Bußgelder und Strafen bei Datenschutzverstößen
Vertretung in Bußgeldverfahren wegen DSGVO-Verstößen
Mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes haben sich nicht nur die Anforderungen an den Schutz personenbezogener Daten verändert. Erklärtes Ziel des Gesetzgebers war es, das Datenschutzrecht mit strengen Sanktionen zu flankieren, um die tatsächliche Umsetzung bei Konzernen, großen und kleinen Unternehmen, Online-Händlern und Webseitenbetreibern zu gewährleisten. Hierfür wurden den Aufsichtsbehörden eine Reihe von Sanktionsmöglichkeiten an die Hand gegeben. Erste Unternehmen werden nun vermehrt mit Anfragen, behördlichen Verfahren, Strafen und Bußgeldern wegen etwaigen Datenschutzverstößen konfrontiert.
Anwaltliche Leistungen bei DSGVO-Bußgeldverfahren
Unsere Rechtsanwälte und Experten für Datenschutzrecht vertreten und betreuen Sie aus unseren Büros in Hamburg, Berlin, München und Frankfurt a.M. aus bundesweit in Verwaltungsverfahren und Ordnungswidrigkeitsverfahren wegen Datenschutzverstößen und verteidigen Sie gegen DSGVO-Bußgelder. Hierzu stehen Ihnen auf das Datenschutzrecht spezialisierte Rechtsanwälte zur Seite.
- Anwaltliche Vertretung in Bußgeldverfahren gegenüber den Aufsichtsbehörden und vor Gericht
- Prüfung der vorgeworfenen Datenschutzverstöße und der (angedrohten) Sanktionen
- Prüfung des Bußgeldbescheids und der Angemessenheit des Bußgelds
- Klärung von Haftungsfragen wegen möglicherweise persönlicher Haftung der Geschäftsführung
- Beseitigung der Datenschutzverstöße und umfassende datenschutzrechtliche Beratung, um Verstöße zukünftig zu vermeiden
- Prüfung möglicher strafrechtlicher Konsequenzen und Vertretung in Strafverfahren
Für eine unverbindliche Mandatsanfrage kontaktieren Sie bitte direkt telefonisch oder per E-Mail einen unserer Ansprechpartner oder nutzen Sie das Kontaktformular am Ende dieser Seite.
Die Höhe der neuen Bußgelder und die möglichen strafrechtlichen Konsequenzen machen Datenschutzverstöße für Unternehmen, Geschäftsführer und Vorstände zu einer existenzbedrohenden Angelegenheit. Eine spezialisierte anwaltliche Vertretung ist daher unvermeidbar, um rechtliche Konsequenzen frühzeitig zu erkennen, Verstöße konsequent abzustellen und ungerechtfertigte Sanktionen und/oder überhöhte Geldstrafen zu vermeiden.
Rechtliche Grundlagen der Datenschutz-Aufsichtsbehörden
Die maßgebliche gesetzliche Grundlage für das Tätigwerden der Aufsichtsbehörden ist Art. 58 DSGVO. Danach verfügen die Datenschutzbehörden über eine Reihe von Untersuchungsbefugnissen und sogenannten Abhilfebefugnissen, um Datenschutzverstöße zu ermitteln und entsprechend zu sanktionieren. Mit diesen europaweit einheitlichen Befugnissen soll ein gleichmäßiges Datenschutzniveau innerhalb der gesamten Europäischen Union erreicht werden. Befugnisse sind neben der Möglichkeit ein Bußgeld zu verhängen auch etwa die Anordnung zur Beendigung des Verstoßes oder der Ausspruch eines zeitlich begrenzten oder auch endgültigen Verbots der Datenverarbeitung.
Art. 83 DSGVO ist die zentrale Norm für Bußgeldverfahren. Damit wird die Grundlage eines behördlichen Sanktionssystems geschaffen, welches bei datenschutzrechtlichen Verstößen neben zivilrechtlichen Ansprüchen (Schadensersatz, Abmahnungen) zur Anwendung kommt und aufgrund der weitreichenden Befugnisse der Behörden ein deutlich effektiveres System darstellt.
Die Sanktionsmöglichkeiten haben dabei sowohl Abschreckungs-, als auch general- und spezialpräventive Wirkung. Geldbußen sollen eine wirksame und verhältnismäßigen Sanktionsmechanismus bieten, um das Datenschutzrecht und die Rechte Betroffener effektiv umzusetzen. Es ist Behörden untersagt, die Höhe eines Bußgelds an Schadensersatzforderungen anzugleichen oder im eigenen Spielraum von der Verhängung von Geldbußen abzusehen
Höhe von Geldbußen
Je nach Verstoß können Geldbußen bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes des gesamten Unternehmens bzw. 20 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes des gesamten Unternehmens verhängt werden.
Relevant neben den neuen Höchstgrenzen ist vor allem die Verschiebung des Strafrahmens. Im Vergleich zum alten Datenschutzrecht wurden die Höchstgrenzen um den Faktor 67 erhöht. Die Datenschutzbehörden haben angekündigt, dass sie diesen Faktor bei jeder Bußgeldbemessung zukünftig berücksichtigen werden. Das bedeutet, dass ein relativ kleiner Datenschutzverstoß, der bislang mit einem Bußgeld von 1.000 Euro sanktioniert wurde, zukünftig ein Bußgeld von ca. 67.000 Euro auslöst. So können selbst einfache Datenschutzverstöße für Unternehmen existenzbedrohend werden.
