In der folgenden Tabelle finden Sie eine Übersicht zu den möglichen Geldbußen und Strafen, die mit Einführung der DSGVO und der Erneuerung des BDSG möglich sind (inklusive der jeweiligen Rechtsgrundlagen):

Verstoß

Sank­tion

recht­liche Grund­lage

bußgeld­bewehrte Ordnungs­widrigkeiten*

als Aus­kunftei bei Verbraucher­krediten Auskunfts­verlangen von Darlehens­gebern aus anderen EU-Staaten (SCHUFA u. a.)

bis 50.000 €

§ 43 Abs. 1 Nr. 1 BDSG

ausblei­bende oder unzu­reichende Unter­richtung des Ver­brauchers bei Ableh­nung eines Kredit­antrages aufgrund einer erhal­tenen Bonitäts­auskunft

bis 50.000 €

§ 43 Abs. 1 Nr. 2 BDSG

unzulässige Verar­beitung der personen­bezogenen Daten von Kindern (Einwilli­gung eines Kindes erst ab 16 Jahren wirksam, bei jüngeren Kindern ist die Einwilli­gung der Sorgebe­rechtigten erfor­derlich)

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 8, 83 Abs. 4a DSGVO

unnötige Aufbe­wahrung, Einho­lung oder Verar­beitung von personen­bezogenen
Daten zum Zwecke der Identi­fizierung einer Person, obwohl dies nicht oder nicht mehr erfor­derlich ist

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 11, 83 Abs. 4a DSGVO

keine geeig­neten technischen und organisa­torischen Maß­nahmen (TOM) zum Schutz der verar­beiteten personen­bezogenen Daten ergriffen

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 25, 83 Abs. 4a DSGVO

Verstoß gegen die festge­schriebenen Auf­gaben des Daten­schutz­beauf­tragten

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 39, 83 Abs. 4a DSGVO

Verstoß gegen die Vor­gaben zur Zerti­fizierung (Daten­schutz-Audit)

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 42, 83 Abs. 4a, b DSGVO

Verstoß gegen die Vor­gaben für Zerti­fizierungs­stellen

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 43, 83 Abs. 4a, b DSGVO

als Über­wachungs­stelle keine geeignete Maß­nahmen bei Verstoß gegen die Verhaltens­regeln getroffen

bis 10 Mio. € oder bei Unter­nehmen bis 2 % des welt­weiten Jahres­umsatzes**

Art. 41, 83 Abs. 4c DSGVO

Verstoß gegen die Grund­sätze der Verar­beitung von personen­bezogenen Daten (u. a. Recht­mäßigkeit, Transpa­renzgebot, Zweck­bindung, Daten­mini­mierung, Speicher­begrenzung, Rechen­schafts­pflicht)

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 5, 83 Abs. 5a DSGVO

unrecht­mäßige Verar­beitung personen­bezogener Daten

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 6, 83 Abs. 5a DSGVO

Verstoß gegen die Bedin­gungen für eine wirksame Einwilli­gung des Betroffenen in die Daten­verarbeitung, sofern diese erfor­derlich ist

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 7, 83 Abs. 5a DSGVO

Verstoß gegen die Beschrän­kungen bei der Verar­beitung von beson­deren Kate­gorien personen­bezogener Daten (u. a. zur eth­nischen Her­kunft, Weltan­schauung, Reli­gion, Gesund­heitsdaten)

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 9, 83 Abs. 5a DSGVO

Verstoß gegen die Rechte der Betrof­fenen (u. a. Auskunfts­recht, Recht auf Berich­tigung, Recht auf Löschung, Wider­spruchs­recht)

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 12 bis 22, 83 Abs. 5b DSGVO

unzulässige Über­mittlung von personen­bezogenen Daten an Empfänger in einem Dritt­land oder interna­tionale Organi­sation

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 44 bis 49, 83 Abs. 5c DSGVO

Verstoß gegen die Vorschrif­ten für beson­dere Verar­beitungs­situationen

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 83 Abs. 5d, 85 bis 91 DSGVO

Anweisung oder einer vorüber­gehenden oder endgültigen Beschrän­kung oder Aussetzung der Datenüber­mittlung durch die Aufsichts­behörde nicht befolgt

