Skip to main content

Welche Strafen drohen bei Nichteinhaltung der Datenschutz-Grundverordnung?

    Wenn Sie dies lesen, kennen Sie zweifellos die Datenschutz-Grundverordnung - das bahnbrechende Gesetz der Europäischen Union zum Schutz der personenbezogenen Daten ihrer Einwohner.

    Die gigantischen Geldstrafen, die gegen Tech-Giganten verhängt werden, tauchen fast täglich in den Nachrichten auf. Die 746 Millionen Euro, die Amazon aufgebrummt wurden, sind  Grund genug, jeden aufhorchen zu lassen.

    Aber was bedeutet das für Sie?

    In diesem Artikel wird das durch die DSGVO eingeführte System der Geldstrafen aufgeschlüsselt. Es wird auch untersucht, wie genau diese Geldstrafen festgelegt werden.

    Welche DSGVO-Bußgelder gibt es?

     

    Das Gesetz hat ein zweistufiges System für DSGVO-Bußgelder geschaffen, das sich nach der Schwere der Nichteinhaltung richtet:

    • Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes aus dem Vorjahr - je nachdem, welcher Betrag höher ist
    • Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes - je nachdem, welcher Betrag höher ist.

    Wie man es auch dreht und wendet, das ist eine Menge Geld, und diese Fakten allein sind schon Grund genug, um jedes Unternehmen zu beunruhigen.

    Dabei handelt es sich jedoch um Worst-Case-Szenarien. Die kleinste bisher verhängte Geldstrafe lag bei etwas geringeren 28 Euro (Privacy Affairs).

    Was bedeuten diese DSGVO-Stufen?

     

    Schauen wir uns die Unterschiede an.

    Stufe 1 - Bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes

    Dies ist die niedrigere Stufe für weniger schwerwiegende Verstöße und wird an Unternehmen vergeben, die in den folgenden Bereichen gegen die DSGVO verstoßen:

    Art der Organisation

    Relevanter Artikel

    Einzelheiten

    Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter

    Artikel 8, 11, 25-39, 42 und 43

    Die Unternehmen müssen die Vorschriften über den Datenschutz, die rechtmäßige Rechtfertigung usw. einhalten.

    Zertifizierungsstellen

    Artikel 42 und 43

    Die akkreditierten Stellen müssen transparent und unparteiisch sein.

    Kontrollstellen für Beschwerden und Verstöße

    Artikel 41

    Diese Organisationen müssen festgelegten Verfahren folgen und transparent und unparteiisch sein.

     

    Stufe 2 - Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes

    Dies ist die höhere Stufe für schwerwiegendere Verstöße und wird Unternehmen auferlegt, die in den folgenden Bereichen gegen die Datenschutz-Grundverordnung verstoßen:

    Thema

    Relevanter Artikel

    Einzelheiten

    Grundprinzipien der Datenverarbeitung

    Artikel 5, 6 und 9

    Dies muss auf rechtmäßige, faire und transparente Weise geschehen. Die Daten dürfen nur für bestimmte Zwecke verarbeitet werden und müssen sicher, genau und aktuell gespeichert werden.

    Bedingungen für die Einwilligung

    Artikel 7

    Unternehmen müssen nachweisen können, dass sie eine Einwilligung als Rechtfertigung für die Datenverarbeitung eingeholt haben.

    Rechte der betroffenen Person

    Artikel 12-22

    Die Betroffenen müssen wissen, welche Daten ein Unternehmen speichert und was es damit macht. Sie haben auch das Recht, diese Informationen anzufordern und sie auf Anfrage zu korrigieren, zu löschen oder zu übertragen.

    Datenübermittlung an ein internationales Unternehmen oder ein Drittland.

    Artikel 44-49

    Bevor dies geschieht, muss die Europäische Kommission entscheiden, dass das Zielunternehmen/-land die Datenschutzstandards der DSGVO erfüllt. Die Datenübermittlung muss außerdem sicher erfolgen.

    Wie werden die DSGVO-Bußgelder festgelegt?

