Klage gegen Whatsapp wegen eines Datenschutzverstoßes vor.
Es ist zu erwarten, dass Behörden stärker örtliche Kontrollen durchführen, ähnlich einer Betriebsprüfung durch Finanzämter. Sollten Verstöße festgestellt werden, erfolgt je nach Schwere des Verstoßes eine Verwarnung oder ein Bußgeld.
Anzeige durch unzufriedene Mitarbeiter
Im Gegensatz zum Rechnungswesen, betrifft der Datenschutz auch alltägliche Betriebsprozesse, die durch Mitarbeiter oder Praktikanten durchgeführt werden. Schließlich müssen auch ihre Daten, wenn sie sich an Betriebscomputern über persönliche Konten einloggen, DSGVO-konform dokumentiert, gespeichert und fristgerecht gelöscht werden.
Da Konflikte mit internen Mitarbeitern niemals vollständig auszuschließen sind, besteht hier ein erhebliches Risiko. Unzufriedene oder entlassene Mitarbeiter können ohne Probleme Datenschutzverstöße feststellen und der zuständigen Datenschutzbehörde melden. Liegen schwerwiegende Verstöße vor, ist nicht nur ein Bußgeld durch die Datenschutzbehörde, sondern unter Umständen auch ein strafrechtliches Verfahren zu erwarten.
Meldung durch Kunden oder Konkurrenten
Die Anpassung an die neuen strengen Anforderungen der DSGVO kostet vielen Unternehmen Zeit und finanzielle Ressourcen. Unternehmen, die eine DSGVO-Compliance vornehmen, sind im Nachteil gegenüber den Unternehmen, die wissentlich Verstöße begehen oder die neuen Datenschutzgesetze ignorieren. Wettbewerbsnachteile sind die Folge. Es ist somit verständlich, dass Konkurrenten gegen Wettbewerber vorgehen, wenn diese versuchen, die DSGVO zu umgehen oder sogar wissentlich Datenschutzverstöße begehen, um Gewinne zu erzielen.
Das Risiko, bei einem offensichtlichen Datenschutzverstoß durch einen Wettbewerber einerseits abgemahnt und andererseits an die Datenschutzbehörde gemeldet zu werden, ist somit groß. Bei entsprechender Schwere kann die Datenschutzbehörde die Meldung nicht ignorieren und eine Betriebsprüfung wie anschließende Bußgelder sind wahrscheinlich.
Eine kalkulierte Selbstanzeige
Die potenzielle Höhe der Bußgelder zeigt klar, dass Unternehmen dem Datenschutz eine hohe Bedeutung zumessen müssen. Neben hohen Bußgelder, die mitunter die Existenz gefährden können, drohen für die Geschäftsführung oder einzelne Personen sogar strafrechtliche Konsequenzen. Dies ist etwa der Fall, wenn Daten wissentlich und erwerbsmäßig erhoben und an Dritte weitergeben werden. Doch auch grobe Fahrlässigkeit bei der Verarbeitung sensibler Daten, etwa gesundheitlicher Daten privater Personen mit entsprechender Brisanz, kann der Anlass für eine strafrechtliche Ermittlung werden.
Es wird somit mit Sicherheit Unternehmen geben, die bisher ihre Geschäftspraxis in einer Grauzone verfolgt haben oder sich aus anderen Gründen in einer Situation befinden, in der eine Selbstanzeige gegenüber der Datenschutzbehörde ein strategisch-sinnvoller Schritt sein kann. Die rechtlichen Konsequenzen können entschärft werden, wenn eine Selbstanzeige vorgenommen wird.
Aufdeckung durch die Presse
Die DSGVO ist die Antwort auf den immer stärker werdenden Wunsch der EU-Bevölkerung nach mehr Datenschutz. Gleichzeitig ist der Datenschutz durch die informationelle Selbstbestimmung nach der EU-Charta ein Grundrecht. Verstöße gegen den Datenschutz können dementsprechend als Verstoß gegen ein europäisches Grundrecht verstanden werden.
Schon vor der DSGVO waren Datenschutzverstöße der großen Internetgiganten, wie Google oder Facebook, ein tägliches Thema in der Presse. Auch nach Inkrafttreten der DSGVO ist zu erwarten, dass sich investigative Journalisten mit dem Thema auseinandersetzen und es sich zur Aufgabe machen, gewerbliche oder kommerziell motivierte Datenschutzverstöße aufzudecken und ihre Ergebnisse den Datenschutzbehörden mitzuteilen.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
DSGVO Datenschutz Sanktionen
Neben der medialen Aufmerksamkeit sorgen die hohen Sanktionen der DSGVO für die notwendige Aufmerksamkeit gegenüber dem Thema Datenschutz. Sie wurden so angesetzt, dass sie teils existenzbedrohend sind und das Thema dadurch von Unternehmen nicht mehr ignoriert werden kann.
Bisher war nach dem deutschen Bundesdatenschutzgesetz ein maximales Bußgeld von 350.000 € möglich. Gerade für große Konzerne, wie Facebook, war diese Summe wenig abschreckend.
Nach der DSGVO können Bußgelder bis zu 20 Mio. € oder in Höhe von 4% des weltweiten Konzernumsatzes verhängt werden. Dabei wird stets der Maßstab gewählt, der zu einem höheren wirtschaftlichen Verlust des Unternehmens führt. Es handelts ich dabei allerdings um ein Höchstmaß.
Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen die DSGVO – insbesondere für Verstöße, die keiner Geldbuße gemäß DSGVO unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen.
In welcher Höhe Sanktionen tatsächlich verhängt werden, hängt von unterschiedlichen Faktoren ab.
Höhe der Sanktion von unterschiedlichen Faktoren abhängig
Ob und in welcher Höhe das Bußgeld wegen eines DSGVO-Verstoßes verhängt wird, liegt im Ermessen der zuständigen Datenschutzbehörde. Die DSGVO gibt in Art. 83 allerdings einen konkreten Katalog an die Hand, der die Vergabe von Bußgeldern reguliert. Folgende Faktoren sind dabei relevant:
- Art, Schwere und Dauer des Verstoßes: Ein geringfügiger Verstoß wird eher nicht direkt mit einer Geldbuße geahndet. Ein unabsichtlicher Fehler in der Datenschutzerklärung oder eine versehentliche Erhebung von Email-Adresse und Vor- und Nachnamen eines Betroffenen sollte zunächst zu einer Verwarnung führen. Ein wissentlicher, gewerbsmäßiger Verstoß, etwa die illegale Erhebung und Weitergabe von personenbezogenen Daten gegen Entgelt, sollte hingegen direkt zu einem Bußgeld und sogar strafrechtlichen Konsequenzen führen.
- Fahrlässigkeit oder Vorsatz: Unbeabsichtigte Verstöße werden mit geringeren Bußgeldern geahndet als vorsätzliche. Allerdings liegt nach DSGVO die Beweispflicht immer beim Verantwortlichen, der den Verstoß begangen hat. Er muss nachweisen können, dass er tatsächlich unbeabsichtigt gehandelt hat, damit Vorsatz ausgeschlossen werden kann.
- Ergriffene Maßnahmen zur Schadensminderung: Bei einem Verstoß, etwa einem Datenleck aufgrund mangelnder technischer Maßnahmen, sollte der Verantwortliche Maßnahmen ergreifen, um den Schaden zu minimieren. Die Reaktion auf das Bekanntwerden des Verstoßes wirkt sich auf die Höhe der Sanktion aus.
- Grad des Verschuldens: Das Grad des Verschuldens kann sich auf die Höhe der Sanktion auswirken. Hat ein Geschäftsführer etwa einen Datenschutzverstoß zu verantworten, der durch die Nachlässigkeit des bestellten Datenschutzbeauftragten entstanden ist, so ist das Grad des Verschuldens gering. Der Datenschutzbeauftragte könnte hierbei sogar haftbar gemacht werden.
