Verstoß gegen den Datenschutz: Welche Konsequenzen hat dies?

Verstoß gegen den Datenschutz: Welche Konsequenzen hat dies?

Von Jan Frederik Strasmann

Letzte Aktualisierung am: 12. Februar 2025

Geschätzte Lesezeit: 5 Minuten

Informationen schützen, Sanktionen vermeiden

Wann wird eigentlich von einer "Datenschutzverletzung" gesprochen?
Wann wird eigentlich von einer “Datenschutzverletzung” gesprochen?

Dem Schutz von persönlichen Informationen kommt heutzutage ein großer Stellenwert zu. Dabei geht es nicht nur darum, Menschen für einen Umgang mit Daten zu sensibilisieren, sondern vor allem, freiheitliche Werte in konkrete Rechtsprechung zu übersetzen.

Was sich verhältnismäßig leicht daher sagt, ist vor allem für Anbieter und Arbeitgeber mit umfassenden Auflagen verbunden. Ein Verstoß gegen den Datenschutz kann für den Verursacher schnell zu einer sehr ernsten Angelegenheit werden – Zeit also, einen Blick auf mögliche Datenschutzverletzungen und deren Ahndung zu werfen.

FAQ: Datenschutzverstoß

Wo können Sie einen Datenschutzverstoß melden?

Wenn Sie einen Verstoß gegen den Datenschutz vermuten, können Sie dies gegenüber den Datenschutzbeauftragten des betreffenden Unternehmens oder dem zuständigen Landesbeauftragten für Datenschutz melden.

Welche Informationen sollte die Meldung eines Datenschutzverstoßes enthalten?

– Beschreibung der Art des Verstoßes
– Kategorie der betroffenen personenbezogenen Daten
– ungefähre Angabe zur Anzahl der betroffenen Personen
– ungefähre Anzahl der betroffenen Datensätze
– Kontaktdaten des zuständigen Datenschutzbeauftragten bzw. Verantwortlichen
– Beschreibung der möglichen Folgen des Verstoßes

Welche Strafen drohen bei einem Verstoß gegen das Datenschutzgesetz?

Ein Verstoß gegen die DSGVO kann ein Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro kosten.

Bußgeldtabelle zu Verstößen gegen den Datenschutz

VerstoßBußgeld
Verstoß gegen die Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Unrechtmäßige Verarbeitung von personenbezogenen Daten (Art. 6 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bedingungen für die Einwilligung in die personenbezogene Datenverarbeitung (Art. 7 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (Art. 8 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Pflichten bei Verarbeitung von besonderen personenbezogenen Daten (Art. 9 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Pflichten bei Verarbeitung von Daten, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (Art. 11 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Rechte der von den Daten betroffenen Person, z. B. Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrecht etc. (Art. 12 bis 22 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Unzureichende Technikgestaltung zum Datenschutz/keine datenschutzfreundlichen Voreinstellungen (Art. 25 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen für gemeinsame Verantwortliche (Art. 26 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen für Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern (Art. 27 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen für Auftragsverarbeiter (Art. 28 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Pflichten bei Verarbeitung von personenbezogenen Daten unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters (Art. 29 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zum Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Keine Zusammenarbeit mit der Aufsichtsbehörde trotz entsprechender Anfrage (Art. 31 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zur Sicherheit der personenbezogenen Datenverarbeitung (Art. 32 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verletzungen des Schutzes personenbezogener Daten nicht / zu spät (ohne Begründung)/in unzureichender Weise an die Aufsichtsbehörde gemeldet (Art. 33 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Person, die von einer Verletzung des Schutzes personenbezogener Daten betroffen ist, nicht vorschriftsgemäß benachrichtigt (Art. 34 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zur Datenschutz-Folgenabschätzung (Art. 35 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zur vorherigen Konsultation (Art. 36 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Keine vorschriftsgemäße Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zur Stellung des Datenschutzbeauftragten (Art. 38 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zu den Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Als Überwachungsstelle im Falle einer Verletzung der genehmigten Verhaltensregeln keine geeigneten Maßnahmen getroffen (Art. 41 Abs. 4 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen in Bezug auf die Zertifizierung der DSGVO-Konformität (Art. 42 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen für Zertifizierungsstellen (Art. 43 DSGVO)bis zu 10.000.000 €
… für Unternehmenbis zu 10.000.000 € oder bis zu 2 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Bestimmungen zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (Art. 44 bis 49 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Nichtbefolgung einer Anweisung der Aufsichtsbehörde, obwohl diese die entsprechende Befugnis besitzt (Art. 58 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr
Verstoß gegen die Vorschriften für besondere Verarbeitungssituationen (Art. 85 bis 91 DSGVO)bis zu 20.000.000 €
… für Unternehmenbis zu 20.000.000 € oder bis zu 4 % des weltweiten Jahresumsatzes vom vorigen Geschäftsjahr

Bußgeldrechner: Was kann ein Verstoß gegen die DSGVO kosten?

Welche Datenschutzverletzung liegt überhaupt vor?

