Datenschutz
DSGVO-Strafe: Bußgelder bei Datenschutzverstößen
Haftung und Strafen bei DSGVO-Verstößen – lesen Sie hier, wie Unternehmen ihre Haftungsrisiken minimieren können.
Datenschutz
Haftung und Strafen bei DSGVO-Verstößen – lesen Sie hier, wie Unternehmen ihre Haftungsrisiken minimieren können.
Der Jahresanfang ist der ideale Zeitpunkt, um den Blick nach vorn zu richten und Ihre nächsten Weiterbildungen bewusst einzuplanen. Sichern Sie sich jetzt Ihre Seminarplätze für Führungskräfte, Mitarbeitende oder ganze Teams – schnell, unkompliziert und direkt.
Gemäß Artikel 83 DSGVO drohen bei Datenschutzverstößen Bußgelder von bis zu 20 Millionen Euro oder alternativ 4 Prozent des weltweiten Vorjahresumsatzes – je nachdem, welcher Betrag höher ist. Die Behörden nutzen ihren Ermessungsspielraum zunehmend aus: Seit Einführung der DSGVO ist ein Trend zu massiv höheren Bußgeldern als zu Zeiten des Bundesdatenschutzgesetzes (BDSG) erkennbar.
Dabei treffen die Forderungen nicht nur große Konzerne – auch Kleinstunternehmen können von einer Strafe infolge eines DSGVO-Verstoßes betroffen sein. Frank Henkel erklärt: "Es kommt weniger auf die Unternehmensgröße an, sondern eher auf die Art von Verarbeitungsprozessen. Wer viele Mitarbeiter beschäftigt, eine große Anzahl an Verbrauchern im B2C-Bereich bedient oder in einer sensiblen Branche wie dem E-Commerce oder im Bankenwesen tätig ist, hat ein ungleich höheres Risiko als andere Unternehmen, die fast ausschließlich mit juristischen Personen als Geschäftskunden arbeiten."
Neben einer potenziellen Strafe für einen Datenschutzverstoß drohen weitere Konsequenzen:
Amazon muss die bislang höchste DSGVO-Strafe in Kauf nehmen: Die nationale Datenschutzkommission (CNPD) in Luxemburg hat gegen den E-Commerce-Giganten wegen Verstößen gegen den Datenschutz ein Bußgeld von rund 746 Millionen Euro verhängt. Nicht nur dieser Fall zeigt, dass die unternehmerische Haftung für Datenschutzverletzungen zum ernsten Thema geworden ist, das existenzbedrohende Ausmaße annehmen kann. Auch in Deutschland hat es bereits mehrere Fälle gegeben, in denen Bußgelder in Millionenhöhe ausgesprochen wurden. In Deutschland gibt es in jedem Bundesland eine Aufsichtsbehörde und die/den Bundesbeauftragte(n) für den Datenschutz und die Informationsfreiheit (BfdI), die u.a. über veröffentlichte Orientierungshilfen Verantwortliche unterstützt, solche existenzbedrohenden Sanktionen zu vermeiden. Gleiches gilt für die Veröffentlichungen des Europäischen Datenschutzausschusses (EDSA), wo sämtliche Aufsichtsbehörden der EU vertreten sind.
Wir haben mit Rechtsanwalt Frank Henkel darüber gesprochen, welche Haftungsrisiken für Unternehmerinnen und Unternehmer bestehen. Als externer betrieblicher Datenschutzbeauftragter zahlreicher Unternehmen bringt er über 20 Jahre Erfahrung im Datenschutzrecht mit.
Nach dem früheren Bundesdatenschutzgesetz (BDSG) konnten pro Datenschutzverstoß Bußgelder lediglich bis zu einer Höhe von 300.000 Euro verhängt werden. Mit dem Inkrafttreten der DSGVO sind die Forderungen nun erheblich gestiegen.
Auch die Häufigkeit von Bußgeldern steigt. 2019 wurden in 147 Fällen Strafen in Höhe von 87 Millionen Euro verhängt. 2025 gab es bereits 388 Fälle mit Bußgeldern in Höhe von 1,1 Milliarden Euro.
