Seit fast vier Jahren gilt die Datenschutz-Grundverordnung (DS-GVO), aber viele Unternehmen tun sich weiterhin schwer damit, sie einzuhalten. Als einen Grund nennen Datenschutzverantwortliche laut einer Umfrage des Branchenverbands Bitkom ständige Änderungen bei diesem Thema. Vor allem kleinen und mittelgroßen Betrieben (KMU) fehlten die personellen und/oder finanziellen Ressourcen zur Einhaltung der Vorgaben. Drei Viertel der Befragten meinen, die komplexen Regelungen beziehungsweise neue Auslegungen etwa durch Gerichtsurteile würden sie sogar bei Innovationen ausbremsen. Ignorieren sollte man die Datenschutz-Grundverordnung dennoch nicht. Ein bisweilen erhebliches Bußgeld droht bei Verstößen gegen die DS-GVO in Deutschland sowie der gesamten EU. Beim Inkrafttreten nannte die Verordnung noch allgemein Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Inzwischen nutzen die deutschen Datenschutzaufsichtsbehörden bei der DS-GVO einen eigens entwickelten Bußgeldkatalog. Auch andere Länder in Europa verhängen bei Verstößen gegen die DS-GVO teils enorme Bußgelder. Unternehmerinnen und Unternehmer sollten das Thema mit der Anwaltskanzlei besprechen.
Ein Bußgeld wegen der DS-GVO kann aus vielen Gründen drohen
Die Datenschutz-Grundverordnung regelt, wie und in welchem Umfang ein Unternehmen personenbezogene Daten zu Kunden oder Beschäftigten sammeln beziehungsweise verarbeiten darf. Der Gesetzgeber will durch klare Vorgaben verhindern, dass jemand Nachteile erleidet, weil persönliche Daten falsch sind oder zweckwidrig zum Einsatz kommen. Denn den Betroffenen könnten so lebenslange Nachteile entstehen, ohne dass sie die Ursache dafür kennen. Deshalb stärkt die DS-GVO die Rechte jener Menschen, mit deren personenbezogenen Daten ein Unternehmen arbeitet, durch
- den Grundsatz der Datenvermeidung und Datensparsamkeit – es werden so wenig Daten wie unbedingt erforderlich erhoben,
- das informationelle Selbstbestimmungsrecht des Einzelnen – die Betroffenen entscheiden über die Verwendung ihrer Daten,
- das Verbotsprinzip mit Erlaubnisvorbehalt – das Unternehmen braucht die Zustimmung zur Datenverwertung,
- den Grundsatz der Zweckbindung – Daten sind nur für die vereinbarten Zwecke nutzbar,
- den Grundsatz der Transparenz – die Betroffenen können über sie gesammelte Daten abfragen,
- die Gewährleistung der Datensicherheit – Daten sind gut zu schützen,
- eine nachhaltige Aufsicht – Datenpannen sind zu melden.
Die Bandbreite der möglichen Regelverletzungen ist enorm
Damit alle Unternehmen die Vorgaben der Datenschutz-Grundverordnung einhalten, droht bei Verstößen gegen die DS-GVO in Deutschland und anderen Ländern der EU – falls man dort aktiv ist – ein Bußgeld. In Deutschland nutzen die Datenschutzaufsichtsbehörden einen für die DS-GVO selbstentwickelten Bußgeldkatalog. Auch andere Staaten in Europa verhängten wegen der DS-GVO schon Bußgelder. Die Bandbreite der Regelverletzungen beim Verarbeiten personenbezogener Daten ist enorm, sie reicht von Formfehlern bis zum Datendiebstahl. Bußgelder drohen etwa, wenn
- auf der Unternehmens-Webseite die Datenschutzerklärung fehlt oder fehlerhaft ist,
- Kontaktformulare auf der Homepage unverschlüsselt personenbezogene Daten übertragen,
- das Unternehmen keinen Datenschutzbeauftragten hat, obwohl es dazu verpflichtet ist, oder
- Hacker personenbezogene Daten stehlen – und das Unternehmen diese Datenschutzverletzung schlimmstenfalls sogar vertuscht.
