Internationale Rechtsberatung

Sie sind auf der Suche nach einer international tätigen Anwaltskanzlei? SAXINGER steht Ihnen mit internationalen Teams zur Seite und berät sie kompetent, engagiert und mit wertvoller Erfahrung vor Ort. Informieren Sie sich vorab online über verschiedenste Themengebiete des internationalen Wirtschaftsrechts. 


Datenschutz-Geldbußen: Alle Infos auf einem Blick

Bei Verletzungen des Schutzes personenbezogener Daten oder der Verarbeitung personenbezogener Daten ohne geeignete Rechtsgrundlage sieht die Datenschutz-Grundverordnung (DSGVO) strenge Strafen vor, die abschreckend wirken sollen. Geldbußen von bis zu zwanzig Millionen Euro sind bei einem DSGVO-Verstoß möglich. Im folgenden Abschnitt haben wir die wichtigsten Fragen zu Datenschutz-Geldbußen für Sie zusammengefasst:


Inhaltsübersicht:


Wann kommt es zu Datenschutz-Geldbußen?

Mit Einführung der Datenschutz-Grundverordnung (DSGVO) wurden auch die Datenschutz-Geldstrafen im Falle eines Verstoßes geregelt. Diese können bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens betragen. Datenschutzverstöße sind somit kein Kavaliersdelikt mehr, sondern werden seit Inkrafttreten der DSGVO im Jahr 2018 streng geahndet. Die hohen Strafen sollen eine abschreckende Wirkung haben.  

Zu Datenschutz-Geldbußen kommt es vor allem dann, wenn personenbezogene Daten (also jene Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen) unrechtmäßig verwendet werden. Kategorien personenbezogener Daten sind etwa Namen, Adressen, E-Mail-Adressen, Geburtsdaten, Bankdaten etc. Diese dürfen nicht ohne geeignete Rechtsgrundlage verarbeitet werden. Wurden die Daten hingegen anonymisiert und lassen keine Rückschlüsse mehr auf die Identität der natürlichen Person zu, kommt es zu keinem Verstoß (bspw., wenn Kundendaten für Analysezwecke anonymisiert ausgewertet werden). 

Wie hoch können Bußgelder beim Datenschutzverstoß sein?

Die Höhe der Datenschutz-Geldstrafen richtet sich nach der Schwere des Verstoßes und kann bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens betragen (DSGVO Maximalstrafe). Bestimmte Fälle können mit bis zu zehn Millionen oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Wichtig ist, dass die Bußgelder wirksam, verhältnismäßig und abschreckend sind. 

Wann kommt es zu Datenschutzverletzungen?

Besteht der Verdacht, dass ein Unternehmen gegen das Datenschutzgesetz (DSG) oder die Datenschutz-Grundverordnung (DSGVO) verstößt, kann dies bei der Datenschutzbehörde „gemeldet“ werden. Die betroffenen Personen können in diesem Fall Beschwerde erheben und der Fall muss dann geprüft werden. 

Verletzungen des Datenschutzes sind beispielsweise die unerlaubte Verwendung, Übermittlung und Speicherung personenbezogener Daten der betroffenen Person. Dies kann wissentlich und mit Absicht geschehen, es ist aber auch ein unbeabsichtigter Verstoß gegen die DSGVO möglich, etwa durch den Verlust eines Datenträgers, auf dem personenbezogene Daten gespeichert wurden oder durch einen Hackerangriff, der beispielsweise Kundendaten offenlegt. 

Aus Sicht der Betroffenen kann es sich um den Verlust der Kontrolle über ihre personenbezogenen Daten, Identitätsdiebstahl oder -betrug, finanzielle Verluste oder auch um Rufschädigung handeln, die im schlimmsten Fall erhebliche wirtschaftliche oder gesellschaftliche Nachteile für den Geschädigten mit sich bringen. Der Schaden kann somit materieller oder immaterieller Natur sein. 

Nach welchen Kriterien wird über die Höhe der Datenschutz-Geldbußen entschieden?