- Wiederholung oder Erstverstoß: Ein einmaliger Datenschutzverstoß wird erwartungsgemäß nicht übermäßig streng sanktioniert werden. Begehen Verantwortliche jedoch wiederholt und/oder absichtlich Verstöße, so wird die Datenschutzbehörde strenger reagieren.
- Kooperationsbereitschaft mit der Behörde: Die Datenschutzbehörden haben neben der Verfolgung von Verstößen auch die Beratung der Unternehmen als Aufgabe. Da die DSGVO und deren Anwendung für viele Neuland ist, sollte zu erwarten sein, dass es zunächst zur Kontaktaufnahme und sogar zur Beratung durch Behörden kommt. Zeigt ein Unternehmen hierbei Kooperationsbereitschaft, kann sich dies mildernd auf Sanktionen auswirken.
- Art der betroffenen Daten: Die Art der Daten, die im Rahmen des Verstoßes verarbeitet, verwendet oder erhoben wurden, beeinflussen die Höhe des Bußgeldes ebenfalls. Umso sensibler die Daten sind, umso höher wird die Sanktion ausfallen. Werden etwa illegal Email-Adressen erhoben, ist der Verstoß weniger schwerwiegend als bei der illegalen Erhebung gesundheitlich-relevanter Daten von betroffenen Privatpersonen.
- Art des Bekanntwerdens des Verstoßes: Eine Selbstanzeige wirkt ggf. strafmildernd. Wird ein Datenschutzverstoß dagegen durch eine Anzeige Dritter oder sogar öffentlich durch die Presse bekannt, ist die Datenschutzbehörde angewiesen, den Verstoß strenger zu ahnden. Je geringer das öffentliche Interesse ist, desto eher können die Folgen eines Verstoß außerdem durch anwaltliche Vertretung gemindert werden.
- Umsetzung vorheriger Anordnungen durch die Datenschutzbehörde: Wie die Kooperationsbereitschaft wird bei der Bestimmung der Schwere eines Verstoßes auch das frühere Verhalten des verantwortlichen Unternehmens hinzugezogen. Hat die Datenschutzbehörde schon zuvor Maßnahmen angeordnet, wird die Einsicht und Umsetzung des Verantwortlichen berücksichtigt.
- Mildernde Umstände: Neben den bereits genannten mildernden Umständen, können individuelle Besonderheiten bestehen, die eine Milderung der Sanktionen begründen könnten.
Wer kann ein DSGVO-Bußgeld erhalten?
Die DSGVO ist ein Datenschutzgesetz, dessen weitläufige Umsetzung und internationale Anwendbarkeit seinesgleichen sucht. Auch wenn die Verordnung durch den europäischen Gesetzgeber geschaffen wurde und hauptsächlich auf eine Vereinheitlichung des Datenverkehrs innerhalb des europäischen Binnenmarkts abzielt, greift das Gesetz über die Grenzen Europas hinaus. Zudem werden nicht nur private Organisationen reguliert, sondern auch öffentliche Behörden.
Generell kann jeder auf Grundlage der DSGVO ein Bußgeld oder eine Sanktion erhalten. Die Organisationen, auf die sich die EU-DSGVO bezieht, können sachlich und regional definiert werden.