Für das Strafmaß ist natürlich auch hier entscheidend, welche Rechtsverletzung überhaupt begangen wurde – Datenschutzverstoß ist nicht gleich Datenschutzverstoß. Nachfolgend deshalb ein kurzer Abriss über mögliche Datenrechtsverletzungen.

Unsachgemäßer Umgang mit personenbezogenen Daten

Dies stellt wohl die größte Gruppe möglicher Rechtsverletzungen in Bezug auf den Datenschutz dar. Unter dem Begriff „personenbezogene Daten“ werden gemeinhin alle Informationen zusammengefasst, welche sich eindeutig auf eine bestimmte natürliche Person zurückführen lassen. Werden diese unrechtmäßig oder ungefragt erhoben, gespeichert, weitergeleitet oder öffentlich gestellt, dann können den Verursacher Sanktionen treffen.

Verstoß gegen den Datenschutz durch den Arbeitgeber

Am Arbeitsplatz fallen häufig umfangreiche Daten an - ein Datenschutzverstoß passiert schneller als gedacht
Am Arbeitsplatz fallen häufig umfangreiche Daten an – ein Datenschutzverstoß passiert schneller als gedacht

Was die Erhebung und vor allem den Schutz von persönlichen Informationen angeht, sind Arbeitgebern viele Vorschriften auferlegt: Von der konkreten technischen Erhebung bis zur Handhabe und Löschung existieren vielzählige Vorschriften. Dabei geht es nicht nur um etwaige Kundendaten, sondern auch um Informationen über Mitarbeiter. Am Arbeitsplatz kann ein Verstoß gegen den Datenschutz verschiedene Vergehen umfassen – so zum Beispiel die Verletzung der Meldepflicht.

Kam es zu einer Panne oder wurde ein Arbeitgeber über einen fehlerhaften Zustand informiert, dann hat dieser den betroffenen Datenschutz-Verstoß zu melden – und zwar sowohl der Aufsichtsbehörde als auch den Betroffenen. Gemäß Art. 33 DSGVO ist im Falle einer Verletzung des Schutzes personenbezogener Daten due zuständige Aufsichtsbehörde zu benachrichtigen. Dies hat unverzüglich, möglichst innerhalb von 72 Stunden zu erfolgen. Folgende Informationen müsse die Meldung dabei mindestens enthalten:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
  • Namen und die Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen
  • Angaben zu ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung

Möchten Sie einen Verstoß gegen den Datenschutz melden, sollten sich Arbeitnehmer an den – sofern vorhandenen – Datenschutzbeauftragten wenden.

Unter Umständen gilt es auch die von der Datenschutzverletzung betroffene Person direkt zu informieren. Unter Art. 34 Abs 1 DSGVO heißt es dazu:

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Verletzung vom Datenschutz durch den Arbeitnehmer

Auch Arbeitnehmer haben berufsbedingt Zugang zu verschiedenen Sets an Daten. Arbeitgeber sind dazu angehalten, ihre Angestellten für den Umgang mit Daten zu schulen und sich einen gewissenhaften Umgang per Unterschrift bescheinigen zu lassen. Nichtsdestotrotz kann am Arbeitsplatz bekanntlich einiges schief gehen, und mitunter ist ein Verstoß gegen den Datenschutz durch einen Mitarbeiter schnell passiert.

Abgesehen von eher unbedachten oder ungewollten Fällen kann missachteter Datenschutz auch gezielter Missbrauch sein: Etwa dann, wenn Daten dazu genutzt werden, Menschen zu erpressen oder Informationen verkauft werden.

Auch im Privaten gilt das Recht auf eigene Daten

Mobbing gibt´s auch im Netz - einen Verstoß gegen den Datenschutz können Betroffene melden
Mobbing gibt´s auch im Netz – einen Verstoß gegen den Datenschutz können Betroffene melden

Die bisherigen Beispiele haben sich eher auf professionellen Betrug und den Arbeitsplatz konzentriert. Doch auch im privaten Bereich wird heutzutage viel gechattet, gesurft und vor allem digital geteilt. Es kam schon zu zahlreichen Fällen, in denen persönliche Informationen und vor allem höchstpersönliche Bilder gegen den Willen der abgebildeten Person im Netz landeten.

Dabei muss es sich nicht immer um den oder die rachsüchtigen Ex handeln; wer in einem ungünstigen Moment abgelichtet wurde, der kann schon mal ungewollt zum viralen Hit werden. Cybermobbing als gezielte Diffamierung im öffentlichen Raum ist eindeutig ein Verstoß gegen den Datenschutz – und auch wenn es zunehmend Anlaufstellen für Opfer gibt, ist wohl die Unsicherheit groß.

Betroffene sollten sich jedoch nicht verunsichern lassen: Stellt eine Person etwa intime Details und/oder Ihre Kontaktmöglichkeiten ins Internet, dann handelt es sich dabei ganz klar um eine Datenschutzverletzung – im Mindesten. Denn: Solches Verhalten würde nicht nur einen Verstoß gegen den Datenschutz darstellen; auch Rufmord oder Verleumdung greifen hier mitunter. Sind Sie von solch einer unfreiwilligen Verbreitung Ihrer Daten betroffen, wenden Sie sich an die Polizei. Zudem sind inzwischen viele Anwälte auf Medienrecht spezialisiert. Lassen Sie also Ihre Möglichkeiten prüfen und nehmen sie Miesmache im Netz nicht hin.