Die Angemessenheit und Höhe der Bußgelder ist stark abhängig von der Art und den Rahmenbedingungen des zugrunde liegenden Datenschutzverstoßes. Berücksichtigt werden müssen insbesondere
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit
- getroffene Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- getroffene technische und organisatorische Maßnahmen
- einschlägige frühere Verstöße
- Einhaltung der Meldepflicht
- mildernde Umstände
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
Insbesondere der letzte – ausdrücklich im Gesetz verankerte Punkt – zeigt: durch sorgfältige Prüfung, rechtzeitiges und konsequentes Handeln und durch eine spezialisierte anwaltliche Vertretung lässt sich das Strafmaß häufig verringern und der Schaden erheblich minimieren. Bevor Sie selbst mit der Datenschutzbehörde in Kontakt treten sollten Sie daher den Stand des Verfahrens, etwaige Bescheide und die vorgeworfenen Datenschutzverstöße professionell prüfen lassen.
Bisherige behördliche Praxis
Neben der Ankündigung, zukünftig den Faktor 67 im Vergleich zum alten Datenschutzrecht bei der Festsetzung der Höhe von Bußgeldern anzusetzen, wurden bereits erste Bußgelder gegen Unternehmen verhängt und zahlreiche Bußgeldverfahren eingeleitet. Auch haben Landesdatenschutzbehörden (z.B. in Niedersachsen) Fragebögen an diverse Unternehmen verschickt, um den Stand der Umsetzung der DSGVO zu prüfen und datenschutzrechtliche Verstöße aufzudecken.
Das erste Bußgeld wegen eines DSGVO-Verstoßes in Deutschland wurde in Baden-Württemberg gegen ein soziales Netzwerk verhängt, dessen Website gehackt wurde und Daten von Nutzern entwendet wurden. Aufgrund einer transparenten Strategie gegenüber den betroffenen Nutzern, professioneller rechtlicher Beratung und konstruktiver Kooperation mit der Aufsichtsbehörde wurde das Bußgeld auf „nur“ 20.000 Euro festgesetzt. Ein weiterer bekannt gewordener Fall betrifft die versehentliche Veröffentlichung von Gesundheitsdaten im Internet. Hierfür wurde ein Bußgeld von 80.000 Euro verhängt.
Welche Dimensionen ein Bußgeld aber auch annehmen kann zeigt ein Fall aus Portugal: die nationale Datenschutzkommission hat im Herbst 2018 gegen eine Klinik in Lissabon ein Bußgeld in Höhe von 400.000 Euro verhängt.
Im Jahr 2018 ergingen bundesweit bereits 41 Bußgeldbescheide. Nach Informationen der Datenschutzbehörden laufen derzeit eine hohe Anzahl weiterer Bußgeldverfahren. Allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) laufen derzeit 85 Bußgeldverfahren wegen mutmaßlichen DSGVO-Verstößen.
Datenschutzrechtliche Selbstanzeige als Mittel der Wahl?
Wie im Strafrecht oder im Steuerrecht kann eine Selbstanzeige strafmildernd wirken. Wird ein Datenschutzverstoß hingegen erst durch eine Anzeige oder auf öffentlichem Weg bekannt, werden die Datenschutzbehörde Verstöße strenger ahnden.
Eine Selbstanzeige kann Bestandteil einer wirksamen und erfolgreichen Strategie sein, um Datenschutzverstößen oder Hackerangriffen zu begegnen. Keinesfalls sollte unüberlegt oder voreilig eine solche Selbstanzeige gemacht werden. Vorher müssen zwingend die genauen Verstöße ermittelt und beseitigt werden, mögliche Haftungsszenarien erkannt und eine passende Strategie entworfen werden. Bei einer voreiligen Selbstanzeige besteht die Gefahr, Umstände der Datenschutzverletzung nicht ausreichend zu kommunizieren oder schlimmstenfalls weitere behördliche Ermittlungen auszulösen, bei denen weitere Verstöße aufgedeckt werden. Eine Selbstanzeige und die entsprechende Kommunikation sollten daher ausschließlich über einen spezialisierten anwaltlichen Beistand erfolgen.
Meldepflichten nach der DSGVO
Bei erkannten Datenschutzverstößen kann Unternehmen auch eine Meldepflicht (Art. 33 DSGVO) treffen. Danach muss ein Datenschutzverstoß innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes der zuständigen Behörde gemeldet werden. In einem solchen Fall ist schnelles – aber auch bedachtes – Handeln gefragt. Bevor Sie vorschnell eine Meldung machen, sollten Sie in jedem Fall den Sachverhalt komplett ermitteln, drohende Gefahren für Betroffene ermitteln, den Verstoß (soweit möglich) schnellstmöglich abstellen und mit einem auf das Datenschutzrecht spezialisierten Rechtsanwalt sprechen. Bei der Ausgestaltung einer Meldung nach Art. 33 DSGVO gibt es eine Reihe von Gestaltungsmöglichkeiten und taktischen Überlegungen. So können mögliche Sanktionen frühzeitig erkannt und durch eine passende Strategie minimiert werden.