DSGVO-Bußgelder & Strafen

DSGVO-Bußgelder und Sanktionen im Überblick

Die Datenschutz-Grundverordnung (DSGVO) sieht in den Artikeln 83 und 84 empfindliche Bußgelder und Sanktionen für Verstöße vor. Die hohen Bußgeldrahmen sollen sicherstellen, dass Datenschutzverstöße für Unternehmen jeder Größe spürbare Konsequenzen haben. Seit Inkrafttreten der DSGVO im Mai 2018 haben europäische Aufsichtsbehörden Bußgelder in Milliardenhöhe verhängt.

Die zwei Bußgeldrahmen (Art. 83 DSGVO)

Die DSGVO unterscheidet zwei Stufen von Bußgeldern, abhängig von der Schwere des Verstoßes:

Stufe 1: Bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes

Diese Bußgeldstufe gilt für Verstöße gegen:

• Pflichten des Verantwortlichen und Auftragsverarbeiters (Art. 8, 11, 25–39, 42, 43) — einschließlich Verarbeitungsverzeichnis, TOMs, Datenschutz-Folgenabschätzung, DSB-Benennung und Auftragsverarbeitung.
• Pflichten der Zertifizierungsstelle (Art. 42, 43).
• Pflichten der Überwachungsstelle (Art. 41 Abs. 4).

Es gilt jeweils der höhere Betrag: 10 Millionen Euro oder 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Stufe 2: Bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes

Diese höhere Bußgeldstufe gilt für die schwerwiegendsten Verstöße:

• Grundsätze der Verarbeitung (Art. 5, 6, 7, 9) — einschließlich fehlender Rechtsgrundlage, Zweckbindung, Datenminimierung.
• Betroffenenrechte (Art. 12–22) — Auskunft, Löschung, Widerspruch, Datenübertragbarkeit.
• Internationale Datenübermittlung (Art. 44–49) — Transfer in Drittländer ohne geeignete Garantien.
• Nationale Vorschriften — Verstöße gegen mitgliedstaatliche Datenschutzvorschriften.
• Nichtbefolgung von Anordnungen — Nichtbefolgung einer Anordnung der Aufsichtsbehörde (Art. 58 Abs. 2).

Auch hier gilt der jeweils höhere Betrag: 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes.

Bemessungskriterien für Bußgelder (Art. 83 Abs. 2)

Die Aufsichtsbehörden berücksichtigen bei der Festsetzung der Bußgeldhöhe zahlreiche Faktoren:

• Art, Schwere und Dauer des Verstoßes — Art und Umfang der betroffenen Verarbeitung, Zahl der Betroffenen und Ausmaß des Schadens.
• Vorsätzlichkeit oder Fahrlässigkeit — Vorsätzliche Verstöße werden deutlich härter bestraft als fahrlässige.
• Maßnahmen zur Schadensbegrenzung — Welche Maßnahmen hat der Verantwortliche ergriffen, um den Schaden für Betroffene zu mindern?
• Grad der Verantwortlichkeit — Unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen (Art. 25, 32).
• Frühere Verstöße — Frühere einschlägige Verstöße des Verantwortlichen oder Auftragsverarbeiters.
• Zusammenarbeit mit der Aufsichtsbehörde — Umfang der Kooperation bei der Aufklärung und Behebung des Verstoßes.
• Kategorien personenbezogener Daten — Besonders sensible Daten (Gesundheit, Biometrie, politische Meinungen) wiegen schwerer.
• Art der Kenntniserlangung — Wurde der Verstoß vom Verantwortlichen selbst gemeldet oder durch eine Beschwerde entdeckt?
• Zertifizierungen — Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren.
• Sonstige Umstände — Finanzielle Vorteile durch den Verstoß oder andere relevante erschwerende oder mildernde Umstände.

Prominente DSGVO-Bußgelder

Einige der höchsten DSGVO-Bußgelder verdeutlichen die Konsequenzen von Datenschutzverstößen:

• Meta (Facebook) — 1,2 Milliarden Euro (2023) — Irische Datenschutzbehörde (DPC). Grund: Unzulässiger Transfer personenbezogener Daten europäischer Nutzer in die USA ohne geeignete Schutzmaßnahmen. Das höchste DSGVO-Bußgeld aller Zeiten.
• Amazon — 746 Millionen Euro (2021) — Luxemburgische Datenschutzbehörde (CNPD). Grund: Verstöße bei der Verarbeitung personenbezogener Daten für Werbezwecke ohne gültige Einwilligung.
• Meta (Instagram) — 405 Millionen Euro (2022) — Irische DPC. Grund: Unzureichender Schutz der Daten Minderjähriger, öffentlich sichtbare Kontaktdaten von Kindern.
• Meta (WhatsApp) — 225 Millionen Euro (2021) — Irische DPC. Grund: Mangelnde Transparenz bei der Information der Nutzer über die Datenverarbeitung.
• H&M — 35 Millionen Euro (2020) — Hamburgischer Beauftragter für Datenschutz. Grund: Umfangreiche Überwachung und Erfassung privater Details von Mitarbeitern — Gesundheit, Religion, familiäre Probleme — in einem Nürnberger Servicecenter.
• Deutsche Wohnen — 14,5 Millionen Euro (2019) — Berliner Beauftragte für Datenschutz. Grund: Systematische Verstöße gegen die Speicherbegrenzung — personenbezogene Daten von Mietern wurden ohne Rechtsgrundlage jahrelang gespeichert, ohne dass ein Löschkonzept existierte.

