Wie hoch sind die Bußgelder bei Datenschutzverstößen?

Die Datenschutz-Grundverordnung (DSGVO) ist eines der strengsten Datenschutzgesetze weltweit. Die DSGVO ermöglicht es den Aufsichtsbehörden, gegen jedes in der EU tätige Unternehmen Geldbußen in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes zu verhängen, wenn sie gegen die Datenschutzbestimmungen verstoßen.

Wann kann ein Bußgeld verhängt werden?

Wenn die Datenschutzbehörde einen Verstoß gegen die DSGVO feststellt, fordert sie in der Regel zuerst Maßnahmen zur Behebung der Situation. Wenn die vorgeschlagenen Maßnahmen nicht ergriffen werden oder nicht wirksam sind, kann anschließend ein Bußgeld verhängt werden.

Wie hoch sind die Geldbußen für einen Datenschutzverstoß?

Die Bußgelder der DSGVO sind in zwei Stufen unterteilt.

DSGVO-Bußgelder auf der ersten Stufe

Diese niedrigere Bußgeldstufe wird in der Regel angewandt, wenn es sich um einen Verstoß handelt, der in den folgenden Artikeln der DSGVO aufgeführt ist:

  • Einholung der Einwilligung von Kindern (Artikel 8)
  • Benachrichtigung der Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten (Artikel 33)
  • Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes personenbezogener Daten (Artikel 34)
  • Benennung eines Datenschutzbeauftragten (Artikel 37-39).

Verstöße gegen einen der genannten Artikel können nach der DSGVO von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden, je nachdem welcher Betrag höher ist.

DSGVO-Geldbußen auf der zweiten Stufe

Bei schwerwiegenderen Verstößen, z. B. bei Verletzung der Rechte einer betroffenen Person, werden Bußgelder der höheren Stufe verhängt.

Hierzu zählen Verletzungen der folgenden Artikel der DSGVO:

  • Grundprinzipien der Datenverarbeitung, einschließlich der Einwilligung (Artikel 5-7, 9)
  • Rechte der betroffenen Personen (Artikel 12-22)
  • Bestimmungen zur Drittlandsübermittlung (Artikel 44-49)
  • Nichteinhaltung einer Anordnung zur Einschränkung der Verarbeitung oder der Aussetzung von Datenübermittlungen durch eine Aufsichtsbehörde (Artikel 58 Absatz 1, 58 Absatz 2).

Verstöße dieser Art können mit einer Geldbuße von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr geahndet werden, je nachdem, welcher Betrag höher ist.

Wie wird die Höhe der Geldbußen berechnet?

Bußgelder werden von den Datenschutzbehörden der einzelnen EU-Länder im Rahmen der Datenschutz-Grundverordnung verhängt. Diese Behörde entscheidet, ob ein Verstoß vorliegt und wie hoch die Geldstrafe ausfällt.

Im Folgenden sind zehn Faktoren aufgeführt, anhand derer die Behörde entscheidet, ob und in welcher Höhe ein Bußgeld verhängt wird:

  1. Art, Schwere und Dauer des Verstoßes - Wodurch wurde der Verstoß verursacht, wie und warum kam es dazu, wie viele Personen waren betroffen, wie hoch war der Schaden, und wie lange dauerte es, ihn zu beheben?
  2. Absicht oder Fahrlässigkeit der Datenschutzverletzung - Wurde der Datenschutzverstoß absichtlich oder unabsichtlich begangen?
  3. Von der Organisation ergriffene Abhilfemaßnahmen - Hat das Unternehmen Schritte unternommen, um den durch die Sicherheitsverletzung verursachten Schaden zu mindern?
  4. Vorsichtsmaßnahmen - Welche organisatorischen und technischen Vorkehrungen hat das Unternehmen zuvor getroffen?
  5. Vorgeschichte - Gab es frühere Verstöße, auch im Rahmen der Datenschutzrichtlinie, sowie die Einhaltung früherer administrativer Abhilfemaßnahmen im Rahmen der Datenschutz-Grundverordnung?
  6. Zusammenarbeit - Hat das Unternehmen jemals mit der Aufsichtsbehörde zusammengearbeitet, um den Verstoß zu ermitteln und zu korrigieren? In welchem Umfang hat das betroffene Unternehmen bei der Behebung des Verstoßes kooperiert?
  7. Art der betroffenen personenbezogenen Daten - Welche Art von personenbezogenen Daten war von der Verletzung betroffen?
  8. Benachrichtigung - Auf welche Weise hat die Aufsichtsbehörde von der Sicherheitsverletzung erfahren? Hat das Unternehmen oder ein beauftragter Dritter die Aufsichtsbehörde unverzüglich über die Verletzung informiert?
  9. Einhaltung genehmigter Verhaltenskodizes oder Zertifizierungssysteme - Gibt es weitere Bedenken, die sich aus den Umständen des Falles ergeben, wie z. B. finanzielle Gewinne oder Verluste, die durch die Sicherheitsverletzung vermieden wurden?
  10. Mildernde Umstände - Gibt es weitere Bedenken, die sich aus den Umständen des Falles ergeben, z. B. finanzielle Gewinne oder Verluste, die durch den Verstoß vermieden wurden?

