Bußgelder
Bußgelder sind aus Sicht der DSGVO eine deutsche Ausformung der allgemeineren Begriffe Geldbußen und Sanktionen.
Sanktionen in der DSGVO
Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor ─ je nachdem welche Zahl höher ist.
Überblick zu Bußgeldern aus deutscher Sicht
Die DSGVO regelt Bußgelder etwas allgemeiner im Kapitel VIII - Rechtsbehelfe, Haftung und Sanktionen. Diese werden vor allem in den Erwägungsgründen 141 bis 152 erläutert. Konkret Bußgelder sind für Deuschland in Kapitel 5 - Sanktionen, den §§ 41 ff. BDSG geregelt.
Vorläufiges deutsches Sanktionskonzept
Vorläufiges Konzept zur Bemessung der Bußgelder der DSK im Bereich von Unternehmen, nicht für Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und ohne Verbindlichkeit für Gerichte.[1][2]:
- 1. Kategorisierung der Unternehmen nach Größenklassen/Jahresumsatz, vgl Art. 86 Abs. 4 bis 6 DSGVO, EG 150
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) | Großunternehmen | |||
Kleinstunternehmen | Kleine Unternehmen | Mittlere Unternehmen | ||
A | B | C | D | |
Jahresumsatz | <= 2 Mio. € | > 2 Mio. € bis 10 Mio. € | > 10 bis 50 Mio. € | > 50 Mio € |
A.I <= 700.000 € | B.I > 2 Mio. € bis 5 Mio. € | C.I > 10 Mio. € bis 12,5 Mio. € | D.I > 50 Mio. € bis 75 Mio. € | |
A.II > 700.000 € bis 1,4 Mio. € | B.II > 5 Mio. € bis 7,5 Mio. € | C.II >12,5 Mio € bis 15 Mio. € | D.II > 75 Mio. € bis 100 Mio. € | |
A.III > 1,4 Mio. € bis 2 Mio.€ | B.III > 7,5 Mio. € bis 10 Mio. € | C.III > 15 Mio. € bis 20 Mio. € | D.III > 100 Mio. € bis 200 Mio. € | |
C.IV > 20 Mio. € bis 25 Mio. € | D.IV > 200 Mio. € bis 300 Mio. € | |||
C.V > 25 Mio. € bis 30 Mio. € | D.V > 300 Mio. € bis 400 Mio. € | |||
C.VI > 30 Mio. € bis 40 Mio. € | D.VI > 400 Mio. € bis 500 Mio. € | |||
C.VII > 40 Mio. € bis 50 Mio. € | D.VII > 500 Mio. € |
- 2. Mittlerer Jahresumsatzes der jeweiligen Untergruppe der Größenklasse (also Umsatz in Verbindung mit Unternehmenskategorie wie Kleinstunternehmen, kleines und mittleres Unternehmen etc.)
