Verstoß gegen die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Unrechtmäßige Verarbeitung von personenbezogenen Daten (Art. 6)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bedingungen für die Einwilligung in die personenbezogene Datenverarbeitung (Art. 7)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (Art. 8)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Pflichten bei Verarbeitung von besonderen personenbezogenen Daten (Art. 9)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Pflichten bei Verarbeitung von Daten, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (Art. 11)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Rechte der von den Daten betroffenen Person, z. B. Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrecht etc. (Art. 12 bis 22)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Unzureichende Technikgestaltung zum Datenschutz/keine datenschutzfreundlichen Voreinstellungen (Art. 25)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen für gemeinsame Verantwortliche (Art. 26)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen für Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern (Art. 27)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen für Auftragsverarbeiter (Art. 28)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Pflichten bei Verarbeitung von personenbezogenen Daten unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters (Art. 29)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zum Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Keine Zusammenarbeit mit der Aufsichtsbehörde trotz entsprechender Anfrage (Art. 31)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zur Sicherheit der personenbezogenen Datenverarbeitung (Art. 32)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verletzungen des Schutzes personenbezogener Daten nicht/zu spät (ohne Begründung)/in unzureichender Weise an die Aufsichtsbehörde gemeldet (Art. 33)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Person, die von einer Verletzung des Schutzes personenbezogener Daten betroffen ist, nicht vorschriftsgemäß benachrichtigt (Art. 34)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zur Datenschutz-Folgenabschätzung (Art. 35)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zur vorherigen Konsultation (Art. 36)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Keine vorschriftsgemäße Benennung eines Datenschutzbeauftragten (Art. 37)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zur Stellung des Datenschutzbeauftragten (Art. 38)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zu den Aufgaben des Datenschutzbeauftragten (Art. 39)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Als Überwachungsstelle im Falle einer Verletzung der genehmigten Verhaltensregeln keine geeigneten Maßnahmen getroffen (Art. 41 Abs. 4)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen in Bezug auf die Zertifizierung der DSGVO-Konformität (Art. 42)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen für Zertifizierungsstellen (Art. 43)
bis zu 10.000.000 €
… für Unternehmen
bis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (Art. 44 bis 49)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Nichtbefolgung einer Anweisung der Aufsichtsbehörde, obwohl diese die entsprechende Befugnis besitzt (Art. 58)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
Verstoß gegen die Vorschriften für besondere Verarbeitungssituationen (Art. 85 bis 91)
bis zu 20.000.000 €
… für Unternehmen
bis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr*
* Es wird der höhere Betrag verhängt.
Weitere Bußgelder zum Datenschutz: Sanktionen gemäß BDSG
Neben den Bußgeldvorschriften der DSGVO, die für alle EU-Staaten gilt, existieren noch die Bußgeldvorschriften des Bundesdatenschutzgesetzes (BDSG), welches nur in Deutschland relevant ist:
Verstoß
Geldbuße gemäß BDSG (§ 43)
Als Auskunftei, die geschäftsmäßig personenbezogene Daten zur Bewertung der Kreditwürdigkeit von Verbrauchern erhebt ( z. B. die Schufa), Auskunftsverlangen von Darlehensgebern aus anderen EU-Staaten anders behandelt als Auskunftsverlangen inländischer Darlehensgeber (§ 30 Abs. 1)
bis zu 50.000 €
Verbraucher bei Ablehnung eines Darlehensvertrags aufgrund einer Bonitätsauskunft nicht oder unzureichend unterrichtet (§ 30 Abs. 2)
bis zu 50.000 €
Inhaltsverzeichnis:
FAQ: Bußgelder zur DSGVO
Droht ein Bußgeld, wenn der Datenschutz nicht vorschriftsgemäß eingehalten wird?
Ja. Entspricht der Verstoß einer Zuwiderhandlung der Datenschutz-Grundverordnung (DSGVO), kann ein Bußgeld von bis zu 20 Mio. Euro anfallen. Für Unternehmen kann die Geldbuße auch bis zu 4 Prozent ihres weltweiten Vorjahresumsatzes betragen. Handelt es sich hingegen um einen Verstoß gegen das Bundesdatenschutzgesetz (BDSG), liegt der Höchstbetrag für das Bußgeld bei 50.000 Euro.
Kann in Deutschland jeder mit einem Bußgeld belangt werden, wenn er gegen die DSGVO verstößt?
