Zum Inhalt springen

Datenschutz

DSGVO-Strafe: Bußgelder bei Datenschutzverstößen

Haftung und Strafen bei DSGVO-Verstößen – lesen Sie hier, wie Unternehmen ihre Haftungsrisiken minimieren können.

Zum Blog Wissen kompakt
Laptop mit Datenschutzsymbolen auf dem Bildschirm und Person mit Dokument am Schreibtisch.
07. November 2022

So minimieren Unternehmen ihre Haftung bei Datenschutzverstößen

Amazon muss die bislang höchste DSGVO-Strafe in Kauf nehmen: Die nationale Datenschutzkommission (CNPD) in Luxemburg hat gegen den E-Commerce-Giganten aufgrund von Datenschutzverstößen ein Bußgeld von rund 746 Millionen Euro verhängt. Nicht nur dieser Fall zeigt, dass die unternehmerische Haftung für Datenschutzverletzungen zum ernsten Thema geworden ist, das existenzbedrohende Ausmaße annehmen kann. Auch in Deutschland hat es bereits mehrere Fälle gegeben, in denen Bußgelder in Millionenhöhe ausgesprochen wurden.

Wir haben mit Rechtsanwalt Frank Henkel darüber gesprochen, welche Haftungsrisiken für Unternehmerinnen und Unternehmer bestehen. Als externer betrieblicher Datenschutzbeauftragter zahlreicher Unternehmen bringt er über 20 Jahre Erfahrung im Datenschutzrecht mit.

DSGVO-Strafe: Welche Konsequenzen hat ein Datenschutzverstoß?

Die Strafen für eine Datenschutzverletzung konkretisiert die DSGVO in Artikel 83. So kann die zuständige Behörde je nach Art und Schwere des Datenschutzverstoßes Bußgelder von bis zu 20 Millionen Euro oder alternativ 4 Prozent des weltweiten Gesamtumsatzes im Vorjahr verhängen – je nachdem, welcher Betrag höher ist. Die Behörden haben hier einen erheblichen Spielraum. Der Trend geht jedoch seit Einführung der DSGVO zu deutlich höheren Bußgeldern als zu Zeiten des Bundesdatenschutzgesetzes (BDSG).

Dabei treffen die Forderungen nicht nur große Konzerne – auch Kleinstunternehmen können von einer Strafe infolge eines DSGVO-Verstoßes betroffen sein. Frank Henkel erklärt: „Es kommt weniger auf die Unternehmensgröße an, sondern eher auf die Art von Verarbeitungsprozessen. Wer viele Mitarbeiter beschäftigt, eine große Anzahl an Verbrauchern im B2C-Bereich bedient oder in einer sensiblen Branche wie dem E-Commerce oder im Bankenwesen tätig ist, hat ein ungleich höheres Risiko als andere Unternehmen, die fast ausschließlich mit juristischen Personen als Geschäftskunden arbeiten.“

Neben einer potenziellen Strafe für einen Datenschutzverstoß drohen weitere Konsequenzen:

  • Schadenersatzklagen von Betroffenen
  • Unterlassungsansprüche
  • Löschungsansprüche (z. B. bei Datenverarbeitung ohne Rechtsgrundlage)
  • Abgabe einer strafbewehrten Unterlassungserklärung, die eine Schuldanerkenntnis beinhaltet
  • Massive Imageverluste (etwa infolge einer Datenpanne)
  • Einschränkung oder Untersagung der Verarbeitung personenbezogener Daten bis zur Erfüllung aller Vorgaben der Aufsichtsbehörde
  • Strafrechtliche Konsequenzen

TÜV NORD – Ihr Partner für berufliche Weiterbildungen

Vielfalt

Über 900 qualifizierte Referentinnen und Referenten geben ihr Know-how in über 520 verschiedenen Seminarthemen täglich an Sie weiter.

Flexibilität

Wir bieten Ihnen volle Flexibilität. Entscheiden Sie selbst, ob Sie an unserem OnlineCampus, einer Präsenzschulung oder an einer für Sie konzipierten Inhouse-Schulung teilnehmen möchten.