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) | Großunternehmen | |||
Kleinstunternehmen | Kleine Unternehmen | Mittlere Unternehmen | ||
A | B | C | D | |
Jahresumsatz | A.I 350.000 € | B.I 3,5 Mio. € | C.I 11,25 Mio. € | D.I 62,5 Mio. € |
A.II 1.050 Mio.€ | B.II 6,25 Mio. € | C.II 13,75 Mio. € | D.II 87,5 Mio. € | |
A.III 1,7 Mio.€ | B.III 8,75 Mio. € | C.III 17,5 Mio. € | D.III 150 Mio. € | |
C.IV > 22,5 Mio. € | D.IV > 250 Mio. € | |||
C.V > 27,5 Mio. € | D.V > 350 Mio. € | |||
C.VI > 35 Mio. € | D.VI > 450 Mio. € | |||
C.VII > 45 Mio. € | D.VII > konkreter Jahresumsatz[3] |
- 3. Ermittlung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt)
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) | Großunternehmen | |||
Kleinstunternehmen | Kleine Unternehmen | Mittlere Unternehmen | ||
A | B | C | D | |
Jahresumsatz | A.I 972€ | B.I 9.722 € | C.I 31.250 € | D.I 173.611 € |
A.II 2.917 € | B.II 17.361 € | C.II 38.194 € | D.II 243.056 € | |
A.III 4.722 € | B.III 24.306 € | C.III 48.611 € | D.III 416.667 € | |
C.IV > 62.500 € | D.IV > 694.444 € | |||
C.V > 76.389 € | D.V > 972.222 € | |||
C.VI > 97.222 € | D.VI > 1,25 Mio. € | |||
C.VII > 125.000 Mio. € | D.VII > konkreter Tagessatz[4] |
- 4. Vervielfältigung des Grundwertes nach Schweregrad der Tat (leicht bis sehr schwer, wobei die Art des Verstoßes berücksichtigt wird)
- Im Hinblick auf die unterschiedlichen Bußgeldrahmen sind dabei für formelle (Art. 83 Abs. 4 DSGVO) und materielle (Art. 83 Abs. 5, 6 DSGVO) Verstöße jeweils unterschiedliche Faktoren zu wählen.
Schweregrad der Tat | Faktor für formelle Verstöße nach Art. 83 Abs. 4 DSGVO |
Faktor für materielle Verstöße gemäß § [sic!] 83 Abs. 5, 6 DSGVO |
Leicht | 1 bis 2 | 1 bis 4 |
Mittel | 2 bis 4 | 4 bis 8 |
Schwer | 4 bis 6 | 8 bis 12 |
Sehr Schwer [sic!] | > 6 | > 12 |
- 5. Sonstige für und gegen den Betroffenen sprechenden Umstände
- Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.
Rezeption
Kritiker bemängeln am Konzept der DSK aus dem Herbst 2019, dass das Prinzip der Verhältnismäßigkeit aus Art. 83 Abs. 1 DSGVO in Bezug zu Tat und Schuld nicht ausreichend Berücksichtigung fände.[5]
Berlin
Im Land Berlin berücksichtigte Umstände[1]:
- Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortung unter Berücksichtigung der getroffenen TOM
- etwaige einschlägige frühere Verstöße
- Qualität der Zusammenarbeit mit der Aufsichtsbehörde zum Schutz der Betroffenen
- betroffene Kategorien personenbezogener Daten
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Mitteilung durch das Unternehmen
- Frühere Anordungen in derselben Sache
- Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
- sonstige erschwerende oder mildernden Umstände, wie etwa finanzielle Vorteile oder vermiedene Verluste
andere nationale Gesetzgebung in Europa
Datenpannen in der Praxis
Land | Datum | Sanktion gerundet |
Verfahrensstand | Branche | Zusammenfassung |
---|---|---|---|---|---|
Österreich | 2018-09-19 | 000.000.005 4.800 € |
--- | --- | Videoüberwachung eines großflächigen Teils der öffentlichen Straße ohne ausreichende Kennzeichnung.[6] |
Portugal | 2018-10-23 | 000.000.400 400.000 € |
--- | --- | unautorisierter Zugriff auf Patientenakten in Krankenhaus durch Techniker.[6] |
Deutschland | 2018-11-22 | 000.000.020 20.000 € |
--- | --- | Passwörter der Nutzer unverschlüsselt auf dem Server gespeichert.[6][7] |
Großbritannien | 2018-11-22 | 000.565.000 565.000 € |
--- | Social Media | Herausgabe von Daten an Externe Firma[6][8][9] |
Polen | 2019-XX-XX | 000.000.644 644.000 € |
--- | Netzladen Morele.net | Ein Hackerangriff griff Daten von 2,2 Millionen Kunden ab und offenbarte unzureichende TOM. Zu den betroffenen Daten gehörten unter anderem die Kontaktdaten sowie in einigen Fällen Daten aus Ratenkreditanträgen.[10] |