Ausnahmen bei der DS-GVO gibt es nicht nur in Deutschland für kleine Betriebe – in manchen Fällen droht ihnen nicht das Bußgeld, das großen Unternehmen trifft. Um sich hier Klarheit zu verschaffen, sollten Firmenchefs und -chefinnen dazu anwaltlichen Rat einholen.
Verstoß gegen DS-GVO: Hohes Bußgeld in Deutschland und EU
In Deutschland haben sich die Datenschutzaufsichtsbehörden bei der DS-GVO langsam ans Thema Bußgeld herangetastet. Auf 20.000 Euro belief sich die erste Strafe für einen Verstoß gegen die Datenschutz-Grundverordnung. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) verhängte sie im Herbst 2018 gegen eine Chat-Plattform. Wegen schlechter Sicherheitsmaßnahmen hatten Hacker personenbezogene Daten von 330.000 Nutzern erbeutet, darunter Passwörter und E-Mail-Adressen. Ein Jahr später sprach der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) gegen eine Wohnungsgesellschaft ein Bußgeld von 14,5 Millionen Euro aus. Ihr Archivsystem zum Erfassen personenbezogener Daten bot keine Möglichkeit zur Löschung nicht mehr erforderlicher Daten. Das Unternehmen wehrt sich dagegen. Im Oktober 2020 reizte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) den neuen Bußgeldkatalog für die DS-GVO weiter aus und verhängte für die Überwachung der Beschäftigten das bisher größte Bußgeld von über 35 Millionen Euro gegen einen Modehändler – eines der höchsten Bußgelder innerhalb von Europa beziehungsweise der EU.
In der EU gab es durch die DS-GVO manches erhebliche Bußgeld
Ein wegen der DS-GVO gemäß dem in Deutschland geltenden Bußgeldkatalog verhängtes Bußgeld von über 35 Millionen Euro – das klingt nach viel, doch es hat in der EU beziehungsweise Europa schon höhere Bußgelder gegeben. Europäische Datenschutzbehörden verhängten allein im dritten Quartal 2021 Rekordstrafen in Höhe von fast einer Milliarde Euro. Zum Vergleich: Im gesamten Jahr 2020 waren es nur gut 300 Millionen. Die Top-Drei-Bußgelder seit Inkrafttreten der DS-GVO: 764 Millionen Euro soll Amazon in Luxemburg zahlen, 225 Millionen WhatsApp in Irland, 90 Millionen Google in Frankreich. Dabei ging es unter anderem um unerlaubte Weitergabe von Daten an Dritte, Verletzung der Informationspflichten, den falschen Umgang mit Cookies. Oft gehen die Betroffenen gegen diese Rekordstrafen vor, zumal es meistens finanzstarke amerikanische Digitalkonzerne trifft. Aber der Trend ist klar. Das Bußgeld bei einem Verstoß gegen die DS-GVO dürfte nach dem Bußgeldkatalog in Deutschland und den bisher verhängten Bußgeldern in Europa zunehmend höher ausfallen.
Für Verletzung der DS-GVO existiert ein eigener Bußgeldkatalog
Laut Gesetzestext droht beim Verstoß gegen die DS-GVO in Deutschland wie auch in der EU ein Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Wert höher ist. Zudem legt die DS-GVO für Bußgelder in Europa einen Katalog von Bemessungskriterien fest. In der Bewertung haben die Datenschutzbehörden einen erheblichen Ermessensspielraum, weshalb stark variieren kann, wie hoch Bußgelder und weitere Sanktionen ausfallen. Zu berücksichtigen sind bei der Bußgeldbemessung unter anderem
- die Art, Schwere und Dauer des Verstoßes,
- ein möglicher Vorsatz oder Fahrlässigkeit,
- jegliche getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens,
- der Grad der Verantwortung im Hinblick auf die technischen und organisatorischen Maßnahmen,
- frühere Verstöße gegen Datenschutzrecht,
- der Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde,
- die Kategorien der durch den Verstoß betroffenen Daten,
- die Art und Weise, wie der Verstoß bekannt gemacht wurde – insbesondere eine eventuelle Selbstanzeige – sowie
- die Einhaltung früher angeordneter Maßnahmen.
