Das Wichtigste über DSGVO-Bußgelder in Kürze
Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag am Ende höher ist).
Eine Übersicht zu den einzelnen Tatbeständen, die DSGVO aufführt nebst der jeweils vorgesehenen Geldbußen finden Sie in dieser Bußgeldtabelle. Hier finden Sie zudem zusätzliche Tatbestände (Ordnungswidrigkeiten und Straftaten), die im neuen Bundesdatenschutzgesetz (BDSG-neu) zusätzlich festgelegt sind. Alternativ können Sie auch diesen Rechner verwenden, um sich mögliche DSGVO-Bußgelder ausgeben zu lassen.
Die Bewertung, Verfolgung sowie Ahndung von Datenschutzverstößen liegt in Händen der zuständigen Aufsichtsbehörden. Zu diesen zählen insbesondere die Bundesdatenschutzbeauftragte sowie die Datenschutzbeauftragten der Länder. Gegenüber diesen können Betroffene mögliche Verstöße auch melden.
Bußgeldrechner: DSGVO-Verstöße
Mehr zum Thema Bußgelder nach DSGVO & BDSG
DSGVO-Bußgeldkatalog: Welche Sanktionen sind bei Verstößen gegen die DSGVO möglich?
Inhaltsverzeichnis
In der folgenden Tabelle finden Sie eine Übersicht zu den möglichen Geldbußen und Strafen, die mit Einführung der DSGVO und der Erneuerung des BDSG möglich sind (inklusive der jeweiligen Rechtsgrundlagen):
| Verstoß | Sanktion | rechtliche Grundlage |
|---|---|---|
| bußgeldbewehrte Ordnungswidrigkeiten* | ||
| als Auskunftei bei Verbraucherkrediten Auskunftsverlangen von Darlehensgebern aus anderen EU-Staaten (SCHUFA u. a.) | bis 50.000 € | § 43 Abs. 1 Nr. 1 BDSG |
| ausbleibende oder unzureichende Unterrichtung des Verbrauchers bei Ablehnung eines Kreditantrages aufgrund einer erhaltenen Bonitätsauskunft | bis 50.000 € | § 43 Abs. 1 Nr. 2 BDSG |
| unzulässige Verarbeitung der personenbezogenen Daten von Kindern (Einwilligung eines Kindes erst ab 16 Jahren wirksam, bei jüngeren Kindern ist die Einwilligung der Sorgeberechtigten erforderlich) | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 8, 83 Abs. 4a DSGVO |
| unnötige Aufbewahrung, Einholung oder Verarbeitung von personenbezogenen Daten zum Zwecke der Identifizierung einer Person, obwohl dies nicht oder nicht mehr erforderlich ist | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 11, 83 Abs. 4a DSGVO |
| keine geeigneten technischen und organisatorischen Maßnahmen (TOM) zum Schutz der verarbeiteten personenbezogenen Daten ergriffen | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 25, 83 Abs. 4a DSGVO |
| Verstoß gegen die festgeschriebenen Aufgaben des Datenschutzbeauftragten | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 39, 83 Abs. 4a DSGVO |
| Verstoß gegen die Vorgaben zur Zertifizierung (Datenschutz-Audit) | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 42, 83 Abs. 4a, b DSGVO |
| Verstoß gegen die Vorgaben für Zertifizierungsstellen | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 43, 83 Abs. 4a, b DSGVO |
| als Überwachungsstelle keine geeignete Maßnahmen bei Verstoß gegen die Verhaltensregeln getroffen | bis 10 Mio. € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes** | Art. 41, 83 Abs. 4c DSGVO |
| Verstoß gegen die Grundsätze der Verarbeitung von personenbezogenen Daten (u. a. Rechtmäßigkeit, Transparenzgebot, Zweckbindung, Datenminimierung, Speicherbegrenzung, Rechenschaftspflicht) | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 5, 83 Abs. 5a DSGVO |
| unrechtmäßige Verarbeitung personenbezogener Daten | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 6, 83 Abs. 5a DSGVO |
| Verstoß gegen die Bedingungen für eine wirksame Einwilligung des Betroffenen in die Datenverarbeitung, sofern diese erforderlich ist | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 7, 83 Abs. 5a DSGVO |
| Verstoß gegen die Beschränkungen bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (u. a. zur ethnischen Herkunft, Weltanschauung, Religion, Gesundheitsdaten) | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 9, 83 Abs. 5a DSGVO |
| Verstoß gegen die Rechte der Betroffenen (u. a. Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Widerspruchsrecht) | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 12 bis 22, 83 Abs. 5b DSGVO |
| unzulässige Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland oder internationale Organisation | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 44 bis 49, 83 Abs. 5c DSGVO |