Sachliche Abgrenzung möglicher DSGVO-Bußgeldempfänger
Generell werden alle Personen, Organisationen oder Institute Gegenstand der DSGVO, die personenbezogene Daten erheben, verarbeiten oder verwenden. Personenbezogene Daten sind Datensätze, die direkte oder indirekte Rückschlüsse auf eine natürliche Person zulassen. Sowohl Daten wie Namen und Adresse als auch anonymisierte Daten, wie Onlinekennungen in einem Online-Forum, sind davon betroffen. Dementsprechend ist das Anwendungsgebiet der DSGVO breit gefächert. Eine Gewinnerzielungsabsicht ist nicht erforderlich. Potenzielle Empfänger eines DSGVO-Bußgeldes sind somit:
- Privatpersonen (bspw. Blogger)
- Vereine
- NGOs
- Öffentliche Institute und Behörden
- Unternehmen
- Einzelunternehmer und Freelancer
Regionale Abgrenzung möglicher DSGVO-Bußgeldempfänger
Eine weitere Abgrenzung ist aus regionaler Sicht möglich. Ziel der DSGVO ist es auch, den Datenverkehr über die EU-Grenzen hinaus zu regulieren, sofern personenbezogene Daten von EU-Einwohnern verarbeitet werden.
Vereine, Unternehmen und Behörden sind Regulierungsgegenstand der DSGVO, wenn:
- Personen aus dem EU-Gebiet zur Zielgruppe des Unternehmens gehören und Daten von EU-Bürgern verarbeitet, erhoben oder verwendet werden sollen.
- Der Verantwortliche einen Sitz in der EU hat und somit zwangsläufig personenbezogene EU-Daten verarbeitet.
Somit ist klar deutlich, dass auch internationale Unternehmen, etwa aus den USA, theoretisch durch die EU-Behörden zur Compliance gezwungen werden können. Diese internationale Ausrichtung des EU-Gesetzes hat zuletzt zu internationalen Spannungen geführt. Manche US-Unternehmen haben beispielsweise EU-Bürgern den Zugang zu ihren Webseiten verweigert, um sich dem Einzugsgebiet der DSGVO zu entziehen.
Welche Behörden können Sanktionen nach der DSGVO verhängen?
Die Sanktionen sollen von Datenschutzbehörden verhängt werden. Sie sind als Exekutive des Datenschutzrechts zu verstehen. Neben der Kontrolle und Überwachung, ist es ihre Aufgabe, Verantwortliche zu beraten. Ähnlich wie beim Finanzamt, gibt es Datenschutzbehörden, die je nach Standort eines Unternehmens regional zuständig sind. Deutsche Datenschutzbehörden gibt es auf Bundes- und Länderebene. Zudem existieren einzelne Behörden in den Bundesländern, die sich mit bestimmten Teilgebieten des Datenschutzrechts auseinandersetzen. Die internationale Verfolgung von Datenschutzverstößen nach DSGVO ist Aufgabe der europäischen Datenschutzbehörde.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Rechtlicher Schutz
Die DSGVO ist juristisches Neuland. Es mangelt an konkreten Richtlinien für die praktische Umsetzung im Alltag. Somit ist zu erwarten, dass viele Konfliktpunkte der gerichtlichen Klärung bedürfen. Die Ansichten der Datenschutzbehörden werden nicht immer mit denen der Gerichte übereinstimmen.
Das zeigt sich bereits in der Interpretation der DSGVO bezüglich des Umgangs mit Cookies. Während viele Unternehmen der Meinung sind, dass der Einsatz von Cookies beim Webtracking im Zuge eines berechtigten Interesses legitim ist, wurde auf der Konferenz der Datenschutzbehörden Gegenteiliges verkündet. Die rechtliche Ungewissheit sollte verdeutlichen, dass die Verteidigung und juristische Prüfung einer verhängten DSGVO-Sanktion meistens angemessen und erforderlich ist.
Anwaltliche Prüfung des Verstoßes
Sollten Sie ein Bußgeld wegen eines DSGVO-Verstoßes von ihrer zuständigen Datenschutzbehörde erhalten haben, so können wir eine juristische Prüfung vornehmen. Dabei interessiert besonders die Frage nach der Schuld und die Bewertung der Höhe der angesetzten Buße.
