Frequently Asked Questions: DSGVO-Bußgelder

• 1. Fehlende Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 lit. a DSGVO)

  Beispiel aus der Praxis: Meta (Facebook, Instagram) wurde mit einer Geldstrafe von 390 Millionen Euro belegt, weil es versucht hatte, sich auf die vertragliche Notwendigkeit als Rechtsgrundlage für die Verarbeitung von Nutzerdaten für personalisierte Werbung zu berufen, obwohl die Aufsichtsbehörden der Ansicht waren, dass hierfür eine Einwilligung erforderlich gewesen wäre.

• 2. Nichtvorliegen einer gültigen Einwilligung (Art. 6 Abs. 1 lit. a und Art. 7 DSGVO)

  Eine Website verwendet vorab angekreuzte Kästchen für Cookies oder versteckt die Einwilligungsoptionen tief in ihrer Datenschutzerklärung, sodass es für Nutzer schwierig ist, sich wirklich dafür zu entscheiden. Ein Beispiel: Amazon Europe wurde mit einer Geldstrafe von 746 Millionen Euro belegt, weil es keine ordnungsgemäße „freiwillige“ Einwilligung für die Verwendung von Werbe-Cookies eingeholt hatte.

• 3. Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit (Art. 32 DSGVO)

  Ein Unternehmen erleidet eine Datenverletzung aufgrund schwacher Sicherheitsprotokolle, nicht gepatchter Software oder fehlender Verschlüsselung sensibler Daten. British Airways wurde mit einer Geldstrafe von 20 Millionen Pfund belegt, nachdem ein Cyberangriff Kundendaten aufgrund der Nachlässigkeit des Unternehmens bei der Aufrechterhaltung seiner Sicherheitspraktiken offengelegt hatte.

Bußgelder nach der DSGVO werden grundsätzlich durch die jeweils zuständige Aufsichtsbehörde verhängt. In Deutschland ist das in der Regel die jeweilige Landesdatenschutzbeauftragte. Eine Liste der Landesdatenschutzbehörden mit Kontaktdaten findet sich bei der Bundesbeauftragten für Datenschutz- und Informationsfreiheit (BfDI)

Nein. In Übereinstimmung mit Erwägungsgrund 148 zur DSGVO kann die die Aufsichtsbehörde bei geringfügigen Verstößen auch lediglich eine Verwarnung aussprechen. Das wurde seitens der Aufsichtsbehörden in der Art. 29 Datenschutzgruppe im  WP 254 rev. 1, S. 9 klargestellt.

Die maximale Höhe von Bußgeldern nach der DSGVO ist abhängig von der Art des Verstoßes und dem Umsatz des Unternehmens. Bei Unternehmen mit einem Umsatz von unter 500 Millionen Euro beträgt ein Bußgeld maximal 10 Millionen Euro für Verstöße gegen die in Art. 83 Abs. 4 DSGVO genannten Verstöße (z. B. fehlender Auftragsverarbeitungsvertrag) und maximal 20 Millionen Euro für die in Art. 83 Abs. 5 und Abs. 6 DSGVO genannten Verstöße (z. B. Missachtung von Betroffenenrechten).

In Kürze: Nein, das Bußgeldkonzept der Datenschutzkonferenz ist überholt.

In 2019 hat die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (Datenschutzkonferenz) ein eigenes Bußgeldkonzept verabschiedet. Dieses Bußgeldkonzept ist auf der Website der Datenschutzkonferenz einsehbar (→ Bußgeldkonzept) und wurde nach der Verabschiedung durch die deutschen Datenschutzbehörden angewandt. Mit der Annahme der Leitlinien 04/2022 für die Berechnung von Geldbußen durch den Europäischen Datenschutzausschuss (EDSA) im Mai 2023, darf das Bußgeldkonzept der Datenschutzkonferenz als überholt betrachtet werden.

Bußgelder nach der DSGVO werden basierend auf den Leitlinien 02/2022 des Europäischen Datenschutzausschusses (EDSA) berechnet. Der EDSA ist nach Art. 70 Abs. 1 lit. k DSGVO für die Verabschiedung solcher Leitlinien zuständig. Die Leitlinien für Geldbußen wurden in der Version 2.1 am 24. Mai 2023 angenommen.

Rechtlich sind die Leitlinien für die Aufsichtsbehörden nicht verbindlich. Da der EDSA jedoch das Zusammenarbeitsgremium der nationalen Datenschutzbehörden ist, kommt ihnen faktisch eine große Relevanz zu.

Nein, es gibt keine zentrale Liste aller DSGVO-Bußgelder. Einen Eindruck können unter Umständen die Tätigkeitsberichte der Aufsichtsbehörden verschaffen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW veröffentlicht bspw. jährliche Tätigkeitsberichte. Auch der aktuelle Bericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (2024) kann eine Orientierung bieten. Zudem versucht die Kanzlei CM/S im EnforcementTracker Informationen über konkrete Bußgelder zu sammeln.

Allerdings muss davon ausgegangen werden, dass die Zahl der tatsächlich verhängten Bußgelder deutlich höher liegt. Aus Sicht der Aufsichtsbehörden ist zu viel Bußgeldtransparenz voraussichtlich auch nicht gewollt – besteht bei den Verantwortlichen Unsicherheit über die konkrete Höhe zu erwartender Bußgelder, kann das unter Umständen den abschreckenden Effekt möglicher Bußgelder verstärken.

