Bußgelder und Strafen nach der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz

Zusammenfassung

Überblick

In der Datenschutz-Grundverordnung (DSGVO) wurden neue Strafnormen eingefügt, die deutlich strenger sind als die zuvor durch die alte Fassung des Bundesdatenschutzgesetzes festgelegten. Das BDSG-Neu ergänzt die Strafnormen.

Gesetze, Vorschriften und Rechtsprechung

Art. 83 DSGVO, § 42 BDSG^[1]

[1] Wann gilt die DSGVO, wann das BDSG?

Die Strafvorschriften des BDSG gelten, soweit die DSGVO nicht unmittelbar gilt. Das kann vorkommen, da die DSGVO den Rahmen schafft, aber jedes EU-Land auch eigene Ergänzungen erlassen darf. Die Strafvorschriften des BDSG gelten daher, wenn ein Datenschutzverstoß vorliegt, der in der DSGVO nicht berücksichtigt ist.

1 Höhe der möglichen Strafen

Für bestimmte Verstöße sind Geldbußen bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres festgelegt, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 5 DSGVO).

Hier muss unterschieden werden. Die genannte Geldstrafe wird im Fall schwerer Verstöße verhängt. Hierzu zählen u. a. Verstöße gegen die Grundsätze der Verarbeitung, einschließlich der Bedingungen der Einwilligung nach Art. 5,6,7 und 9. Diese Artikel legen die Grundprinzipien der Datenverarbeitung, die Voraussetzungen für die Rechtmäßigkeit und die besonderen Anforderungen bei sensiblen Daten fest, um die Rechte und Freiheiten der betroffenen Personen zu schützen. Einfluss haben auch die Bemessungsregeln (s. unten). Auch wird zwischen Ordnungswidrigkeiten und Straftaten unterschieden. Die unten stehende Tabelle zeigt dies auf.

Das BDSG enthält in § 42 Strafvorschriften für bestimmte Datenschutzverstöße:

• § 42 Abs. Abs. 1 sieht eine Freiheitsstrafe bis zu 3 Jahren oder Geldstrafe vor, wenn jemand wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und dabei gewerbsmäßig handelt.

• Nach § 42 Abs. 2 wird mit Freiheitsstrafe bis zu 2 Jahren oder Geldstrafe bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder zu schädigen. Im Unterschied zu Abs. 1 muss in diesem Fall keine "große Zahl" von Personen betroffen sein.

Die Strafverfolgung erfolgt gem. § 42 Abs. 3 nur auf Antrag der betroffenen Person, des Verantwortlichen, des Bundesbeauftragten oder der Aufsichtsbehörde.

§ 42 Abs. 4 regelt, dass Meldungen nach Art. 33 oder 34 DSGVO in einem Strafverfahren gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden dürfen. Diese beiden Artikel regeln die Meldepflicht des Verantwortlichen bei Verletzungen des Schutzes personenbezogener Daten und die Meldepflicht gegenüber den Betroffenen.

2 Schadenersatzansprüche

Neben den Bußgeldern, die von den Aufsichtsbehörden bei Verstößen gegen die DSGVO verhängt werden können, sieht die DSGVO auch Schadenersatzansprüche für betroffene Personen vor. Dies stellt ein zusätzliches Haftungsrisiko bei DSGVO-Verstößen dar.

Artikel 82 der DSGVO regelt diese Schadenersatzansprüche:

• Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.
• Sowohl materielle Schäden (z. B. Kosten für Rechtsverfolgung) als auch immaterielle Schäden (z. B. Schmerzensgeld) können geltend gemacht werden.
• Es müssen die zivilrechtlichen Voraussetzungen für einen Schadenersatzanspruch vorliegen, insbesondere ein Verstoß gegen die DSGVO als Pflichtverletzung und ein kausaler Schaden.
• Verantwortliche und Auftragsverarbeiter haften gesamtschuldnerisch für den entstandenen Schaden.
• Die Beweislast für das Vorliegen eines Schadens und den ursächlichen Zusammenhang mit dem Verstoß trägt grundsätzlich der Geschädigte.

3 Zuständigkeiten und Bemessungsregeln

Die Bewertung, Verfolgung und Ahndung von Datenschutzverstößen ist Aufgabe der zuständigen Aufsichtsbehörden. Zu diesen zählen insbesondere die Bundesdatenschutzbeauftragten sowie die Datenschutzbeauftragten der Länder. Gegenüber diesen können Betroffene mögliche Verstöße auch melden.

Jede Aufsichtsbehörde hat sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Das erklärt auch den Grund für die Höhe der Strafen: Personenbezogene Daten sind sehr viel Geld wert. Viele Geschäftsmodelle sind inzwischen nur durch die Nutzung dieser Daten möglich. Um der Schutzwürdigkeit personenbezogener Daten Nachdruck zu verleihen, sind die Strafen hoch angesetzt.

Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu den Anweisungen und Verwarnungen nach Art. 58 Abs. 2 DSGVO verhängt oder auch anstelle solcher Maßnahmen (Art. 83 Abs. 1 DSGVO).

Art. 58 Abs. 2 legt fest, dass die Aufsichtsbehörden befugt sind, Verwarnungen aussprechen, wenn bestimmte beabsichtigte Verarbeitungsvorgäng...