     

    Da die Höhe der gegen Unternehmen verhängten Bußgelder so stark variiert, könnte man meinen, dass die Datenschutzbehörden (DSB) willkürliche Zahlen aus dem Hut ziehen.

    In Wirklichkeit stützen sich die Datenschutzbehörden auf Artikel 83 der Datenschutz-Grundverordnung, um die Höhe der Geldbuße zu bestimmen. Zu den hier genannten Faktoren gehören:

    • Art und Umfang des Verstoßes
    • Welche Vorkehrungen das Unternehmen zur Risikobegrenzung getroffen hat
    • Hat das Unternehmen die betroffenen Personen über seine Verstöße informiert
    • welche Art von personenbezogenen Daten betroffen war
    • die Vorgeschichte des Unternehmens in Bezug auf Datenschutzfragen
    • Inwieweit das Unternehmen seine Datenschutzbestimmungen während des Sanierungszeitraums eingehalten hat
    • Wie das Unternehmen auf GDPR-Warnungen reagierte
    • Die Absicht in Bezug auf den Datenmissbrauch und ob Fahrlässigkeit vorlag
    • Wie viel Schadensbegrenzung gibt es, um den Schaden für die betroffenen Personen zu begrenzen?

    DSGVO-Bußgelder sind das letzte Mittel

     

    Der Zweck dieser finanziellen Sanktionen ist es, Unternehmen davon abzuhalten, die DSGVO-Anforderungen für personenbezogene Daten zu ignorieren - und nicht, sie in die Liquidation zu zwingen.

    Die Zahlung dieser Bußgelder ist jedoch gesetzlich vorgeschrieben, und Führungskräfte von Unternehmen, die nicht zahlen, riskieren eine Gefängnisstrafe.

    Die DSGVO sieht Geldbußen jedoch als letztes Mittel an und arbeitet an besseren Leitlinien, um Unternehmen bei der Erfüllung ihrer Datenschutzpflichten zu unterstützen.

    Bevor Geldstrafen verhängt werden, wird die DSGVO Verwarnungen, Verweise und Korrekturanordnungen aussprechen. Wenn Sie sich an diese Forderungen halten, sollten Sie in der Lage sein, die schlimmsten dieser Sanktionen zu vermeiden.

    Gibt es auch nicht-finanzielle Sanktionen?

     

    Abgesehen von den Geldbußen im Rahmen der DSGVO kann ein Verstoß Ihrer Datenschutzbehörde auch andere Folgen haben.

    Erstens werden die Unternehmen viel Vertrauen bei ihren Kunden verlieren. Fast 70% aller Internetnutzer weltweit suchen inzwischen proaktiv nach Möglichkeiten, ihre Online-Daten zu schützen (Statista).

    Zweitens liegt es auf der Hand, dass Unternehmen, die mit der Durchsetzung der DSGVO nicht zurechtkommen, Geschäftseinbußen erleiden, was sich auf den langfristigen Wohlstand auswirkt.

    Schließlich laufen Unternehmen Gefahr, von einem dauerhaften Verbot der Verarbeitung personenbezogener Daten von EU-Bürgern betroffen zu sein. In Anbetracht der Bedeutung des Internets in der modernen Welt könnte dies durchaus das Aus für sie bedeuten.

    Wie man DSGVO-Geldbußen vermeidet

     

    Die Datenschutzbehörden werden immer raffinierter und verhängen mehr Geldstrafen als je zuvor. Allerdings sind sie überlastet, und die Durchsetzung kann im Moment noch nicht mit der Zahl der neuen Fälle Schritt halten.

    Der sicherste Weg, Bußgelder zu vermeiden, ist die Einhaltung der Datenschutz-Grundverordnung.

    In Anbetracht des Mangels an offiziellen Leitlinien haben wir einen Leitfaden erstellt, der Unternehmen bei der Erfüllung der DSGVO-Anforderungen helfen kann.

    Werfen Sie einen Blick darauf und setzen Sie die Räder in Bewegung.