Unter Beachtung der oben aufgezählten Aspekte zur Bemessung eines Bußgeldes aus Art. 83 DSGVO prüfen wir, ob nicht mildernde Umstände vorliegen, die eine Entschärfung der verhängten Geldbuße gerechtfertigt erscheinen lassen. Zudem prüfen wir aktuelle gerichtliche Rechtsprechung, um zu prüfen, ob die Datenschutzbehörde gegenteilig zu den Ansichten der Gerichte handelt und unter Umständen überhaupt kein DSGVO-Verstoß vorliegt.
Klärung der Haftungsfrage
Art 83. DSGVO sieht eine unbedingte Ahndung von Datenschutzverstößen durch die Verhängung einer Geldbuße vor. Allerdings könnte ein Bußgeld abgewehrt werden, wenn die Haftung des Verstoßes einer anderen Person zuzuschreiben ist. Denkbar ist dies beispielsweise bei einer illegalne Handlung Dritter, etwa einem Hackerangriff, während der Verantwortliche alle notwendigen Maßnahmen ergriffen hat, um eine DSGVO-Konformität zu wahren.
Ferner könnte der externe Datenschutzbeauftragte haftbar gemacht werden, wenn er beispielsweise versäumt hat, die Geschäftsführung über das Bestehen eines Verstoßes zu informieren. Wurde der Datenschutzbeauftragte intern bestellt, wird aufgrund der inneren Betriebshaftung dagegen auch bei Fehlverhalten des Datenschutzbeauftragten der Betrieb haftbar gemacht.
Außerdem sind Haftungen durch schweres vorsätzliches oder fahrlässiges Fehlverhalten von internen Mitarbeitern denkbar. In jedem Fall sollte die Haftung eines DSGVO-Verstoßes nach Verhängung eines Bußgeldes durch die Datenschutzbehörde geprüft werden.
Kommunikation mit der Behörde
Wurde der vorgeworfene Verstoß anwaltlich geprüft und wurden Umstände entdeckt, die eine Verringerung der verhängten Geldbuße oder eine Umwälzung auf eine haftende Person denkbar erscheinen lassen, können Sie über uns Kontakt mit der Datenschutzbehörde aufnehmen lassen.
Um juristische Fehltritte oder zusätzliche Schuldeingeständnisse zu vermeiden, sollte der Kontakt allerdings über Ihren persönlichen Rechtsanwalt erfolgen. Andernfalls besteht die Gefahr, dass die Umstände nicht entsprechend kommuniziert oder schlimmstenfalls zusätzliche Verstöße aufgedeckt werden. Daher sollte die Kommunikation nur mit anwaltlichem Beistand erfolgen.
Gerichtliche Klärung der Schuldfrage
Ist der vermeintliche Verstoß gegen das Datenschutzrecht von unserer Seite nicht nachvollziehbar, etwa weil es bereits eine Musterentscheidung durch ein Gericht gab, die den vorliegenden Sachverhalt anders bewerten lässt, so bedarf es einer gerichtlichen Klärung des Vorfalls. Wie bei allen Bußgeldern, besteht auch bei DSGVO-Geldbußen die Möglichkeit, Einspruch einzulegen. Anschließend kann dies zu einem gerichtlichen Prozess kommen, der eine endgültige Klärung der Schuldfrage herbeiführt.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Folgen von Verstößen
Neben dem DSGVO-Bußgeld kann ein Verstoß zusätzliche rechtliche Folgen mit sich bringen. Ist etwa ein Verstoß von wettbewerbsrechtlicher Relevanz, könnten Wettbewerber und Konkurrenten eine Abmahnung in Erwägung ziehen.
Abmahnungen durch Wettbewerber möglich
Wettbewerbsrechtlich-relevante Datenschutzverstöße können zu einer Abmahnung nach dem UWG oder dem UKlaG führen. Neben Wettbewerben können auch Verbraucher oder Wettbewerbs- und Verbraucherschutzverbände DSGVO-Verstöße abmahnen. Im Vergleich zu Verbrauchern oder Wettbewerbern, ist es die Aufgabe derartiger Verbände, Datenschutzverstöße zu ahnden, wenn diese verbraucherrechtliche oder wettbewerbsrechtliche Relevanz haben. Die Gefahr einer Abmahnung durch einen Verband ist um ein Vielfaches höher, zumal Verbände über das entsprechende Budget verfügen, um einen Fall vor Gericht ausfechten zu lassen.