Nein. Öffentliche Stellen sowie Behörden sind in Deutschland von den Bußgeldsanktionen ausgenommen. Die DSGVO hat in Art. 83 VII den einzelnen EU-Staaten die Möglichkeit eingeräumt, für Behörden und öffentliche Stellen eigene Bußgeldvorschriften bei Datenschutzverstößen zu erlassen. Deutschland hat von diesem Recht Gebrauch gemacht und in § 43 Abs. 3 BDSG eine entsprechende Ausnahme für Behörden und öffentliche Stellen festgelegt.
Wie entscheiden die Aufsichtsbehörden, welche Bußgeldhöhe sie bei Verstößen gegen die DSGVO verhängen?
Die konkrete Bußgeldhöhe muss stets nach den Umständen des Einzelfalls festgelegt werden. Der Betrag soll dabei so hoch ausfallen, dass er wirksam, verhältnismäßig und abschreckend ist. Genauere Informationen dazu erhalten Sie hier.
Spezielle Informationen zu den Sanktionen laut DSGVO:
Seit Mai 2018 gilt in der gesamten EU die Datenschutz-Grundverordnung (DSGVO). Diese legt Regeln für die Verarbeitung personenbezogener Daten fest, und zwar sowohl innerhalb der einzelnen Mitgliedsstaaten als auch grenzübergreifend. Gleichzeitig finden sich in der DSGVO Vorschriften darüber, welche Sanktionen verhängt werden sollen, wenn ein Verantwortlicher gegen die Regeln der DSGVO verstößt. Das Bußgeld, das in einem solchen Fall droht, kann je nach Verstoß bis zu 20 Millionen Euro betragen. Für Unternehmen besteht auch die Möglichkeit, ein Bußgeld von bis zu 4 Prozent ihres weltweiten Vorjahresumsatzes aufgebrummt zu bekommen. So legt es Art. 83 DSGVO fest.
Die dort genannten Beträge stellen wohlgemerkt die Obergrenze für die Geldbußen dar und müssen keinesfalls ausgereizt werden. In der Realität kommt es also durchaus vor, dass deutlich niedrigere Beträge verhängt werden. Das heißt jedoch nicht, dass die verhängten Bußgelder den Verantwortlichen nicht wehtun sollen. Die Aufsichtsbehörden sind angehalten, die Höhe einer Geldbuße stets nach den Umständen des Einzelfalls festzulegen. Dabei sollen sie gemäß Art. 83 II DSGVO Folgendes berücksichtigen:
Art, Schwere und Dauer des Verstoßes
Art, Umfang und Zweck der betreffenden Datenverarbeitung
Zahl der von der Datenverarbeitung betroffenen Personen
getroffene Maßnahmen des Verantwortlichen oder des Auftragsverarbeiters, um den entstandenen Schaden zu mindern
Grad der Verantwortlichkeit des Verantwortlichen oder des Auftragsverarbeiters
etwaige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß zu revidieren und dessen Auswirkungen abzumildern
die Kategorie der personenbezogenen Daten, die von dem Verstoß betroffen sind
Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde (Bsp.: Hat der Verantwortliche den Verstoß selbst mitgeteilt?)
Einhaltung der von der Aufsichtsbehörde früher angeordneten Maßnahmen durch den Verantwortlichen oder den Auftragsverarbeiter
Einhalten von genehmigten Verhaltensregeln oder Zertifizierungsverfahren gemäß DSGVO
weitere erschwerende oder mildernde Umstände im jeweiligen Fall (Bsp.: Hat der Verantwortliche durch den Verstoß Vorteile erlangt oder Verluste erlitten?)
Unter Berücksichtigung dieser Umstände soll der Bußgeldbetrag so gewählt werden, dass er wirksam, verhältnismäßig und abschreckend ist. Bei geringfügigen Verstößen oder wenn der Datenverantwortliche eine natürliche Person ist, kann die Aufsichtsbehörde außerdem erwägen, das Bußgeld durch eine Verwarnung zu ersetzen. Diese Entscheidung liegt im Ermessen der Behörde. Würde die verhängte Geldbuße für eine natürliche Person eine unverhältnismäßige Belastung darstellen, muss diese üblicherweise nur mit einer Verwarnung rechnen.