Um eine europaweit einheitliche Vorgehensweise bei der Bußgeldbemessung sicherzustellen, hat der Europäische Datenschutzausschuss (EDSA) hierzu Leitlinien verabschiedet. Diese folgen einem mathematischen 5-Schritte-Modell, das sicherstellt, dass ein Bußgeld bei einem Datenschutzverstoß nicht nur wirksam und verhältnismäßig, sondern vor allem auch abschreckend ist. Dabei wird der weltweite Umsatz vom vorangegangenen Geschäftsjahr des gesamten Konzerns als Basis für die Berechnung herangezogen, was insbesondere für wirtschaftsstarke Unternehmen zu drastischen Summen führen kann.
Bei der Festsetzung der Strafen für DSGVO-Verstöße haben die Behörden einen erheblichen Ermessensspielraum. Sie können folgende Aspekte berücksichtigen:
Primärer Haftungsadressat ist der Verantwortliche, z.B. ein Unternehmen, ggf. als juristische Person, die eine Verarbeitung verantwortet. Die Geschäftsführung haftet jedoch persönlich, wenn sie Organisationspflichten verletzt oder die Aufsicht vernachlässigt (Durchgriffshaftung). Zudem können Mitarbeitende bei vorsätzlichen Verstößen oder Exzessen im Rahmen des Arbeitsrechts persönlich belangt werden, während der oder die Datenschutzbeauftragte in der Regel nur beratend tätig ist und selten direkt haftet.
Der Datenschutz ist eine der wichtigsten Aufgaben der Geschäftsführung. Hierfür gilt der strenge Sorgfaltsmaßstab der Generalklausel nach § 43 GmbHG oder § 93 Abs. 2 AktG. Geschäftsführung und Vorstände müssen sich selbst informieren und beraten lassen und die korrekte Einhaltung aller Vorgaben überprüfen. Verstoßen sie gegen diese Pflichten, verlieren sie mitunter auch ihren D&O-Versicherungsschutz.
Geschäftsführung und Vorstände können mit ihrem persönlichen Privatvermögen schadenersatzpflichtig werden. Henkel weiß: "Dies kann dann der Fall sein, wenn sie persönlich etwas veranlassen, mit dem sie gegen die Sorgfaltspflichten eines ordentlichen, gewissenhaften Geschäftsführers verstoßen. Das Oberlandesgericht Dresden entschied dies etwa in einem Urteil vom 30. November 2021. In dem zugrunde liegenden Fall hatte der Geschäftsführer eines Vereins ein potenzielles Mitglied von einer Detektei durchleuchten lassen und die gewonnenen Informationen an den Vorstand weitergegeben."
Begehen Arbeitnehmerinnen oder Arbeitnehmer einen Verstoß gegen die DSGVO, ist eine persönliche Haftung nur in engen Grenzen möglich. Der Umfang der Haftung richtet sich nach dem Grad der Fahrlässigkeit. In nennenswertem Maße stehen Mitarbeiterinnen und Mitarbeiter erst dann für verursachte Schäden ein, wenn sie grob fahrlässig oder sogar mit Vorsatz gehandelt haben. Bei leichter oder mittlerer Fahrlässigkeit kommt allenfalls eine anteilige Haftung in Betracht.
Bei der Haftung des oder der Datenschutzbeauftragten ist zwischen internen Mitarbeiterinnen und Mitarbeitern sowie externen Beauftragten zu unterscheiden.
Interne Datenschutzbeauftragte
Interne Datenschutzbeauftragte sind Angestellte und unterliegen somit denselben Regeln wie andere Mitarbeiterinnen und Mitarbeiter. Sie können lediglich im Rahmen der Arbeitnehmerhaftung in Anspruch genommen werden.
