DSGVO und Bußgelder: Was Unternehmen wissen müssen

Die Datenschutz-Grundverordnung (DSGVO) regelt seit dem 25. Mai 2018 den Datenschutz in der Europäischen Union. Ein zentraler Aspekt sind dabei die Bußgelder, die bei Verstößen gegen die DSGVO verhängt werden können. Aber was bedeutet das konkret für Unternehmen? Mit welchen Bußgeldern ist im schlimmsten Fall zu rechnen und wie können sich Unternehmen davor schützen?

Was ist die DSGVO? 

Die Datenschutz-Grundverordnung ist ein EU-weites Gesetz, das den Schutz personenbezogener Daten sicherstellen soll. Es legt fest, wie Unternehmen und Organisationen Daten sammeln, speichern und verwalten müssen, um die Privatsphäre der Bürger*innen zu schützen. Dazu gehört beispielsweise der Grundsatz der Transparenz (Art. 12 ff. DSGVO), der besagt, dass alle Verarbeitungsprozesse für die betroffenen Personen nachvollziehbar sein müssen. 

Mögliche Bußgelder bei Verstößen 

Bei Nichteinhaltung der DSGVO drohen erhebliche Bußgelder. Diese können je nach Schwere des Verstoßes variieren. Sie liegen bei maximal 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.

Wie hoch kann ein Bußgeld nach der DSGVO sein?

Das höchste bislang verhängte Bußgeld in Deutschland betrug 14,5 Millionen Euro und wurde 2019 gegen die Deutsche Wohnen SE verhängt, weil das Unternehmen nicht mehr benötigte, personenbezogene Mieterdaten ohne rechtliche Grundlage speicherte. 

Wann haften Unternehmen für Verstöße gegen den Datenschutz?

Der EuGH hat am 5. Dezember 2023 entschieden, dass Bußgelder nach der DSGVO nur dann gegen Unternehmen verhängt werden dürfen, wenn nachgewiesen ist, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde. Der EuGH lehnte eine verschuldensunabhängige Haftung („strict liability“) somit ab. Außerdem muss der Verstoß einer identifizierten natürlichen Person zugerechnet werden können. Die „strict liability“- Entscheidung des EuGH basiert auf dem Fall der Deutsche Wohnen SE, die sich gegen das Rekordbußgeld zur Wehr setzte. Die Grundsatzentscheidung stärkt die Durchsetzung von Sanktionen gegenüber Unternehmen und bestätigt die Praxis der deutschen Datenschutzbehörden.

Für welche Verstöße können Bußgelder verhängt werden?

Gemäß Art. 83 DSGVO können grundsätzlich Bußgelder verhängt werden bei:

  • Unzureichender Einwilligung für die Datenverarbeitung: Wenn die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten nicht ausreichend eingeholt oder dokumentiert wurde.
  • Fehlender Datensicherheit: Wenn es einem Unternehmen nicht gelingt, geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu implementieren, was zu Datenpannen oder unberechtigtem Zugriff führen kann.
  • Nichtbeachtung der Betroffenenrechte: Wenn die Rechte der betroffenen Personen, wie etwa das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch, nicht respektiert werden.
  • Verstößen gegen den Grundsatz der Datenminimierung und Transparenz: Wenn mehr Daten erhoben oder verarbeitet werden, als für den jeweiligen Zweck notwendig, oder wenn die Verarbeitung nicht in transparenter Weise erfolgt.

Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO) für weniger schwerwiegende Verstöße, wie z.B.:

  • Fehler bei der Datenschutz-Folgenabschätzung: Wenn Unternehmen es versäumen, eine angemessene Folgenabschätzung bei der Einführung neuer Datenverarbeitungsverfahren vorzunehmen, die potenzielle Risiken für die Privatsphäre der betroffenen Personen aufdecken könnte.
  • Nichteinhaltung von Sicherheitsanforderungen: Wenn vertraglich vereinbarte Sicherheitsstandards oder gesetzliche Vorgaben zur Datensicherheit nicht erfüllt werden.
  • Fehlende oder unzureichende Zusammenarbeit mit der Aufsichtsbehörde: Wenn ein Unternehmen nicht angemessen mit der Datenschutzbehörde kooperiert, zum Beispiel durch die Verweigerung des Zugangs zu Informationen oder die Verschleppung von Antworten auf Anfragen.

Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes (Art. 83 Abs. 5 DSGVO) für gravierende Verstöße, die die Rechte und Freiheiten der betroffenen Personen erheblich beeinträchtigen, wie z.B.:

  • Fehlende Einwilligung bei der Datenverarbeitung: Insbesondere in Fällen, in denen die Datenverarbeitung sensible Datenkategorien betrifft oder ohne eine rechtliche Grundlage erfolgt.
  • Größere Datenpannen ohne Benachrichtigung der betroffenen Personen und der Aufsichtsbehörde: Wenn solche Vorfälle auftreten und das Unternehmen die Vorgaben zur Meldepflicht gemäß Art. 33 und 34 DSGVO nicht einhält, was zu einem erhöhten Risiko für die Rechte der betroffenen Personen führt.
  • Unrechtmäßige Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten): Wenn besonders schützenswerte Daten ohne rechtliche Grundlage verarbeitet werden, was zu erheblichen Risiken und möglichen Schäden für die betroffenen Personen führen kann.

Beispiele für Verstöße und Bußgelder aus der Rechtsprechung

Die Durchsetzung der DSGVO durch die Aufsichtsbehörden zieht erhebliche Bußgelder nach sich, wenn Unternehmen und Organisationen ihre Datenschutzverpflichtungen verletzen. Nachfolgend werden einige Beispiele aus der Rechtsprechung genannt, bei denen unterschiedliche Verstöße und daraus resultierende Bußgelder dokumentiert wurden. Von technischen und organisatorischen Mängeln bis hin zu Interessenkonflikten bei der Bestellung von Datenschutzbeauftragten und grundlegenden Verstößen gegen die Prinzipien der Datenverarbeitung wurden bereits zahlreiche Verstöße mit einem Bußgeld geahndet. 

– Technische und organisatorische Maßnahmen 

  • Technische Störungen in Newsletter-Systemen (Bußgeld: 50.000 EUR, Niedersachsen) 
  • Freizugängliche Kundendatenbank (Bußgeld: 8.900 EUR) 
  • Verletzung durch unzureichende IT-Sicherheitsmaßnahmen eines Wohlfahrtsverbandes (Bußgeld: fünfstellig) 
  • Unsichere Kundenbenachrichtigung in Corona-Testzentren (Bußgeld: 2.700 EUR) 

– Bestellung von Datenschutzbeauftragten (Art. 37 DSGVO) 

  • Datenschutzbeauftragter mit Doppelfunktion als Geschäftsführer (Interessenkonflikt) (Bußgeld: 525.000 EUR, Berlin) 

– Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) 

a) Bußgelder gegen Verantwortliche:

  • Falsche Daten bei Wirtschaftsauskunftei (46.500 EUR) 
  • Offenlegung des Impfstatus von Mitarbeitern (20.000 EUR) 
  • Missbrauch von personenbezogenen Daten im Corona-Testzentrum (1.800 EUR) 
  • Veraltete Datenschutzhinweise und unverschlüsselte Kontaktformulare bei Adresshändlerin (7.800 EUR) 

b) Bußgelder gegen Mitarbeiter (Mitarbeiterexzess): (Höhe nicht genannt)

  • Polizeibediensteter nutzt Dienstsysteme für private Zwecke (Hessen)
  • Kontaktaufnahmen durch Mitarbeiter von Corona-Testzentren und Restaurants zu privaten Zwecken
  • Bußgelder gegen Polizeibedienstete für unerlaubte Datenbankabfragen

Wie können Unternehmen ihre Risiken minimieren?

Bestandsaufnahme und Dokumentation 

Unternehmen sollten alle Datenverarbeitungsprozesse dokumentieren und sicherstellen, dass diese den DSGVO-Anforderungen entsprechen. Ein Verzeichnis der Verarbeitungstätigkeiten ist dabei unerlässlich. Diese Dokumentation hilft nicht nur dabei, den Überblick über die Datenflüsse im Unternehmen zu behalten, sondern dient auch als Nachweis im Falle einer Datenschutzprüfung. Zudem ermöglicht sie es, eventuelle Datenschutzrisiken frühzeitig zu erkennen und entsprechende Maßnahmen zur Risikominderung zu ergreifen. Eine regelmäßige Überprüfung und Aktualisierung der Dokumentation stellt sicher, dass alle neuen oder geänderten Verarbeitungsprozesse ordnungsgemäß erfasst werden. 