Geldbußen müssen wirksam, verhältnismäßig und abschreckend sein. Es wird jeweils im Einzelfall beurteilt, welche Umstände zum Verstoß gegen den Datenschutz vorliegen.

Ausschlaggebend sind neben der Schwere auch die Art und Dauer des Verstoßes, insbesondere die Anzahl der betroffenen Personen und das Ausmaß des erlittenen Schadens. Darüber hinaus ist zu klären, ob Vorsätzlichkeit oder Fahrlässigkeit bestanden hat und ob das schädigende Unternehmen daraus einen Vorteil gezogen hat. Außerdem wird evaluiert, ob entsprechende Schadenminderungsmaßnahmen seitens der Schädiger getroffen wurden und ob es bereits einschlägige frühere Verstöße gegen den Datenschutz gab. Verweigern die Schädiger die Zusammenarbeit mit der Aufsichtsbehörde (=Datenschutzbehörde), kann dies auch das Strafmaß erhöhen. Die Datenschutzbehörde entscheidet dann über die Höhe der Geldbuße. 

Wer haftet bei einem DSGVO-Verstoß?

Alle, die Daten missbräuchlich verarbeitet haben, haften grundsätzlich auch dafür. Jeder an einer Verarbeitung Beteiligte haftet (zivilrechtlich) für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Wurde für die Verarbeitung der Daten eine externe Partei (insb. Auftragsverarbeiter) herangezogen, so haftet diese nur, wenn sie ihren Pflichten betreffend Datenschutzmaßnahmen nicht nachgekommen ist oder aber gegen Anweisung des Auftraggebers bzw. unter Nichtbeachtung rechtmäßig erteilter Anweisungen des Verantwortlichen gehandelt hat. 

Haben Betroffene das Recht auf Schadenersatz? 

Ist jemandem aufgrund eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden zugefügt worden, gibt es ein Recht auf Schadenersatz. Bei einer Mehrzahl an Betroffenen können alle Geschädigten Schadenersatzforderungen geltend machen, die für den Schädiger empfindlich hoch ausfallen können. 

Fazit

Verstöße gegen die Datenschutz-Grundverordnung bzw. gegen nationale Datenschutzgesetze können mit sehr hohen Strafen geahndet werden. Entscheidend für die Höhe der Geldbußen sind unter anderem Faktoren wie die Dauer, Schwere und Art des Verstoßes, wie viele Personen davon betroffen sind, ob vorsätzlich oder fahrlässig gehandelt wurde und ob der Schädiger aus dem Verstoß einen Vorteil gezogen hat. Die Datenschutzbehörde prüft dies im Einzelfall und verhängt entsprechende Geldbußen, die wirksam, verhältnismäßig und abschreckend sein sollen. Hinzukommen können zivilrechtliche Schadenersatzansprüche.

Häufig gestellte Fragen (FAQ) zu Datenschutz-Geldbußen

Was passiert bei einem DSGVO-Verstoß?

Verstößt ein Unternehmen gegen den Datenschutz, kann dies von der Datenschutzbehörde sanktioniert werden. Diese entscheidet dann über das Strafmaß. Bemerkt eine Person, dass ihre Daten missbräuchlich verwendet werden, kann sie Beschwerde bei der Behörde einlegen, die den Fall dann prüfen muss. Je nach Schwere des Verstoßes sind Geldbußen von bis zu zwanzig Millionen Euro möglich. 

Wer ist bei einer Datenschutzverletzung haftbar?

Haftbar ist bei einer Datenschutzverletzung grundsätzlich der datenschutzrechtliche Verantwortliche. Hat er mit der Datenbearbeitung Subunternehmen betraut, sind diese prinzipiell auch haftbar. 

Rechtliche Beratung zu Datenschutz Geldbußen

Sie möchten mehr über das Thema Datenschutz Geldbußen wissen? Unser kompetentes Team berät Sie gerne und unterstützt Sie bei all Ihren Fragen. Nehmen Sie noch heute Kontakt auf! 

Kontakt aufnehmen >>

Sie haben ein anderes Anliegen im Bereich IP/IT-Recht? Erfahren Sie mehr über unser umfassendes IP/IT-Rechts-Leistungsportfolio.