Externe Datenschutzbeauftragte
Bei externen Datenschutzbeauftragten ist die Inanspruchnahme für Verstöße möglich. Allerdings müssen hierfür zwei Voraussetzungen erfüllt sein:
Henkel macht deutlich: "Weisen externe Datenschutzbeauftragte die Geschäftsführung auf bestehende Mängel im Datenschutz hin, ist diese in der Verantwortung, sie zu beseitigen. Unternehmerinnen und Unternehmer haben hier zudem eine Bringschuld: Führen sie neue Datenverarbeitungsprozesse ein oder verarbeiten neue Daten, müssen sie aktiv bei ihren Datenschutzspezialisten nachfragen. Versäumen sie diese Konsultation, ist der oder die Datenschutzbeauftragte automatisch aus der Haftung entlassen."
Eines der häufigsten Probleme, die zu Verstößen gegen die DSGVO-Vorgaben führen, ist eine mangelnde Datenschutzorganisation, weiß Henkel. Unklare Zuständigkeiten, nicht rechtzeitig erteilte Auskünfte, keine Nachverfolgung von Fristen oder liegen gebliebene Anträge liefern nach seiner Auffassung in der Praxis besonders häufig Stolperfallen im Bereich des Datenschutzrechts.
Ein umfassendes Datenschutzkonzept ist für Unternehmen deshalb unverzichtbar. Die folgenden Tipps helfen, das individuelle Haftungsrisiko für alle Beteiligten zu senken:
Ein Verstoß gegen den Datenschutz kann empfindliche Strafen wie eine Geldbuße oder – bei krimineller Energie – sogar eine Geldstrafe nach sich ziehen. Ob groß angelegte Datenpanne mit Millionen Betroffenen oder nicht rechtzeitig gelöschte Daten von Kundinnen und Kunden im kleinen Handwerksbetrieb – Datenschutz geht alle Unternehmen an. Um ihr Haftungsrisiko zu minimieren und einem hohen Bußgeld bei einem Datenschutzverstoß vorzubeugen, sollten sie frühzeitig Datenschutzbeauftragte hinzuziehen, ein maßgeschneidertes Datenschutzmanagement einführen und den Vorgaben der DSGVO ausreichend Beachtung schenken.
Primär richtet sich das Bußgeld gegen den/die Verantwortlichen – also das Unternehmen oder den Verein als juristische Person. Aber Vorsicht: Auch die Geschäftsführung kann bei Verletzung von Organisationspflichten persönlich haften. Mitarbeitende werden hingegen nur bei grober Fahrlässigkeit oder Vorsatz zur Kasse gebeten.
Neben den bekannten Geldbußen drohen weitere empfindliche Sanktionen:
Artikel 83 ist die zentrale Vorschrift für Bußgeldsanktionen. Er legt fest, dass Bußgelder wirksam, verhältnismäßig und abschrecken sein müssen. Zudem definiert er die zwei Bußgeldstufen (bis zu 10 Mio. € bzw. 20 Mio. €) und die Kriterien, nach denen die Behörden die Höhe im Einzelfall bemessen (z. B. Schwere, Dauer und Grad der Fahrlässigkeit).
Die DSGVO unterscheidet zwei maximale Bußgeldrahmen:
Es wird immer der Bußgeldrahmen herangezogen, der im Einzelfall höher ist.
Bereit für den nächsten Karriereschritt? Wir bieten Ihnen praxisnahes Wissen und wertvolle Impulse!
Berufliche Weiterbildung hat viele Gesichter und trägt maßgeblich zum Erfolg der Mitarbeitenden sowie des ganzen Unternehmens bei. In unserem Blog "Wissen kompakt" lesen Sie Fachbeiträge zu aktuellen Fragestellungen, die jetzt und in der Zukunft Ihre Arbeitswelt bestimmen.
Unser Blog richtet sich an Fach- und Führungskräfte jeden Alters und jeder Unternehmensgröße, an berufliche Einsteiger genauso wie an erfahrene Arbeitskräfte.
Unser Podcast ist die Antwort auf den Wunsch, unsere Inhalte in einem modernen Format zugänglich zu machen, das bequem nebenbei konsumiert werden kann.