Qualität

Wir stehen für Qualität. Unsere Zertifikate und Bescheinigungen sind Qualitätssiegel für Sie und Ihr Unternehmen.

Steigende Tendenz: Entwicklung der DSGVO-Bußgelder

Nach dem früheren Bundesdatenschutzgesetz (BDSG) konnten pro Datenschutzverstoß Bußgelder lediglich bis zu einer Höhe von 300.000 Euro verhängt werden. Mit dem Inkrafttreten der DSGVO sind die Forderungen nun erheblich gestiegen.

Auch die Häufigkeit von Bußgeldern steigt. 2019 wurden in 151 Fällen Strafen in Höhe von 73 Millionen Euro verhängt. 2021 gab es bereits 434 Fälle mit Bußgeldern in Höhe von 1,277 Milliarden Euro.

Bei der Festsetzung der Strafen für DSGVO-Verstöße haben die Behörden einen erheblichen Ermessensspielraum. Sie können folgende Aspekte berücksichtigen:

DSGVO-Bußgelder knacken die 2021 die Milliardengrenze

Ermessensspielraum bei der Festsetzung von Bußgeldern

  • Art, Schwere und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • Maßnahmen zur Schadensminderung
  • Grad der Verantwortung
  • Frühere DSGVO-Verstöße und Einhaltung der in solchen Fällen angeordneten Maßnahmen
  • Zusammenarbeit mit der Datenschutzaufsichtsbehörde
  • Betroffene Daten
  • Art der Bekanntmachung des Verstoßes
  • Sonstige erschwerende oder mildernde Umstände (z. B. aus dem Verstoß resultierende finanzielle Vorteile)

DSGVO & Haftung: Wer haftet im Unternehmen für Verstöße?

Grundsätzlich liegt die Verantwortung für die Einhaltung der DSGVO-Vorschriften beim „Verantwortlichen“, also zunächst beim Unternehmen (ggf. bei der juristischen Person). Unter bestimmten Voraussetzungen können jedoch auch die Geschäftsführung und Vorstandsmitglieder persönlich haften. Des Weiteren kommt aber auch eine Haftung anderer Personen infrage.

Haftung der Geschäftsführung und Vorstände

Der Datenschutz ist eine der wichtigsten Aufgaben der Geschäftsführung. Hierfür gilt der strenge Sorgfaltsmaßstab der Generalklausel nach § 43 GmbHG oder § 93 Abs. 2 AktG. Geschäftsführung und Vorstände müssen sich selbst informieren und beraten lassen und die korrekte Einhaltung aller Vorgaben überprüfen. Verstoßen sie gegen diese Pflichten, verlieren sie mitunter auch ihren D&O-Versicherungsschutz.

Geschäftsführung und Vorstände können mit ihrem persönlichen Privatvermögen schadenersatzpflichtig werden. Henkel weiß: „Dies kann dann der Fall sein, wenn sie persönlich etwas veranlassen, mit dem sie gegen die Sorgfaltspflichten eines ordentlichen, gewissenhaften Geschäftsführers verstoßen. Das Oberlandesgericht Dresden entschied dies etwa in einem Urteil vom 30. November 2021. In dem zugrunde liegenden Fall hatte der Geschäftsführer eines Vereins ein potenzielles Mitglied von einer Detektei durchleuchten lassen und die gewonnenen Informationen an den Vorstand weitergegeben.“

Haftung der Mitarbeiterinnen und Mitarbeiter

Begehen Arbeitnehmerinnen oder Arbeitnehmer einen Verstoß gegen Bestimmungen der DSGVO, können auch sie haftbar gemacht werden. Dies ist allerdings nur in dem engen Rahmen der Arbeitnehmerhaftung möglich. Der Umfang der Haftung richtet sich nach dem Grad der Fahrlässigkeit. In nennenswertem Maße stehen Mitarbeiterinnen und Mitarbeiter erst dann für verursachte Schäden ein, wenn sie grob fahrlässig oder sogar mit Vorsatz gehandelt haben. Ein unbeschränkter Regress ist jedoch auch dann meist nicht möglich. Bei leichter oder mittlerer Fahrlässigkeit kommt allenfalls eine anteilige Haftung in Betracht.