Gewinnabschöpfung als weiteres Mittel
Wurde durch einen Datenschutzverstoß ein Gewinn erzielt, so ist auch eine Gewinnabschöpfung durch die Datenschutzbehörde denkbar. Wurden mit einer illegalen Praxis gewerblich Erträge erzielt, kann die Datenschutzbehörde eine Auszahlung dieser Gewinne veranlassen. Bei der Verfolgung halblegaler Geschäftsmodelle, die auf der illegitimen Verarbeitung von personenbezogenen Daten basieren, kann sogar die Insolvenz drohen.
Aufforderung zur Unterlassung des Verstoßes
Nach Art. 58 Abs. 2 DSGVO kann die Datenschutzbehörde, ähnlich der Unterlassung, eine Beendigung des Verstoßes oder eine Beseitigung der verursachenden Umstände des Verstoßes anordnen.
Schadensersatz gegenüber Verbrauchern
Hat ein Datenschutzverstoß stattgefunden, wobei etwa sensible Daten von Verbrauchern illegalerweise weitergegeben wurden, so kann ein zivilrechtlicher Anspruch auf Schadensersatz bestehen. Es ist zu erwarten, dass auch Verbraucher zukünftig dieses Rechtsmittel ausschöpfen und ihr Grundrecht auf informationelle Selbstbestimmung verteidigen.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Vorteile der Verteidigung gegen Bußgelder
Typische Fehler im Umgang mit Bußgeld durch Datenschutzbehörde
Der Erhalt eines DSGVO-Bußgeldes ist ein ernstzunehmender Umstand, der nicht ignoriert werden sollte. Es gibt eine Reihe von typischen Fehlern, die die Verteidigung erschweren. Da die Verstöße durch die Datenschutzbehörde meistens zu streng bewertet oder die Bußgelder zu hoch angesetzt sind, ist eine anwaltliche Verteidigung das beste Mittel, um einen der folgenden typischen Fehler zu vermeiden.
Beispiele für DSGVO Datenschutz-Verstöße
| DSGVO Datenschutz Abmahnung | Ergebnis | Gründe |
|---|---|---|
| Fehlender Hinweis auf Erhebung in Datenschutzerklärung | Verboten | Nach Art. 13 DSGVO muss jedes Verfahren zur Erhebung von personenbezogenen Daten in der Datenschutzerklärung explizit erwähnt werden. Sollte beispielsweise ein Plugin vergessen worden sein, so kann dies als Datenschutzverstoß gewertet werden. Fehlerhafte Datenschutzerklärungen waren nach Rechtsprechung schon vor der DSGVO abmahnfähig. |
| Speicherung anonymisierter IP-Adressen mit Möglichkeit auf regionale Lokalisierung | Erlaubt | Durch die Anonymisierung der IP-Adresse handelt es sich nicht mehr um personenbezogene Daten, da keine eindeutige Zuordnung zu einer Person mehr möglich ist. Die Erhebung bedarf somit keiner Einwilligung. |
| Facebook-Retargeting mit vorausgegangener Einwilligung | Erlaubt | Hat der Betroffene eingewilligt, so können Cookies platziert werden, um später personalisierte Werbung auf Facebook auszuspielen. Es bedarf allerdings der Möglichkeit zum Widerspruch |
| Keine Ernennung eines Datenschutzbeauftragten trotz Notwendigkeit | Verboten | Wird trotz Notwendigkeit kein Datenschutzbeauftragter bestellt, so liegt ein schwerer Verstoß vor, der wohlmöglich auch wettbewerbsrechtlich-relevant und damit abmahnfähig ist. |