Datenschutzbeauftragter 

Ab einer bestimmten Unternehmensgröße oder bei sensiblen Datenverarbeitungen ist die Bestellung eines Datenschutzbeauftragten Pflicht. Dieser stellt sicher, dass das Unternehmen die DSGVO einhält und sensibilisiert die Mitarbeiterinnen für Datenschutzthemen. Bei der Auswahl des Datenschutzbeauftragten sollten Unternehmen auf dessen Fachkunde und Zuverlässigkeit achten. Der Datenschutzbeauftragte sollte umfassende Kenntnisse im Datenschutzrecht sowie in der Handhabung von IT-Systemen und Datensicherheitsmaßnahmen besitzen. Neben der Beratung und Überwachung ist der Datenschutzbeauftragte auch ein wichtiger Ansprechpartner für Aufsichtsbehörden und Betroffene, die Auskunft über die Datenverarbeitung verlangen. Zudem führt er regelmäßig Schulungen durch, um das Bewusstsein der Beschäftigten hinsichtlich Datenschutzbestimmungen zu stärken und über aktuelle Entwicklungen zu informieren. 

Schulungen und Sensibilisierung 

Regelmäßige Schulungen für alle Mitarbeiterinnen helfen, das Bewusstsein für Datenschutz im Unternehmen zu erhöhen und Fehler zu vermeiden. Solche Schulungen sollten praxisnah und an die spezifischen Bedürfnisse des Unternehmens angepasst sein. Sie decken wesentliche Themen wie den sicheren Umgang mit personenbezogenen Daten, die Erkennung und Meldung von Datenschutzverstößen sowie die Einhaltung interner Datenschutzrichtlinien ab. Durch die Sensibilisierung der Belegschaft wird das Risiko von Datenschutzverletzungen erheblich reduziert. Darüber hinaus fördert kontinuierliche Schulung eine Unternehmenskultur, in der Datenschutz als gemeinschaftliche Verantwortung wahrgenommen wird. Es ist auch sinnvoll, spezielle Fortbildungen für Mitarbeiterinnen in sensiblen Abteilungen wie Personalwesen, IT und Marketing anzubieten, da diese häufig mit vertraulichen Daten arbeiten. Durch die Kombination aus allgemeiner Sensibilisierung und gezieltem Fachwissen wird die Datensicherheit im gesamten Unternehmen nachhaltig gestärkt. 

Technische und organisatorische Maßnahmen (TOMs) 

Durch den Einsatz von Verschlüsselungstechnologien, regelmäßigen Sicherheitsüberprüfungen und klaren Zugangsregelungen können Unternehmen die Datensicherheit verbessern. Verschlüsselung stellt sicher, dass sensible Daten selbst bei unbefugtem Zugriff geschützt bleiben. Regelmäßige Sicherheitsüberprüfungen, wie Penetrationstests und Schwachstellenanalysen, helfen dabei, potenzielle Sicherheitslücken frühzeitig zu identifizieren und zu beheben. Klare Zugangsregelungen wie die Vergabe von Rechten und Rollen stellen sicher, dass nur autorisierte Personen Zugriff auf bestimmte Daten haben. 

Darüber hinaus sollten Unternehmen auch Maßnahmen zur Sicherung der physischen Infrastruktur treffen, beispielsweise durch Zutrittskontrollen zu Serverräumen und die Überwachung von Servern und Netzwerken. Notfallpläne und regelmäßige Backups sind ebenfalls wesentliche Bestandteile, um im Falle eines Datenverlusts schnell und effizient reagieren zu können. Eine weitere Schutzvorkehrung ist die Verwendung von Firewalls und Anomalieerkennungssystemen, um unbefugte Zugriffe frühzeitig zu erkennen und abzuwehren. 

Auch organisatorische Maßnahmen spielen eine entscheidende Rolle: Durch die klaren Definitionen von Verantwortlichkeiten und Prozessen können Sicherheitsvorfälle und Bedrohungen wie Phishing oder Social Engineering effizienter gehandhabt werden. 

Eine gründliche Vorbereitung und kontinuierliche Überprüfung der Datenschutzmaßnahmen sind unerlässlich, um Bußgelder zu vermeiden. Wer die Regelungen der DSGVO versteht und umsetzt, oder sich hierfür professionelle Unterstützung holt, hat nichts zu befürchten. Er schützt die Daten der Kundschaft und die eigenen Daten gleichermaßen und schützt damit auch das eigene Unternehmen vor finanziellen Repressalien und Reputations- und Vertrauensverlust.