Schadensersatz nach Art. 82 DSGVO

Neben Bußgeldern können betroffene Personen Schadensersatz für materielle und immaterielle Schäden geltend machen (Art. 82 DSGVO). Der EuGH hat in mehreren Urteilen klargestellt:

• Bereits ein Kontrollverlust über personenbezogene Daten kann einen immateriellen Schaden darstellen.
• Es gibt keine Bagatellgrenze — auch geringfügige Verstöße können Schadensersatzansprüche begründen.
• Verantwortlicher und Auftragsverarbeiter haften gesamtschuldnerisch, wenn beide am Verstoß beteiligt waren.
• Die Beweislast für die Einhaltung der DSGVO liegt beim Verantwortlichen (Umkehr der Beweislast, Art. 82 Abs. 3).

In der Praxis häufen sich Schadensersatzklagen — insbesondere nach Datenpannen mit großer Betroffenenzahl. Sammelklagen und Verbandsklagen nach Art. 80 DSGVO verstärken diesen Trend.

Strafrechtliche Sanktionen (Art. 84 DSGVO)

Art. 84 DSGVO ermächtigt die Mitgliedstaaten, zusätzliche Sanktionen für Verstöße festzulegen. In Deutschland regelt § 42 BDSG strafrechtliche Konsequenzen:

• Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe — Für die wissentlich unbefugte Verarbeitung nicht allgemein zugänglicher personenbezogener Daten einer großen Zahl von Personen gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht.
• Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe — Für die unbefugte Verarbeitung nicht allgemein zugänglicher Daten gegen Entgelt.

Strafrechtliche Konsequenzen treffen natürliche Personen — also Geschäftsführer, Vorstände oder Mitarbeiter, die vorsätzlich gegen Datenschutzvorschriften verstoßen.

Weitere Maßnahmen der Aufsichtsbehörden

Neben Bußgeldern stehen den Aufsichtsbehörden nach Art. 58 Abs. 2 DSGVO weitere Abhilfebefugnisse zur Verfügung:

• Warnungen — Hinweis, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen.
• Verwarnungen — Bei tatsächlichen Verstößen gegen die DSGVO.
• Anordnung der Berichtigung oder Löschung — Aufforderung, bestimmte Verarbeitungen zu ändern oder Daten zu löschen.
• Vorübergehende oder endgültige Beschränkung — Einschließlich eines Verbots der Verarbeitung.
• Aussetzung von Datenübermittlungen — Insbesondere bei Drittlandtransfers.

Vergleich: DSGVO- und NIS2-Bußgelder

Die NIS2-Richtlinie (EU 2022/2555) zur Cybersicherheit sieht vergleichbare Bußgeldrahmen vor:

• Wesentliche Einrichtungen — Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
• Wichtige Einrichtungen — Bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes.

Unternehmen, die sowohl unter die DSGVO als auch unter NIS2 fallen, müssen mit kumulativen Bußgeldrisiken rechnen. Eine Datenpanne kann gleichzeitig DSGVO-Meldepflichten und NIS2-Meldepflichten auslösen. Integrierte Compliance-Strategien, die beide Regelwerke abdecken, sind daher besonders effizient.

Bußgelder vermeiden: Prävention und Compliance

Die wirksamste Strategie gegen DSGVO-Bußgelder ist proaktive Compliance. Folgende Maßnahmen reduzieren das Risiko erheblich:

• Vollständiges und aktuelles Verarbeitungsverzeichnis (Art. 30)
• Dokumentierte Rechtsgrundlagen für alle Verarbeitungstätigkeiten
• Implementierte und regelmäßig überprüfte TOMs (Art. 32)
• Funktionierender DSAR-Prozess für Betroffenenanfragen
• Getesteter Incident-Response-Plan für die 72-Stunden-Meldepflicht
• Regelmäßige Datenschutz-Schulungen aller Mitarbeiter
• Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen
• Aktuelle Auftragsverarbeitungsverträge mit allen Dienstleistern
• Kooperation mit der Aufsichtsbehörde im Falle von Verstößen