Bei einem Verstoß gegen den Datenschutz ist die Strafe von den Umständen abhängig

Die obige Skizzierung möglicher Szenarien macht deutlich, wie unterschiedlich sich eine Verletzung von geltendem Datenschutz in der Praxis gestalten kann. Dementsprechend existieren auch keine einheitlichen Sanktionsmaßnahmen. Ein missachteter oder fahrlässig missachteter Datenschutz kann verschiedene Strafen nach sich ziehen.

Im BDSG und in der DSGVO werden für die Verletzung vom Datenschutz unterschiedliche Strafen benannt
Im BDSG und in der DSGVO werden für die Verletzung vom Datenschutz unterschiedliche Strafen benannt

Zunächst einmal sieht Art. 83 der DSGVO Bußgelder vor. Demnach gilt es bei der Verhängung einer Geldbuße und der Festlegung des Betrages den jeweiligen Einzelfall zu bewerten. Im Zuge dessen sollen die zuständigen Behörden insbesondere folgenden Aspekte berücksichtigen:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzlichkeit oder Fahrlässigkeit
  • getroffene Maßnahmen zur Minderung des Schadens
  • Grad der Verantwortung des Verantwortlichen
  • etwaige frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  • Kategorien der betroffenen personenbezogenen Daten
  • Art und Weise des Bekanntwerdens des Verstoßes
  • Einhaltung von genehmigten Verhaltensregeln

Die EU-Datenschutzgrundverordnung sieht im § 83 Abs. 5 eine finanzielle Höchststrafe von ganzen 20 Millionen Euro vor. Wurde die jeweilige Tat von einem Unternehmen begangen, wird die Geldstrafe mitunter auch am letzten Jahresumsatz ermessen. Von diesem müssen dann bis zu vier Prozent gezahlt werden.

Abgesehen von der konkreten Strafe besteht bei einem Verstoß gegen den Datenschutz weiterhin ein Unterschied darin, wer auf das Fehlverhalten hinweist. Sie können persönlich eine Anzeige, etwa wegen Weitergabe persönlicher Daten, stellen. Wollen Sie hingegen eine Abmahnung gegen einen bestimmten Anbieter erwirken, dann muss dies von einer abmahnfähigen Stelle vorgenommen werden – z. B. andere Wettbewerber oder ein offizielles Kontrollgremium.

Neben diesen Sanktionen kommt bei Geschädigten mitunter auch die Frage auf, ob ein Schmerzensgeldanspruch besteht. Ausgeschlossen ist dies nicht, ist jedoch am Einzelfall und dem jeweiligen Rechtsverstoß zu ermessen. Ein Verstoß gegen den Datenschutz kann also Schadensersatz in Form von Schmerzensgeld begründen – insofern hinreichend begründet werden würde, wie die jeweilige Datenschutzverletzung zu immateriellen Schäden geführt hat.

Über den Autor

Jan Frederik Strasmann (Rechtsanwalt)
Jan Frederik Strasmann

Jan Frederik Strasmann absolvierte sein Studium an der Universität Bremen. Nach seinem Referendariat am OLG Celle erwarb er in Dublin seinen Master of Laws (LL. M.). Seit 2014 ist er als Rechtsanwalt zugelassen. Als Autor für bussgeldkatalog.org befasst er sich u. a. mit Einsprüchen zum Bußgeldbescheid.

Bildnachweise

Konnten wir Ihnen weiterhelfen? Dann bewerten Sie uns bitte:
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (68 Bewertungen, Durchschnitt: 4,31 von 5)
Loading ratings...Loading...
Diese Themen könnten Sie auch interessieren:

87 Kommentare

Neuen Kommentar verfassen

  1. Jürgen K.
    Am 30. Dezember 2018 um 16:18

    Sehr geehrte Damen und Herren
    hatte mich Mal bei Facebook registriert.
    Musste feststellen das von mir ein Profil Bild obwohl abgemeldet seit 2016 noch vorhanden ist.
    Habe mich neu angemeldet mit der Hoffnung dieses zu löschen. Geht.aber nicht. Habe dann folgendes gemacht habe jemand fremdes unter meiner Handy-Nr angemeldet mit Foto . Es ist bei Facebook egal kann das mit.velen Menschen so machen es fällt bei Facebook nicht auf das es nur einen Besitzer der Handy Nr. Geben kann .Nenn dass Missbrauch . Was kann ich jetzt tun um mein Foto zu löschen.? Muss ich damit zum Anwalt habe Facebook mehrmals geschrieben.

    Antworten
    • bussgeldkatalog.org
      Am 25. Januar 2019 um 16:43

      Hallo Jürgen K.,

      sofern Facebook auf Ihr Ansinnen nicht reagiert, ist die anwaltliche Beratung tatsächlich eine mögliche Herangehensweise.

      Die Redaktion von bussgeldkatalog.org

      Antworten
1 2 3
Verfassen Sie einen neuen Kommentar