Bußgelder nach DSGVO

  • Bei Verstößen gegen die DSGVO haben die Aufsichtsbehörden Geldbußen zu verhängen, die wirksam, verhältnismäßig und abschreckend sind.

    Durch die DSGVO haben sich die Vorgaben für das Verhängen von Bußgeldern wesentlich verändert. Bußgelder müssen wirksam, verhältnsimäßig und abschreckend sein (Art. 83 DSGVO). Neu dabei ist, dass der Gesetzgeber die Aufsichsbehörden in der EU verpflichtet abschreckende Bußgelder zu verhängen. Dies wird sich vor allem in der Höhe auswirken.
    Melden Unternehmen Datenschutzverstöße rechtzeitig und sind gegenüber der Aufsichtsbehörde kooperativ, so kann je nach Schwere des Verstoßes ein Bußgeld bei Verlust von Kundendaten und Zahlungsdaten durch einen Zahlungsabwickler von 80.000 Euro angemessen sein.
    Die Höhe richtet sich nach der Intensität des Verstoßes und kann bis zu 20. Millionen Euro oder im Falle eines Unternehmens bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Die höhere Grenze ist entscheidend.

    1 Bußgelder bis 20 Mio bzw. 4 % Jahresumsatz

    Bei schweren Verstößen gegen das Datenschutzrecht sollen Höchstgrenzen von 20 Mio Euro bzw bei Unternehmen bis zu 4% vom Jahresumsatz abschreckend wirken:

    • die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung,
    • die Rechte der betroffenen Person (Information, Auskunft Berichtigung Löschung, Beschränkung der DV, Datenübertragbarkeit, Widerspruchsrecht, Profiling)
    • die Übermittlung personenbezogener Daten in Drittland oder an internationale Organisation
    • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde

    2 Bußgelder bis 10 Mio bzw. 2 % Jahresumsatz


    Für Verstöße gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter z.B. bei

    • Datenschutz durch Technikgestaltung (privacy by design) und Voreinstellungen (privacy by default),
    • Auftragsdatenverarbeitung,
    • Führen von Verarbeitungsverzeichnissen,
    • Zusammenarbeit mit Aufsichtsbehörden,
    • Datensicherheit,
    • Meldung und Benachrichtigung bei Datenschutzverletzungen,
    • Benennung, Unterstützung und Weisungsfreiheit des Datenschutzbeauftragten,
    • Zertifizierungen,
    • Verstöße gegen Pflichten der Zertifizierungsstelle
    • Verstöße gegen Pflichten der Überwachungsstelle

Teilen