| Einbindung externer Google Fonts auf Webseite ohne Erwähnung in der DSE | Verboten | Externe Google Fonts übermitteln bei Besuchen der Webseite die IP-Adresse an die Google Server. Dieser Übermittlung muss eindeutig zugestimmt oder komplett vermieden werden, da sie vermeidbar ist. |
| Webtracking mit Google Analytics mit Möglichkeit zum Widerspruch (Opt-Out) | Umstritten | Das Webtracking könnte als berechtigtes Interesse für Unternehmer nach Art. 6 DSGVO verstanden werden und würde daher nur eines Widerspruchs bedürfen. Fraglich ist, ob zwingend eine Einwilligung (Opt-In) erforderlich ist. |
| Versand von Werbemails ohne dokumentierte Einwilligung im Verfahrensverzeichnis | Verboten | Auch zuvor gesammelte Mail-Adressen für Werbezwecke mit Einwilligung bedürfen einer Dokumentation. Ist diese nicht vorhanden, ist diese erneut einzuholen. Aufgrund der wettbewerbsrechtlichen Relevanz wahrscheinlich abmahnfähig. |
| Kontaktformular auf Webseite ohne alternative Kontaktmöglichkeit | Verboten | Bei der Benutzung eines Kontaktformulars werden meistens Daten erhoben. Dies bedarf einer Einwilligung. Zudem darf kein Betroffener durch abstinente Einwilligung benachteiligt werden, weshalb eine Alternative Kontaktmöglichkeit, etwa über einen E-Mail-Direktlink, vorhanden sein muss. |
| Erhebung überflüssiger Daten zur Erreichung des Zwecks | Verboten | Aufgrund des Gebotes der Datensparsamkeit dürfen nur Daten erhoben werden, die zwangsläufig zur Erreichung des Zwecks notwendig sind. Beim E-Mail-Marketing wäre dies etwa die ausschließliche Erhebung der Mail-Adresse. |
Als eine auf Verteidigung gegen Bußgelder und den allgemeinen Datenschutz spezialisierte Kanzlei werden wir Ihre DSGVO-Sanktion zunächst kostenfrei einschätzen. Die Überprüfung ist unverbindlich – Sie erhalten eine sofortige Erfolgseinschätzung. Erst wenn die Verteidigung Aussicht auf Erfolg, werden wir die Behörde kontaktieren, um die Reduzierung oder Rücknahme der Geldbuße anzustreben. In allen anderen Fällen ist unsere Prüfung für Sie komplett kostenfrei.
DSGVO Bußgeld: Hilfe vom Rechtsanwalt
✔ GÜNSTIG ✔ SCHNELL ✔ RECHTSSICHER
Offene Fragen? – Einfach anrufen:
(Mo. – So. von 9 – 22 Uhr / BUNDESWEIT – Dt. Festnetz)
Unsere Prinzipien bei Abwehr eines DSGVO Datenschutz Bußgelds
Ihre Fragen und unsere Antworten DSGVO Strafen/ Bußgeldern
Stellen Sie hier Ihre Frage
Ihr Unternehmensrechts-Team
Andre Kraus
Fachanwalt für Insolvenzrecht
Ahaliya Kapilan
Rechtsanwältin
Oksana Enns
Dipl. Wirtschaftsjuristin
Sara Garcia Corraliza
Rechtsanwältin
und ein Team
von juristischen Beratern, Diplom Juristen und weiteren Rechtsanwälten
Unsere Mandanten vertrauen uns auch in folgenden Fachgebieten
FIRMA
GRÜNDEN
MARKE
SCHÜTZEN
BEWERTUNG
LÖSCHEN
AGB
ERSTELLEN
FIRMA
FINANZIEREN
RECHTSTEXT
ERSTELLEN
DATENSCHUTZ
EINHALTEN
MITARBEITER
EINSTELLEN
BUCHHALTUNG
AUSLAGERN
Mitgliedschaften