Da nach § 41 BDSG die entsprechende Anwendung des Gesetzes über Ordnungswidrigkeiten (OWiG) anordnet, erfahren Sie spätestens im Rahmen des Vorverfahrens eines Bußgeldverfahrens von einer Untersuchung der Aufsichtsbehörde. Denn nach § 55 OWiG sind Sie im Rahmen dieses Verfahrens anzuhören.

Sie können aber auch vor dem Vorverfahren von Untersuchungen der Aufsichtsbehörde Kenntnis erlangen, nämlich dann, wenn diese bei Ihnen Untersuchungen durchführt. Nach Art. 58 Abs. 1 DSGVO kann die Datenschutzbehörde nämlich

• Sie als Verantwortlichen oder Auftragsverarbeiter auffordern, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
• Untersuchungen in Form von Datenschutzprüfungen durchführen
• von Ihnen als Verantwortlichem oder Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, erhalten,
• Zugang zu Ihren Räumlichkeiten, einschließlich aller Datenverarbeitungsanlagen und -geräte erhalten.

Gegen einen DSGVO-Bußgeldbescheid einer deutschen Aufsichtsbehörde kann man sich wehren, indem man zunächst form- und fristgerecht Einspruch einlegt. Dieser Einspruch ist gemäß § 67 des Gesetzes über Ordnungswidrigkeiten (OWiG) innerhalb von zwei Wochen nach Zustellung des Bußgeldbescheids bei der Behörde einzulegen, die den Bescheid erlassen hat. Die Aufsichtsbehörde prüft daraufhin ihre Entscheidung erneut: Sie kann das Verfahren einstellen, den Bescheid zurücknehmen oder abändern, oder aber das Verfahren über die Staatsanwaltschaft an das zuständige Gericht abgeben, falls sie den Einspruch für unbegründet hält (§ 69 OWiG). Die genauen Regelungen für das Bußgeldverfahren, einschließlich des Einspruchsverfahrens, ergeben sich aus der DSGVO selbst, insbesondere Art. 83 DSGVO, in Verbindung mit nationalen Vorschriften wie § 41 BDSG (neu), der auf die entsprechenden Vorschriften des OWiG verweist.

Bleibt die Aufsichtsbehörde bei ihrer Entscheidung und leitet das Verfahren an das Gericht weiter, oder wird der Einspruch direkt als unzulässig verworfen, kommt es zu einem gerichtlichen Verfahren. Gemäß Art. 78 Abs. 1 DSGVO hat jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. In Deutschland findet dieses Verfahren dann ebenfalls nach den Regeln des OWiG vor den ordentlichen Gerichten statt, beginnend in der Regel beim Amtsgericht. Hier wird der Sachverhalt vollständig neu geprüft, und es besteht die Möglichkeit, Beweise vorzulegen und Zeugen zu benennen, um die Unrechtmäßigkeit oder Unangemessenheit des Bußgeldes darzulegen. Gegen die Entscheidung des Gerichts sind unter bestimmten Voraussetzungen weitere Rechtsmittel möglich. Unter Umständen hat das Gericht die Sache auch zur Vorabentscheidung dem EuGH vorzulegen.

Wurde gegen Sie ein Bußgeld nach der DSGVO verhängt, so können Sie sich anwaltlich vertreten lassen. Gerade bei höheren Bußgeldern zahlt sich kompetenter Rechtsrat häufig aus, und Bußgelder können abgewendet oder mindert werden. Sie können in jeder Lage des Verfahrens eine Rechtsanwältin hinzuziehen.

Auch Ihr interner oder externer Datenschutzbeauftragter kann Sie bei einem gegen Ihre Organisation verhängten Bußgeld unterstützen und Ihnen beratend zur Seite stehen.

Der Europäische Datenschutzausschuss (kurz: EDSA) ist ein nach Art. 68 DSGVO vorgesehenes Gremium. Er setzt sich zusammen aus den Leitern der mitgliedsstaatlichen Aufsichtsbehörden und dem Europäischen Datenschutzbeauftragten (Art. 68 Abs. 3 DSGVO). Bestehen in einem Mitgliedsstaat mehrere Aufsichtsbehörden – wie beispielsweise in Deutschland – dann muss dieser Mitgliedsstaat einen Vertreter festlegen. Deutschland hat in § 17 Abs. 1 S. 1 BDSG den/die Bundesbeauftragten für Datenschutz und Informationsfreiheit als diesen Vertreter benannt.

Aufgabe des EDSA ist, die einheitliche Anwendung der DSGVO innerhalb der Europäischen Union sicherzustellen. Dazu sind in Art. 70 Abs. 1 DSGVO zahlreiche einzelne Aufgaben übertragen. Zu diesen Aufgaben gehört bspw. nach Art. 70 Abs. 1 lit. k auch die „Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von Geldbußen gemäß Artikel 83“.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) ist ein Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Nach ihrer Geschäftsordnung hat die Datenschutzkonferenz das Ziel, „die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.“
Im Rahmen der dieser Zusammenarbeit werden durch die Aufsichtsbehörden insbesondere verschiedene Kurzpapiere, Entschließungen, Beschlüsse und Orientierungshilfen verabschiedet.

Die Datenschutzkonferenz ist gesetzlich nicht vorgesehen und ihre Beschlüsse sind unverbindlich. Gleichzeitig kommt diesen jedoch eine hohe praktische Bedeutung zu, weil die deutschen Datenschutzbehörden sich an diesen orientieren.