In der folgenden Tabelle finden Sie eine Übersicht zu den möglichen Geldbußen und Strafen, die mit Einführung der DSGVO und der Erneuerung des BDSG möglich sind (inklusive der jeweiligen Rechtsgrundlagen):
Verstoß |
Sanktion |
rechtliche Grundlage |
bußgeldbewehrte Ordnungswidrigkeiten* |
||
als Auskunftei bei Verbraucherkrediten Auskunftsverlangen von Darlehensgebern aus anderen EU-Staaten (SCHUFA u. a.) |
bis 50.000 € |
§ 43 Abs. 1 Nr. 1 BDSG |
ausbleibende oder unzureichende Unterrichtung des Verbrauchers bei Ablehnung eines Kreditantrages aufgrund einer erhaltenen Bonitätsauskunft |
bis 50.000 € |
§ 43 Abs. 1 Nr. 2 BDSG |
unzulässige Verarbeitung der personenbezogenen Daten von Kindern (Einwilligung eines Kindes erst ab 16 Jahren wirksam, bei jüngeren Kindern ist die Einwilligung der Sorgeberechtigten erforderlich) |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 8, 83 Abs. 4a DSGVO |
unnötige Aufbewahrung, Einholung oder Verarbeitung von personenbezogenen |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 11, 83 Abs. 4a DSGVO |
keine geeigneten technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten personenbezogenen Daten ergriffen |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 25, 83 Abs. 4a DSGVO |
Verstoß gegen die festgeschriebenen Aufgaben des Datenschutzbeauftragten |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 39, 83 Abs. 4a DSGVO |
Verstoß gegen die Vorgaben zur Zertifizierung (Datenschutz-Audit) |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 42, 83 Abs. 4a, b DSGVO |
Verstoß gegen die Vorgaben für Zertifizierungsstellen |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 43, 83 Abs. 4a, b DSGVO |
als Überwachungsstelle keine geeignete Maßnahmen bei Verstoß gegen die Verhaltensregeln getroffen |
bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** |
Art. 41, 83 Abs. 4c DSGVO |
Verstoß gegen die Grundsätze der Verarbeitung von personenbezogenen Daten (u. a. Rechtmäßigkeit, Transparenzgebot, Zweckbindung, Datenminimierung, Speicherbegrenzung, Rechenschaftspflicht) |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 5, 83 Abs. 5a DSGVO |
unrechtmäßige Verarbeitung personenbezogener Daten |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 6, 83 Abs. 5a DSGVO |
Verstoß gegen die Bedingungen für eine wirksame Einwilligung des Betroffenen in die Datenverarbeitung, sofern diese erforderlich ist |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 7, 83 Abs. 5a DSGVO |
Verstoß gegen die Beschränkungen bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (u. a. zur ethnischen Herkunft, Weltanschauung, Religion, Gesundheitsdaten) |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 9, 83 Abs. 5a DSGVO |
Verstoß gegen die Rechte der Betroffenen (u. a. Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrecht) |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 12 bis 22, 83 Abs. 5b DSGVO |
unzulässige Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland oder internationale Organisation |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 44 bis 49, 83 Abs. 5c DSGVO |
Verstoß gegen die Vorschriften für besondere Verarbeitungssituationen |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 83 Abs. 5d, 85 bis 91 DSGVO |
Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde nicht befolgt |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 58 Abs. 2, 83 Abs. 5e, 85 bis 91 DSGVO |
den Aufsichtsbehörden die ihnen zustehenden Untersuchungsbefugnisse nicht gewährt |
bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** |
Art. 58 Abs. 1, 83 Abs. 5e, 85 bis 91 DSGVO |
Straftaten |
||
unberechtigte, wissentliche Datenübermittlung von personenbezogenen Daten einer großen Anzahl von Personen an Dritte |
Geldstrafe oder Freiheitsstrafe bis 3 Jahre |
§ 42 Abs. 1 Nr. 1 BDSG |
… auf andere Art und Weise zugänglich gemacht |
Geldstrafe oder Freiheitsstrafe bis 3 Jahre |
§ 42 Abs. 1 Nr. 2 BDSG |
unberechtigte Verarbeitung von personenbezogenen Daten, die nicht allgemein zugänglich sind, zum Zwecke der Bereicherung oder Schädigung eines Betroffenen |
Geldstrafe oder Freiheitsstrafe bis 2 Jahre |
§ 42 Abs. 2 Nr. 2 BDSG |
personenbezogene Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben zum Zwecke der Bereicherung oder Schädigung eines Betroffenen erschlichen |
Geldstrafe oder Freiheitsstrafe bis 2 Jahre |
§ 42 Abs. 2 Nr. 2 BDSG |
* die Verhängung eines Bußgelds gegen Behörden und andere öffentliche Stellen sieht das BDSG nicht vor, eine entsprechende Einschränkung gestattet Art. 83 Abs. 7 DSGVO (für Straftaten gilt eine solche Ausnahme hingegen nicht) |
Wichtig: Die DSGVO stellt es den EU-Mitgliedstaaten frei, ob und in welchem Umfang sie die Verhängung von Geldbußen auch gegenüber Behörden und anderen öffentlichen Stellen zulassen wollen. Deutschland hat sich im Rahmen dessen gegen die Verhängung von einem Bußgeld nach DSGVO gegen öffentliche Stellen entschieden. Dennoch können Datenschutzverstöße verfolgt werden. Wurde einem Betroffenen durch einen solchen geschadet, kann auch ein Anspruch auf Schadensersatz bestehen.
Warum sind die DSGVO-Bußgelder so hoch angesetzt?
Bußgeldkatalog: Neben der DSGVO spielt in Deutschland auch das BDSG-neu eine Rolle.
Die EU-Datenschutz-Grundverordnung (DSGVO) hat im Jahr 2018 die Gemüter von Unternehmen, Privatpersonen und Behörden bewegt. Obwohl diese bereits zwei Jahre vor der verpflichtenden Umsetzung im Mai 2018 in Kraft getreten ist, waren die wenigsten auf die (nicht ganz so) neuen Datenschutzbestimmung vorbereitet.
Den Schweiß auf die Stirn trieb zahlreichen Unternehmen vor allem die Sorge vor dem neuen Bußgeld-Konzept der DSGVO, die in Deutschland ebenso gelten wie in den anderen EU-Mitgliedstaaten. So kann ein einzelner DSGVO-Verstoß ein Bußgeld in Millionenhöhe zur Folge haben, je nach Schwere, Ausmaß und Umsatz des Unternehmens. Auch noch so kleine Datenschutzverstöße – egal ob fahrlässig oder vorsätzlich – können für die Unternehmen also empfindliche Folgen haben.
Hintergrund für den neuen Datenschutz-Bußgeldkatalog nach DSGVO: Personenbezogene Daten sind bares Geld wert. Viele Unternehmen haben in den letzten Jahren unzulässig hieran verdient und die nötige Transparenz bei der Verarbeitung vermissen lassen. Um der Schutzwürdigkeit der personenbezogenen Daten Nachdruck zu verleihen, sollen hohe Bußgelder auch abschreckend wirken.
Verstoß gegen DSGVO: Neben Bußgeld auch Schadenersatzansprüche möglich
Doch nicht nur hohe Geldbußen sieht die DSGVO vor. Wurden Betroffene durch eine unzulässige Verarbeitung ihrer personenbezogenen Daten geschädigt, kann er von den Verantwortlichen Schadenersatz verlangen. Dabei ist dies sowohl bei materiellen als auch immateriellen Schäden möglich (vgl. Art. 82 DSGVO).