Verstöße gegen DSGVO: Konzept zur Bußgeldbemessung für Unternehmen
Die Bestimmungen der DSGVO gelten für die gesamte EU, wie sie jedoch konkret umzusetzen sind, muss jeder Mitgliedsstaat selbst regeln. Deutschland beispielsweise hat dafür u. a. das Bundesdatenschutzgesetz (BDSG). Außerdem existiert bei uns die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder” – kurz: „Datenschutzkonferenz” oder einfach „DSK”. Dieses Gremium kommt mehrmals im Jahr zusammen und diskutiert, wie die nationalen und internationalen Datenschutzbestimmungen in Deutschland umgesetzt werden können.
2019 waren dabei auch die Bußgeldvorschriften der DSGVO Thema. Die DSK legte im Oktober desselben Jahres ein Konzept zu der Frage vor, wie sich Bußgelder bei Verstößen gegen die DSGVO konkret bemessen lassen könnten. Dieses gilt ausschließlich für Verfahren gegen Unternehmen, nicht gegen Vereine oder natürliche Personen, und soll erreichen, dass die Bußgeldzumessung in ganz Deutschland auf gleiche Weise erfolgt. Allerdings muss betont werden, dass das Konzept keinerlei Verbindlichkeit besitzt und die Gerichte nicht verpflichtet sind, sich daran zu halten.
Das Konzept besteht aus einer fünfstufigen Vorgehensweise:
Das Unternehmen wird anhand seines Jahresumsatzes in eine von 4 Kategorien eingeordnet (Kleinstunternehmen, kleines Unternehmen, mittleres Unternehmen, Großunternehmen). Innerhalb dieser erfolgt eine weitere Unterteilung in eine von insgesamt 20 Untergruppen.
Gehört das Unternehmen zu einer der ersten 19 Untergruppen, wird dessen mittlerer Jahresumsatz bestimmt. Nur in Untergruppe 20 (jährlicher Umsatz von über 500 Mio. €) wird der tatsächliche Jahresumsatz herangezogen.
Der in Schritt 2 ermittelte Jahresumsatz wird durch 360 geteilt und das Ergebnis auf die Vorkommastelle aufgerundet. So ergibt sich der wirtschaftliche Grundwert des Unternehmens.
Es wird der Schweregrad des Datenschutzverstoßes ermittelt (leicht, mittel, schwer, sehr schwer). Entsprechend der Einschätzung wird der wirtschaftliche Grundwert (s. Schritt 3) mit einem bestimmten Faktor (zwischen 1 und 12) multipliziert. Allerdings erklärt das Konzept teilweise nur sehr vage, wann welcher Faktor herangezogen werden soll.
Der in Schritt 4 errechnete Euro-Betrag wird nun unter Berücksichtigung individueller Umstände angepasst. Hier sind die gleichen Kriterien heranzuziehen, die wir auch schon oben genannt haben, aber auch weitere Umstände, wie z. B. eine drohende Zahlungsunfähigkeit des Unternehmens. Der korrigierte Betrag soll dann als Bußgeld verhängt werden.
Dieses Konzept der DSK geriet seit seiner Veröffentlichung mehrfach in die Kritik. So wurde es z. B. ohne Einbeziehung der zuständigen Aufsichtsbehörden entwickelt und besitzt auch keinerlei Verbindlichkeit. Obendrein ist nicht nachvollziehbar, warum in Schritt 2 lediglich für Unternehmen der letzten Untergruppe der konkrete Jahresumsatz herangezogen wird, während bei allen anderen Untergruppen ein fiktiver Mittelwert genutzt wird. Auch fehlt es an Anhaltspunkten dafür, wie die Einteilung des Schweregrades des Verstoßes in Schritt 4 vorgenommen werden soll. Ohne konkrete Kriterien scheint hier nur eine Bauchgefühl-Entscheidung der jeweiligen Behörde möglich zu sein, was dem Zweck des gesamten Konzepts widerspricht.
Angesichts dieser Mängel ist es angebracht, das Konzept der DSK lediglich als Orientierungshilfe zu verstehen und die Bußgeldentscheidung nicht hundertprozentig danach auszurichten. Immerhin räumte die DSK selbst ein, dass das Konzept nur so lange Gültigkeit haben solle, bis entsprechende Leitlinien des Europäischen Datenschutzausschusses verabschiedet werden.
Gitte erhielt ihren Master-Abschluss in Germanistik und Kommunikationswissenschaften. Als Redakteurin schreibt sie Ratgeber im Bereich Verkehrsrecht und unterstützt die bussgeldkatalog.org-Redaktion tatkräftig im Lektorat. Außerdem zählen die Pflege und Kontrolle unseres YouTube-Kanals zu ihren Kernaufgaben.