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 58 Abs. 2, 83 Abs. 5e, 85 bis 91 DSGVO

den Aufsichts­behörden die ihnen zuste­henden Unter­suchungs­befug­nisse nicht gewährt

bis 20 Mio. € oder bei Unter­nehmen bis 4 % des welt­weiten Jahres­umsatzes**

Art. 58 Abs. 1, 83 Abs. 5e, 85 bis 91 DSGVO

Straf­taten 
(Antrags­delikte, die nur auf Antrag des Betroffenen verfolgt werden)

unberech­tigte, wissent­liche Datenüber­mittlung von personen­bezogenen Daten einer großen Anzahl von Personen an Dritte

Geld­strafe oder Frei­heits­strafe bis 3 Jahre

§ 42 Abs. 1 Nr. 1 BDSG

… auf andere Art und Weise zugäng­lich gemacht

Geld­strafe oder Frei­heits­strafe bis 3 Jahre

§ 42 Abs. 1 Nr. 2 BDSG

unberechtigte Verar­beitung von personen­bezogenen Daten, die nicht all­gemein zugänglich sind, zum Zwecke der Berei­cherung oder Schädi­gung eines Betroffenen

Geld­strafe oder Frei­heits­strafe bis 2 Jahre

§ 42 Abs. 2 Nr. 2 BDSG

personen­bezogene Daten, die nicht all­gemein zugänglich sind, durch unrichtige Angaben zum Zwecke der Bereich­erung oder Schädi­gung eines Betrof­fenen erschlichen

Geld­strafe oder Frei­heits­strafe bis 2 Jahre

§ 42 Abs. 2 Nr. 2 BDSG

* die Verhängung eines Bußgelds gegen Behörden und andere öffentliche Stellen sieht das BDSG nicht vor, eine entsprechende Einschränkung gestattet Art. 83 Abs. 7 DSGVO (für Straftaten gilt eine solche Ausnahme hingegen nicht)
** je nachdem, welcher Betrag höher ist (angemessenes Wahl der Geldbuße unter Berücksichtigung der Umstände des Einzelfalles)

Wichtig: Die DSGVO stellt es den EU-Mitgliedstaaten frei, ob und in welchem Umfang sie die Verhängung von Geldbußen auch gegenüber Behörden und anderen öffentlichen Stellen zulassen wollen. Deutschland hat sich im Rahmen dessen gegen die Verhängung von einem Bußgeld nach DSGVO gegen öffentliche Stellen entschieden. Dennoch können Datenschutzverstöße verfolgt werden. Wurde einem Betroffenen durch einen solchen geschadet, kann auch ein Anspruch auf Schadensersatz bestehen.

Warum sind die DSGVO-Bußgelder so hoch angesetzt?

Bußgeldkatalog: Neben der DSGVO spielt in Deutschland auch das BDSG-neu eine Rolle.

Die EU-Datenschutz-Grundverordnung (DSGVO) hat im Jahr 2018 die Gemüter von Unternehmen, Privatpersonen und Behörden bewegt. Obwohl diese bereits zwei Jahre vor der verpflichtenden Umsetzung im Mai 2018 in Kraft getreten ist, waren die wenigsten auf die (nicht ganz so) neuen Datenschutzbestimmung vorbereitet

Den Schweiß auf die Stirn trieb zahlreichen Unternehmen vor allem die Sorge vor dem neuen Bußgeld-Konzept der DSGVO, die in Deutschland ebenso gelten wie in den anderen EU-Mitgliedstaaten. So kann ein einzelner DSGVO-Verstoß ein Bußgeld in Millionenhöhe zur Folge haben, je nach Schwere, Ausmaß und Umsatz des Unternehmens. Auch noch so kleine Datenschutzverstöße – egal ob fahrlässig oder vorsätzlich – können für die Unternehmen also empfindliche Folgen haben. 

Hintergrund für den neuen Datenschutz-Bußgeldkatalog nach DSGVO: Personenbezogene Daten sind bares Geld wert. Viele Unternehmen haben in den letzten Jahren unzulässig hieran verdient und die nötige Transparenz bei der Verarbeitung vermissen lassen. Um der Schutzwürdigkeit der personenbezogenen Daten Nachdruck zu verleihen, sollen hohe Bußgelder auch abschreckend wirken.

Verstoß gegen DSGVO: Neben Bußgeld auch Schadenersatzansprüche möglich

Doch nicht nur hohe Geldbußen sieht die DSGVO vor. Wurden Betroffene durch eine unzulässige Verarbeitung ihrer personenbezogenen Daten geschädigt, kann er von den Verantwortlichen Schadenersatz verlangen. Dabei ist dies sowohl bei materiellen als auch immateriellen Schäden möglich (vgl. Art. 82 DSGVO).