Warum sind die Bußgelder so hoch?

Die Höhe der bei Datenschutzverstößen verhängten Bußgelder soll wirksam, verhältnismäßig und abschreckend sein. Gerade der abschreckende Charakter ermöglicht es Aufsichtsbehörden sehr hohe Strafen zu verhängen, um Unternehmen die Wichtigkeit der Umsetzung der DSGVO aufzuzeigen.

Welches sind die drei höchsten bisher verhängten Geldbußen?

Luxemburg, Frankreich und Deutschland gehören zu den EU-Mitgliedstaaten, die die höchsten individuellen DSGVO-Bußgelder verhängt haben.

Amazon, Google und H&M gehörten zu den großen Unternehmen, gegen die die EU-Mitgliedsstaaten Bußgelder in Millionenhöhe wegen Verstößen gegen die DSGVO im Zusammenhang mit personenbezogenen Daten verhängt haben.

Im Folgenden sind die drei höchsten Bußgelder aufgeführt, die im Rahmen von Datenschutzverstößen verhängt wurden.

Amazon DSGVO-Strafe - 746 Millionen Euro

Luxemburg verhängte am 16. Juli 2021 eine Geldstrafe in Höhe von 746 Millionen Euro (888 Millionen US-Dollar) gegen Amazon wegen Verstoßes gegen die Datenschutz-Grundverordnung.

Die Strafe wurde aufgrund einer Beschwerde von 10.000 Personen gegen Amazon im Mai 2018 durch La Quadrature du Net, eine französische Organisation für Datenschutzrechte, die sich für den Schutz der Grundfreiheiten in der digitalen Welt einsetzt, verhängt.

Dies ist jedoch nicht das erste Mal, dass Amazon für die Art und Weise, wie es personenbezogene Daten durch Cookies sammelt und weitergibt, bestraft wurde, denn 2020 wurde das Unternehmen von Frankreich mit 35 Millionen Euro geahndet, weil es keine Cookie-Genehmigung eingeholt hatte.

Google DSGVO-Strafe - 50 Millionen Euro

Frankreich verhängte am 21. Januar 2019 eine Strafe von 50 Millionen Euro gegen Google wegen mangelnder Transparenz, mangelhafter Kommunikation über die Erhebung und Verwendung personenbezogener Daten und illegaler Werbeansprache.

Es ging darum, wie Google seinen Nutzern Datenschutzhinweise zukommen ließ und wie das Unternehmen die Zustimmung zu maßgeschneiderter Werbung und anderen Arten der Datenverarbeitung einholte.

Das Unternehmen hat es versäumt, die Nutzer angemessen über die Zustimmungsverfahren zu informieren und ihnen keine ausreichende Kontrollmöglichkeiten gegeben, wie ihre personenbezogenen Daten verarbeitet werden.

H&M DSGVO-Bußgeld - 35,25 Millionen Euro

Die Hamburger Datenschutzbehörde verhängte am 5. Oktober 2020 ein Bußgeld in Höhe von 35.258.707,95 Euro gegen das Bekleidungsunternehmen H&M wegen eines Verstoßes gegen die Datenschutzgrundverordnung.

Zu den Verstößen gegen die DSGVO bei H&M gehörte, dass das Unternehmen sensible personenbezogene Daten seiner Mitarbeiter über andere Mitarbeiter ausspähen lies, um Mitarbeiterprofile zu erstellen und diese Informationen dann bei Personalentscheidungen zu nutzen.

Zu den personenbezogenen Daten gehörten medizinische Informationen, einschließlich Diagnosen und Krankheitssymptome sowie vertrauliche Details über Urlaubs- und Familienangelegenheiten.

Warum Sie das Bußgeldrisiko ernst nehmen sollten

Die hohen Geldstrafen der DSGVO sollen sicherstellen, dass der Verstoß gegen rechtskonforme Datenschutzpraktiken für Unternehmen zu kostspielig würde. Jedes Unternehmen, das keine Schritte zur Einhaltung der DSGVO unternimmt, muss mit erheblichen Geldstrafen rechnen.

Lassen Sie sich jetzt beraten!

Wir freuen uns darauf, Sie kennenzulernen.
Sie möchten ein kostenloses Angebot oder eine Erstberatung erhalten oder möchten sich einfach nur unverbindlich mit uns in Verbindung setzen?
Wir freuen uns auf Ihre Nachricht oder Ihren Anruf!
+49 (0) 89 215 281 07

Kostenlose Erstberatung oder
Angebot anfordern.

Datenschutz-Blog

Wissenswertes zum Datenschutz finden Sie in unseren Blog-Beiträgen.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Wie hoch sind die Bußgelder bei Datenschutzverstößen?

Wie hoch sind die Kosten für einen externen Datenschutzbeauftragten?

Vor- und Nachteile: interner vs. externer Datenschutzbeauftragter

Was ist die Datenschutz-Grundverordnung? Und wie kann ich sie einhalten?

Was sind technische und organisatorische Maßnahmen (TOMs)?

Ab wann muss ich einen Datenschutzbeauftragten (DSB) benennen?

Was ist eine Betroffenenanfrage und worauf muss ich unbedingt achten?

PrivacyPoint
envelope