Zum Inhalt springen

DSGVO und das Bußgeld? Verstöße und ihre Folgen.

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in der gesamten Europäischen Union (EU) in Kraft. Oberste Zielsetzung ist, den Schutz personenbezogener Daten verbessern. Unternehmen und Organisationen, die gegen die Vorgaben der DSGVO verstoßen, können mit empfindlichen Bußgeldern belegt werden.

In diesem Beitrag erfahren Sie, wann ein Bußgeld nach der DSGVO gefordert werden kann. Wir erläutern, welche Voraussetzungen dafür bestehen müssen, und welche weiteren Aspekte dabei eine Rolle spielen.

Verstöße gegen die DSGVO

Die DSGVO legt eine Reihe von Anforderungen fest, die Unternehmen und Organisationen bei der Verarbeitung personenbezogener Daten einhalten müssen. Ein Verstoß gegen die DSGVO kann unterschiedliche Gründe haben:

  • Unzureichende Datensicherheit: Unternehmen sind verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen. Es muss ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet sein. Dies kann beispielsweise durch Verschlüsselung, regelmäßige Sicherheitsüberprüfungen oder Zugangskontrollen erfolgen.
  • Fehlende Einwilligung der betroffenen Person: Die Verarbeitung personenbezogener Daten ist grundsätzlich nur mit einer vorherigen, ausdrücklichen Einwilligung zulässig. Die Einwilligung muss freiwillig, informiert und unmissverständlich erfolgen.
  • Mangelnde Transparenz bei der Datenverarbeitung: Unternehmen sind verpflichtet, betroffene Personen über die Verarbeitung ihrer Daten aufzuklären. Dies umfasst Informationen über den Zweck der Datenverarbeitung, die Empfänger der Daten und die Rechte der betroffenen Person.
  • Nichtbeachtung der Betroffenenrechte: Die DSGVO gewährt betroffenen Personen verschiedene Rechte, wie beispielsweise das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch. Unternehmen müssen entsprechende Verfahren einrichten, um diese Rechte zu gewährleisten.
  • Nichtbeachtung der Meldepflicht bei Datenpannen: Im Falle einer Datenschutzverletzung müssen Unternehmen dies innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Zudem sind in den meisten Fällen auch die betroffenen Personen zu informieren.

Bußgeld-Kategorien

Die DSGVO unterscheidet zwei Kategorien von Bußgeldern:

Bußgelder der Kategorie 1:

Können bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert höher ist. Beispiele für Verstöße in dieser Kategorie sind unzureichende technische und organisatorische Maßnahmen oder die Nichtbestellung eines Datenschutzbeauftragten.

Bußgelder der Kategorie 2

Können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert höher ist. Beispiele für Verstöße in dieser Kategorie sind mangelnde Transparenz bei der Datenverarbeitung oder Verletzung der Betroffenenrechte.

Die Zuordnung von Verstößen zu den Bußgeld-Kategorien hängt von der Schwere des Verstoßes und den betroffenen DSGVO-Artikeln ab.

Faktoren bei der Bußgeldbemessung

Die Datenschutzbehörden berücksichtigen bei der Bemessung eines Bußgelds verschiedene Faktoren, wie beispielsweise:

  • Art, Schwere und Dauer des Verstoßes: Die Behörden prüfen, wie viele Personen von dem Verstoß betroffen sind. Entscheidend ist zudem, ob es sich um einen einmaligen oder wiederholten Verstoß handelt. Auch die Dauer des Verstoßes ist für die Bemessung entscheiden.
  • Grad der Verantwortung des Verantwortlichen oder Auftragsverarbeiters: Die Behörden bewerten, inwieweit das Unternehmen für den Verstoß verantwortlich ist. Entscheidend ist in diesem Zusammenhang, ob es angemessene Maßnahmen zur Vermeidung von Verstößen getroffen hat.
  • Zusammenarbeit mit der Aufsichtsbehörde: Unternehmen, die aktiv mit den Datenschutzbehörden zusammenarbeiten, können unter Umständen mit einer niedrigeren Geldbuße rechnen. Mindernd wirkt sich auch der Umstand aus, wenn notwendige Maßnahmen ergriffen werden, um den Verstoß zu beheben.
  • Vorherige Verstöße gegen die DSGVO: Wenn ein Unternehmen oder eine Organisation bereits in der Vergangenheit gegen die DSGVO verstoßen hat, kann dies zu höheren Bußgeldern führen.
  • Finanzielle Situation des Unternehmens: Die finanzielle Leistungsfähigkeit des Unternehmens ist bei der Festsetzung der Höhe des Bußgelds entscheidend. Bemessen ist das Bußgeld maßgeblich am Umsatz. Die soll sicherzustellen, dass die Geldbuße wirksam, verhältnismäßig und abschreckend ist.