Für Bußgelder wegen der DS-GVO gibt es in Europa spezielle Verfahren
Bei Verstößen gegen die DS-GVO in Deutschland errechnet sich das Bußgeld nach einem Bußgeldkatalog, auf den sich die hiesigen Datenschutzaufsichtsbehörden geeinigt haben – in der EU oder Europa könnten andere Bußgelder drohen. In Deutschland gilt ein fünfstufiges Verfahren. Es beginnt mit der Kategorisierung der Unternehmen nach vier Größenklassen. Sie reichen vom Kleinstunternehmen mit einem Jahresumsatz unter zwei Millionen Euro bis zum Großunternehmen mit über 50 Millionen Euro Jahresumsatz. Es folgt die Bestimmung des mittleren Jahresumsatzes sowie die Ermittlung eines sogenannten wirtschaftlichen Grundwertes, aus dem sich ein durchschnittlicher Tagessatz errechnet. Dieser Tagessatz wird mit der Schwere der Datenschutzverletzung multipliziert. Zuletzt findet eine Anpassung des Grundwertes anhand sonstiger für und gegen den Betroffenen sprechenden Umstände statt, beispielsweise eine drohende Zahlungsunfähigkeit.
Das ist das DS-GVO-Bußgeld laut Bußgeldkatalog in Deutschland
Das klingt komplizierter, als es ist. Bei einem kleinen Unternehmen mit einem mittleren Jahresumsatz von 6,25 Millionen Euro beträgt der Tagessatz rund 17.400 Euro. Bei einem schweren Verstoß gegen die DS-GVO wäre er mit einem Faktor von acht bis zwölf zu multiplizieren. Macht eine Strafe in Form von Bußgeld in einer Höhe zwischen 140.000 und 210.000 Euro. Damit läge das Bußgeld als Strafe für einen Verstoß gegen die DS-GVO immer noch unter der im Gesetz genannten Obergrenze von bis zu vier Prozent des globalen Jahresumsatzes. Aber es käme diesem Wert schon ziemlich nahe. Unternehmerinnen und Unternehmer, die sich solche Strafzahlungen lieber sparen wollen, sollten Rücksprache mit ihrer Anwaltskanzlei halten, um eventuelle Verstöße gegen die Datenschutz-Grundverordnung bestmöglich zu verhindern.
Neben Bußgeld haben DS-GVO-Verstöße in Deutschland weitere Folgen
Bei Verstößen gegen die DS-GVO droht in Deutschland nicht nur ein nach dem Bußgeldkatalog errechnetes Bußgeld. Die Aufsichtsbehörden können auch Anordnungen aussprechen, etwa zur vorübergehenden Beschränkung der Verarbeitung von Daten. Selbst ein endgültiges Verbot wäre möglich. Unternehmen müssen außerdem mit einem massiven Imageverlust rechnen, weil solche Vorfälle für Schlagzeilen sorgen. Außerdem könnten die von einem Verstoß gegen die DS-GVO betroffenen Beschäftigten oder Kunden auch noch einen Anspruch auf Schadenersatz stellen. Sogar strafrechtliche Folgen sind möglich – ja nach Art und Schwere des Vorfalls. Abmahnungen von Verbraucherschützern oder Wettbewerbern könnten ebenfalls ins Haus flattern. Außerdem müssen Unternehmen sich oft mit arbeitsrechtlichen Konsequenzen beschäftigen, wenn Verstöße gegen die DS-GVO von einzelnen Personen im Betrieb ausgegangen sind und es gilt, diese zur Verantwortung zu ziehen.
Um solche Probleme zu vermeiden, sollten Firmenchefs und -chefinnen mithilfe dieser Checkliste rechtzeitig alle Themen rund um die DS-GVO mit der Anwaltskanzlei besprechen. Damit lässt sich viel künftiger Ärger vermeiden. Die wesentlichen Aspekte der DS-GVO sind auch in diesem Video noch einmal zusammengefasst.