Frankreich | 2019-01-21 | 000.050.000 50.000 € |
--- | Netzwerbung | Informationspflicht verletzt, Werbezustimmung ungültig nach Beschwerden von LQDN sowie NOYB des bekannten Facebook-Kritikers Max Schrems.[11] |
Vereinigtes Königreich | 2019-07-08 | 000.204.000 204 Mio €/£183.39M |
--- | Fluglinie | Der Firma wurden unzureichende TOM vorgeworfen, nachdem rund 500.000 Benutzer von einer Unternehmensseite auf eine gefälschte Seiten umgelenkt worden waren, wo ihre Daten abgegriffen wurden.[12] |
Vereinigtes Königreich | 2019-07-09 | 000.110.000 110 Mio € |
--- | --- | Dem Unternehmen wird vorgeworfen, einen Datenverlust nicht angezeigt und nach dem Erwerb einer Tochter nicht ausreichend Anstrengungen zur Verbesserung von deren Datenschutz unternommen zu haben. Rund 360 Mio. Gästedaten einer 2016 erworbenen Tochter waren seit 2014 ungeschützt zugänglich, was erst 2018 entdeckt wurde.[13] |
Österreich | 2019-10-28 | 000.018.000 18 Mio € |
--- | Dienstleister | Einem Postdienstleister wird aufgrund von Recherchen „Addendum“ vorgeworfen, Aus Wohnort und Alter Parteiaffinitäten gefolgert sowie zu Paketfrequenzen und der Häufigkeit von Umzügen zum Zweck des Direktmarketings gesammelt zu haben[14][15] |
Deutschland, Baden-Württemberg | 2018-11-22 | 000.000.020 20.000 € |
--- | Chat-Portal | Bei Hackerangriff wurden Benutzerdaten von 330.000 Nutzern erbeutet und veröffentlicht. Selbstanzeige wurde strafmildernd berücksichtigt. [16] |
Deutschland, Sachsen-Anhalt | 2019-02-14 | 000.000.003 2.500 € oder 2.600 € |
--- | --- | Privatmann verschickt vielfach E-Post, in denen Empfänger sichtbar waren, wodurch 140 personenbezogene Adressen öffentlich gemacht wurden (offener Verteiler). [17][18][19] |
Deutschland, Sachsen-Anhalt | 2019-05-27 | 000.000.004 3.700 € |
rechtskräftig | --- | Gesundheitsdaten unverschlüsselt per E-Post an Dritte [20] |
Frankreich | 2019-06-XX | 000.000.020 20.000 € |
--- | --- | wegen dauerhafter Videoüberwachung der eigenen Mitarbeiter [21] |
Deutschland, Berlin | 2019-09-23 | 000.000.195 195.000 € |
--- | Lieferdienst | Das Unternehmen hat die Strafe bereits akzeptiert. Zuvor hatten Kunden unerwünschte Werbe-E-Post erhalten. Das Unternehmen hatte Konten ehemaliger Kunden nicht gelöscht und mehrfach das Auskunftsrecht missachtet.[10] |
Deutschland, Berlin | 2019-09-XX | 000.000.050 50.000 € |
--- | Bank | [1] |
Deutschland, Berlin | 2019-11-05 | 000.014.500 14,5 Mio € |
--- | Immobilienfirma | wegen unzulässiger Speicherung von Mieterselbstauskünften über den Mietvertragsschluss hinaus und trotz mehrfacher Aufforderung, dieses Verhalten abzustellen.[22] |
Frankreich | 2019-11-21 | 000.000.500 0,5 Mio € |
--- | Dienstleister | unzulässige Telefonwerbung, kein Widerspruchsmanagement[23][6] |
Deutschland, Rheinland-Pfalz | 2019-12-03 | 000.000.105 105.000 € |
--- | Krankenhaus | mehreren Verstöße im Zusammenhang mit einer Patientenverwechslung, die strukturelle technische und organisatorische Defizite beim Patientenmanagement offenbarte. Das Krankenhaus zeigte belastbare Bemühungen, den Mangel abzustellen.[24] |
Deutschland, BfDI | 2019-12-09 | 000.009.550 9,5 Mio € |
--- | Telefonanbieter | Ausspähen von Kundendaten durch telefonische Auskünfte aufgrund unzureichender Authentifizierung möglich, kooperativ daher unterer Rahmen.[25] |
Deutschland, BfDI | 2019-12-09 | 000.000.010 10.000 € |
--- | --- | Kein Datenschutzbeauftragter in Kleinstunternehmen benannt.[25] |
Netzverweise
Auf http://enforcementtracker.com/ und https://fragdenstaat.de/projekt/liste-der-bugeldverfahren/ kann man einige europäische Sanktionen finden.