Bußgeldvermeidung durch Compliance

Um Bußgelder nach der DSGVO zu vermeiden, sollten Unternehmen und Organisationen ihre Datenschutzmaßnahmen regelmäßig überprüfen und an die aktuellen Anforderungen anpassen. Dazu gehört unter anderem:

  • Benennung eines Datenschutzbeauftragten: Ein Datenschutzbeauftragter (DSB) sollte ernannt werden, um die Einhaltung der DSGVO zu überwachen und das Unternehmen in Datenschutzfragen zu beraten. In bestimmten Fällen ist die Bestellung eines DSB gesetzlich vorgeschrieben.
  • Implementierung technischer und organisatorischer Maßnahmen (TOM) zum Datenschutz: Unternehmen müssen sicherstellen, dass ihre Systeme und Prozesse so gestaltet sind, dass sie den Schutz personenbezogener Daten gewährleisten. Dies kann beispielsweise durch Datenschutz-Folgenabschätzungen oder regelmäßige Sicherheitsüberprüfungen erreicht werden.
  • Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn eine geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Die DSFA hilft dabei, potenzielle Risiken zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen.
  • Regelmäßige Schulung von Mitarbeitern im Bereich Datenschutz: Die Schulung der Mitarbeiter im Bereich Datenschutz ist entscheidend, um sicherzustellen, dass sie die Anforderungen der DSGVO kennen und einhalten. Regelmäßige Schulungen und Weiterbildungen helfen dabei, das Datenschutzbewusstsein im Unternehmen zu stärken und Verstöße zu vermeiden.
  • Etablierung von Datenschutzrichtlinien und -verfahren: Unternehmen sollten interne Datenschutzrichtlinien und -verfahren entwickeln und implementieren, um einen einheitlichen und systematischen Ansatz für den Schutz personenbezogener Daten sicherzustellen. Diese Richtlinien sollten regelmäßig überprüft und aktualisiert werden, um sie an die sich ändernden Anforderungen der DSGVO anzupassen.
  • Dokumentation der Datenverarbeitungstätigkeiten: Die DSGVO verlangt von Unternehmen und Organisationen, ihre Datenverarbeitungstätigkeiten zu dokumentieren. Dies ermöglicht eine bessere Transparenz und Kontrolle und erleichtert die Zusammenarbeit mit Datenschutzbehörden im Falle einer Untersuchung.

Fazit

Ein Bußgeld nach der DSGVO kann bei verschiedenen Verstößen gegen die Vorgaben der Verordnung gefordert werden. Um solche Bußgelder zu vermeiden, ist es wichtig, sich kontinuierlich mit den Anforderungen der DSGVO auseinanderzusetzen. Notwendige Datenschutzmaßnahmen müssen ergriffen werden.

Dies umfasst die Benennung eines Datenschutzbeauftragten, die Implementierung technischer und organisatorischer Maßnahmen zum Datenschutz, die Durchführung von Datenschutz-Folgenabschätzungen, die Schulung von Mitarbeitern, die Etablierung von Datenschutzrichtlinien und -verfahren sowie die Dokumentation der Datenverarbeitungstätigkeiten. Durch eine proaktive und systematische Herangehensweise an den Datenschutz können Unternehmen und Organisationen die Einhaltung der DSGVO sicherstellen und mögliche Bußgelder vermeiden.

Aktuelle Beiträge

Überwachungskamera Kamera

Die Überwachungskamera des Nachbarn

Das Amtsgericht München urteilte, dass eine auf dem Nachbargrundstück aufgestellte Überwachungskamera die Persönlichkeitsrechte verletzen kann… Die Überwachungskamera des Nachbarn

amazon Markenrechtsverletzung

Anhängen auf Amazon verletzt Markenrechte 

Eine Marke wirkt vertrauensbildend und verkaufsfördernd, sie verschafft zudem ihrem Inhaber exklusive Nutzungsrechte. Nur er… Anhängen auf Amazon verletzt Markenrechte 

Verein Nutzungsrecht

Nutzungsrechte für ein Vereinslogo nach dem Ausscheiden des Urhebers 

Wenn ein Vereinsmitglied ein Logo entwirft und seinem Verein hierfür das Nutzungsrecht einräumt, bleibt dieses… Nutzungsrechte für ein Vereinslogo nach dem Ausscheiden des Urhebers 

Björn Wrase

Björn Wrase

RA Björn Wrase: Anwalt für AI/KI- & IT-Recht, Medien- und Urheberrecht, Wettbewerbsrecht, Markenrecht und DatenschutzView Author posts