| Verstoß gegen die Vorschriften für besondere Verarbeitungssituationen | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 83 Abs. 5d, 85 bis 91 DSGVO |
| Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde nicht befolgt | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 58 Abs. 2, 83 Abs. 5e, 85 bis 91 DSGVO |
| den Aufsichtsbehörden die ihnen zustehenden Untersuchungsbefugnisse nicht gewährt | bis 20 Mio. € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes** | Art. 58 Abs. 1, 83 Abs. 5e, 85 bis 91 DSGVO |
| Straftaten (Antragsdelikte, die nur auf Antrag des Betroffenen verfolgt werden) | ||
| unberechtigte, wissentliche Datenübermittlung von personenbezogenen Daten einer großen Anzahl von Personen an Dritte | Geldstrafe oder Freiheitsstrafe bis 3 Jahre | § 42 Abs. 1 Nr. 1 BDSG |
| ... auf andere Art und Weise zugänglich gemacht | Geldstrafe oder Freiheitsstrafe bis 3 Jahre | § 42 Abs. 1 Nr. 2 BDSG |
| unberechtigte Verarbeitung von personenbezogenen Daten, die nicht allgemein zugänglich sind, zum Zwecke der Bereicherung oder Schädigung eines Betroffenen | Geldstrafe oder Freiheitsstrafe bis 2 Jahre | § 42 Abs. 2 Nr. 2 BDSG |
| personenbezogene Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben zum Zwecke der Bereicherung oder Schädigung eines Betroffenen erschlichen | Geldstrafe oder Freiheitsstrafe bis 2 Jahre | § 42 Abs. 2 Nr. 2 BDSG |
| * die Verhängung eines Bußgelds gegen Behörden und andere öffentliche Stellen sieht das BDSG nicht vor, eine entsprechende Einschränkung gestattet Art. 83 Abs. 7 DSGVO (für Straftaten gilt eine solche Ausnahme hingegen nicht) ** je nachdem, welcher Betrag höher ist (angemessenes Wahl der Geldbuße unter Berücksichtigung der Umstände des Einzelfalles) | ||
Wichtig: Die DSGVO stellt es den EU-Mitgliedstaaten frei, ob und in welchem Umfang sie die Verhängung von Geldbußen auch gegenüber Behörden und anderen öffentlichen Stellen zulassen wollen. Deutschland hat sich im Rahmen dessen gegen die Verhängung von einem Bußgeld nach DSGVO gegen öffentliche Stellen entschieden. Dennoch können Datenschutzverstöße verfolgt werden. Wurde einem Betroffenen durch einen solchen geschadet, kann auch ein Anspruch auf Schadensersatz bestehen.
Warum sind die DSGVO-Bußgelder so hoch angesetzt?
Die EU-Datenschutz-Grundverordnung (DSGVO) hat im Jahr 2018 die Gemüter von Unternehmen, Privatpersonen und Behörden bewegt. Obwohl diese bereits zwei Jahre vor der verpflichtenden Umsetzung im Mai 2018 in Kraft getreten ist, waren die wenigsten auf die (nicht ganz so) neuen Datenschutzbestimmung vorbereitet.
Den Schweiß auf die Stirn trieb zahlreichen Unternehmen vor allem die Sorge vor dem neuen Bußgeld-Konzept der DSGVO, die in Deutschland ebenso gelten wie in den anderen EU-Mitgliedstaaten. So kann ein einzelner DSGVO-Verstoß ein Bußgeld in Millionenhöhe zur Folge haben, je nach Schwere, Ausmaß und Umsatz des Unternehmens. Auch noch so kleine Datenschutzverstöße – egal ob fahrlässig oder vorsätzlich – können für die Unternehmen also empfindliche Folgen haben.
Hintergrund für den neuen Datenschutz-Bußgeldkatalog nach DSGVO: Personenbezogene Daten sind bares Geld wert. Viele Unternehmen haben in den letzten Jahren unzulässig hieran verdient und die nötige Transparenz bei der Verarbeitung vermissen lassen. Um der Schutzwürdigkeit der personenbezogenen Daten Nachdruck zu verleihen, sollen hohe Bußgelder auch abschreckend wirken.
Verstoß gegen DSGVO: Neben Bußgeld auch Schadenersatzansprüche möglich
Doch nicht nur hohe Geldbußen sieht die DSGVO vor. Wurden Betroffene durch eine unzulässige Verarbeitung ihrer personenbezogenen Daten geschädigt, kann er von den Verantwortlichen Schadenersatz verlangen. Dabei ist dies sowohl bei materiellen als auch immateriellen Schäden möglich (vgl. Art. 82 DSGVO).
Bildnachweise: depositphotos.com/massimo, fotolia.com/Grecaud Paul
Quellen und weiterführende Links
(45 Bewertungen, Durchschnitt: 4,09 von 5)
Loading...Über den Autor
Guten Tag,
wer bekommt das Bußgeld was zu zahlen ist?
Bekommt der Melder anteilig etwas?
Guten Tag,
die Bußgelder gehen in aller Regel an den Bund bzw. die Landeskassen.
Die Redaktion von datenschutz.org