- ^ a b c Oliver Schonschek: Wie die Bußgelder nach DSGVO bemessen werden sollen. vom 4. November 2019.
- ^ DSK: Konzept der unabhängigen Datenschutzaufsichtsbehörden desBundes und der Länder zur Bußgeldzumessungin Verfahren gegen Unternehmen vom 14.10.2019
- ^ Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.
- ^ Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.
- ^ Tim Wybitul: EU-Datenschutzgrundverordnung. Datenschützer testen neues Bußgeldmodell. In: LTO.de vom 20.09.2019.
- ^ a b c d e Regina Stoiber: Bußgelder nach der DSGVO."" vom 6.11.2019.
- ^ https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html
- ^ https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html
- ^ https://www.spiegel.de/netzwelt/web/facebook-einspruch-gegen-geldbusse-im-datenskandal-um-cambridge-analytica-a-1239813.html
- ^ a b https://www.datenschutzbeauftragter-info.de/berliner-bfdi-rekordbussgelder-fuer-missachtung-der-betroffenenrechte/
- ^ dpa/mgö/LTO-Redaktion 50 Millionen Euro Bußgeld für Google. In: LTO.de vom 22.01.2019.
- ^ https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
- ^ https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
- ^ https://wien.orf.at/stories/3019396/
- ^ https://kurier.at/chronik/oesterreich/post-in-der-causa-datenskandal-verurteilt/400660373
- ^ tik/LTO-Redaktion: LDI BW verhängt erstes Bußgeld nach der DSGVO. Datenschutzverfahren gegen Knuddels abgeschlossen . In. LTO.de vom 22.11.2018.
- ^ Hohes DSGVO-Bußgeld: Privatmann verschickt Mails im offenen Ver...
- ^ https://www.columbus-consulting.eu/fileadmin/Kundenbereich/pdf/Bu%C3%9Fgelder/Liste_%C3%BCber_bereits_verh%C3%A4ngte_Bu%C3%9Fgelder_sortiert_nach_Bu%C3%9Fgeldh%C3%B6he_Stand_02-12-2019.xlsx
- ^ https://www.e-recht24.de/news/datenschutz/11258-dsgvo-privatmann-zahlt-2500-euro-strafe-fuer-offenen-email-verteiler.html
- ^ Maria Kurth: Ein Jahr DSGVO: Bisher wurden in Sachsen-Anhalt sechs Bußgelder in Höhe von 11.730 Euro wegen Datenschutz-Verstößen verhängt.. In: LTO.de vom 22.01.2019.
- ^ 20.000 € Bußgeld wegen Videoüberwachung..
- ^ https://www.spiegel.de/wirtschaft/soziales/deutsche-wohnen-soll-14-5-millionen-euro-strafe-zahlen-a-1294968.html
- ^ https://www.dataprotect.at/2019/12/02/cnil-eur-500t-dsgvo-strafe/
- ^ Rheinland-Pfalz: Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement.
- ^ a b BfDI: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html