Haftung des oder der Datenschutzbeauftragten

Bei der Haftung des oder der Datenschutzbeauftragten ist zwischen internen Mitarbeiterinnen und Mitarbeitern sowie externen Beauftragten zu unterscheiden.

Interne Datenschutzbeauftragte

Interne Datenschutzbeauftragte sind Angestellte und unterliegen somit denselben Regeln wie andere Mitarbeiterinnen und Mitarbeiter. Sie können lediglich im Rahmen der Arbeitnehmerhaftung in Anspruch genommen werden.

Externe Datenschutzbeauftragte

Bei externen Datenschutzbeauftragten ist die Inanspruchnahme für Datenschutzverstöße durchaus möglich. Allerdings müssen hierfür zwei Voraussetzungen erfüllt sein:

  • Es muss tatsächlich eine Pflichtverletzung vorliegen, etwa eine Falschberatung.
  • Diese Pflichtverletzung muss tatsächlich die Ursache für den Schadenseintritt sein (Kausalität).

Henkel macht deutlich: „Weisen externe Datenschutzbeauftragte die Geschäftsführung auf bestehende Mängel im Datenschutz hin, ist diese in der Verantwortung, sie zu beseitigen. Unternehmerinnen und Unternehmer haben hier zudem eine Bringschuld: Führen sie neue Datenverarbeitungsprozesse ein oder verarbeiten neue Daten, müssen sie aktiv bei ihren Datenschutzspezialisten nachfragen. Versäumen sie diese Konsultation, ist der oder die Datenschutzbeauftragte automatisch aus der Haftung entlassen.“

Checkliste: neun Tipps, um das Haftungsrisiko zu senken

Eines der häufigsten Probleme, die zu Verstößen gegen die DSGVO-Vorgaben führen, ist eine mangelnde Datenschutzorganisation, weiß Henkel. Unklare Zuständigkeiten, nicht rechtzeitig erteilte Auskünfte, keine Nachverfolgung von Fristen oder liegen gebliebene Anträge liefern nach seiner Auffassung in der Praxis besonders häufig Stolperfallen im Bereich des Datenschutzrechts.

Ein umfassendes Datenschutzkonzept ist für Unternehmen deshalb unverzichtbar. Die folgenden Tipps helfen, das individuelle Haftungsrisiko für alle Beteiligten zu senken:

  1. Einführung eines fundierten Datenschutzmanagements
  2. Sensibilisierung der Mitarbeiterinnen und Mitarbeiter durch interne Schulungen
  3. Prüfung der IT-Security auf mögliche Sicherheitslücken
  4. Transparente Information der Betroffenen zum Umgang mit ihren personenbezogenen Daten (Anpassung der Datenschutzerklärungen)
  5. Rechtssichere Einholung der Einwilligung der Betroffenen zur Datenerhebung
  6. Beachtung von Löschfristen bei der Datenerhebung
  7. Regelmäßige Datenschutzaudits zur Aufdeckung von Schwachstellen
  8. Rechtzeitige Einbindung eines oder einer Datenschutzbeauftragten
  9. Gegebenenfalls Konsultation zusätzlicher Expertinnen und Experten (z. B. im juristischen oder technischen Bereich)

DSGVO Strafen frühzeitig vorbeugen

Datenschutzverstöße können empfindliche Strafen und Bußgelder nach sich ziehen. Ob groß angelegte Datenpanne mit Millionen Betroffenen oder nicht rechtzeitig gelöschte Daten von Kundinnen und Kunden im kleinen Handwerksbetrieb – Datenschutz geht alle Unternehmen an. Um ihr Haftungsrisiko zu minimieren und hohen Bußgeldern vorzubeugen, sollten sie frühzeitig Datenschutzbeauftragte hinzuziehen, ein maßgeschneidertes Datenschutzmanagement einführen und den Vorgaben der DSGVO ausreichend Beachtung schenken.

Fachwissen für Ihre berufliche Weiterbildung

Wissen kompakt

Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.

Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.

Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.

Ihre Ansprechpartnerin

Melanie Braunschweig, Mitarbeiterin der TÜV NORD Akademie

Melanie Braunschweig

Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen