Das Wichtigste auf einen Blick
- Die Missachtung von Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten ist ein DSGVO Verstoß.
- Das ist z. B. der Fall, wenn Daten nicht vorschriftsgemäß erhoben, verarbeitet oder gespeichert werden.
- Die Folgen eines Datenschutz-Verstoßes können u. a. Abmahnungen, Bußgelder, Geld- oder Freiheitsstrafen sein.
- Zu melden ist ein DSGVO Verstoß innerhalb von 72 Stunden bei den zuständigen Aufsichtsbehörden.
- Vermeiden lässt sich ein Datenschutz-Verstoß durch u. a. eine Datenschutzerklärung, ein Verarbeitungsverzeichnis & TOM.
Sie brauchen Unterstützung im Datenschutzrecht?
Ob Datenschutzkonzept, Folgenabschätzung oder DSGVO Verstoß: Wir informieren Sie in einer kostenfreien Ersteinschätzung über alle gesetzlichen Vorgaben, Ihre Handlungsoptionen und die Kosten.
Inhaltsverzeichnis
1. Was ist ein DSGVO Verstoß?
Die europaweit gültige Datenschutz-Grundverordnung (DSGVO) stellt Regeln für den Umgang mit personenbezogenen Daten wie Geburtsdatum, Adresse und Kontoverbindung auf. Sie enthält zahlreiche Vorgaben dazu, wie diese Daten von Unternehmen nicht, teilweise oder voll automatisiert zu verarbeiten sind.
Ergänzt wird die DSGVO vom Bundesdatenschutzgesetz (BDSG) – und zwar dort, wo Regelungen den einzelnen Mitgliedsstaaten der EU überlassen sind.
Wenn Unternehmen, Behörden oder Privatpersonen die Vorgaben von DSGVO oder BDSG missachten, liegt ein DSGVO Verstoß (auch Datenschutzverletzung, Datenschutzpanne oder Datenschutz-Verstoß) vor. Dies ist beispielsweise der Fall, wenn sie personenbezogene Daten nicht vorschriftsgemäß erheben, verarbeiten oder speichern.
Wann liegt ein Verstoß gegen die DSGVO vor? I Beispiele
Ein DSGVO Verstoß bzw. ein Datenschutz-Verstoß liegt u. a. in den folgenden Fällen vor:
- Auf der Webseite ist keine oder eine fehlerhafte Datenschutzerklärung eingebunden.
- Die Verarbeitung personenbezogener Daten wurde nicht in einem Verarbeitungsverzeichnis dokumentiert.
- Technisch-organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten wurden versäumt.
- Die Auftragsdatenverarbeitung wurde nicht vertraglich geregelt.
- Über z. B. ein Kontaktformular werden personenbezogene Daten unverschlüsselt übertragen.
- Personenbezogene Daten werden ohne Einwilligung in Drittstaaten übermittelt.
- Es wurde kein Datenschutzbeauftragter bestellt, obwohl eine Pflicht dazu besteht.
- Betroffene und zuständige Aufsichtsbehörden wurden nicht über einen DSGVO Verstoß/einen Datenschutz-Verstoß informiert.
Auch mehrere Jahre nach Inkrafttreten der DSGVO stelle ich regelmäßig fest, dass Datenschutzerklärungen entweder gar nicht vorhanden oder fehlerhaft sind. Inhaltliche Mängel führen automatisch zu einem Datenschutz-Verstoß. Dadurch drohen nicht nur hohe Bußgelder und Schadensersatzansprüche, sondern auch Reputationsschäden für Unternehmer.
Rechtsanwalt Martin Jedwillat
2. Welche Folgen kann ein Verstoß gegen die DSGVO haben?
Bei einem DSGVO Verstoß drohen nicht nur hohe Bußgelder – daneben kann ein Verstoß gegen den Datenschutz viele weitere Folgen haben:
- Reputationsverlust des Unternehmens
- Abmahnungen von Wettbewerbern
- Schadensersatzansprüche von Betroffenen
- Freiheitsstrafe bei wissentlichen oder mutwilligen DSGVO Verstößen
- Arbeitsrechtliche Konsequenzen wie Abmahnung oder Kündigung, wenn Mitarbeiter einen Datenschutz-Verstoß begehen
3. Können Datenschutz-Verstöße bestraft werden?
Ja, Datenschutz-Verstöße können zu Strafen führen. DSGVO und BDSG definieren nicht nur Vorgaben für den Umgang mit personenbezogenen Daten – sie enthalten auch Vorschriften für Verstöße gegen den Datenschutz.
Ein Verstoß gegen die DSGVO ist allerdings eine Ordnungswidrigkeit – und keine Straftat. Daher wird hier genau genommen keine Strafe verhängt, sondern nur ein Bußgeld. Die Höhe des DSGVO Bußgeldes ist von folgenden Faktoren abhängig:
- Schwere des Datenschutz-Verstoßes
- Vorsätzlichkeit
- Maßnahmen zur Minderung des entstandenen Schadens
- Zusammenarbeit mit der zuständigen Aufsichtsbehörde
- Jahresumsatz des Unternehmens
Anders sieht es bei einem Verstoß gegen das BDSG aus: Ein solcher Verstoß gegen den Datenschutz kann eine Straftat darstellen und mit Geld- oder Freiheitsstrafen bestraft werden – sofern der Verstoß wissentlich oder vorsätzlich herbeigeführt wurde.
Die Vorgaben von DSGVO und BDSG gelten nicht nur für den Arbeitsplatz im Büro. Ein DSGVO Verstoß kann auch bei der Arbeit zuhause passieren. Deswegen müssen Arbeitgeber die Umsetzung der Vorgaben zum Datenschutz im Homeoffice sicherstellen.
Rechtsanwalt Martin Jedwillat
Welche Strafe droht bei Datenschutz-Verstößen?
Welche Strafe für einen Datenschutz-Verstoß droht, ist davon abhängig, ob es sich um einen Verstoß gegen die DSGVO oder gegen das BDSG handelt.
DSGVO Verstoß
Laut Art. 8, 83 Abs. 4 DSGVO werden u. a. folgende DSGVO Verstöße mit einer Strafe bzw. einem Bußgeld von bis zu 10 Millionen € oder bei Unternehmen bis 2 % des weltweiten Jahresumsatzes bestraft:
- Unzulässige Verarbeitung personenbezogener Daten von Kindern
- Nicht erforderliche Verarbeitung personenbezogener Daten zur Identifizierung einer Person
- Ungeeignete TOM zum Schutz personenbezogener Daten
- Missachtung der Vorgaben zum Datenschutzbeauftragten
- Missachtung der Vorgaben zur Zertifizierung & Zertifizierungsstellen
Eine DSGVO Strafe bzw. ein Bußgeld von bis zu 20 Millionen € oder bei Unternehmen bis 4 % des weltweiten Jahresumsatzes droht laut Art. 8, Abs. 5 DSGVO bei u. a. folgenden DSGVO Verstößen:
- Missachtung der Grundsätze zur Verarbeitung personenbezogener Daten
- Unrechtmäßige Verarbeitung personenbezogener Daten
- Unwirksame oder keine Einwilligung des Betroffenen in die Datenverarbeitung
- Missachtung der Beschränkung bei der Verarbeitung besonderer Kategorien von personenbezogenen Daten
- Missachtung der Rechte von Betroffenen bei der Verarbeitung ihrer Daten
- Unzulässige Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland oder internationalen Organisationen
- Missachtung der Anweisungen der zuständigen Aufsichtsbehörde
Die DSGVO gilt nicht für Privatpersonen. Allerdings können auch Privatpersonen wegen eines Verstoßes gegen den Datenschutz Strafen ausgesprochen werden, wenn sie personenbezogene Daten erheben oder verarbeiten und dabei die gesetzlichen Vorschriften nicht beachten.
Rechtsanwalt Martin Jedwillat
BDSG-Verstoß
Die Strafen für einen Verstoß gegen das Bundesdatenschutzgesetz sind in § 42 BDSG geregelt. Für einen Datenschutz-Verstoß drohen Geld- oder Freiheitsstrafen.
Mit einer Geld- oder Freiheitsstrafe von bis zu 2 Jahren können folgende Verstöße gegen den Datenschutz bestraft werden:
- Unberechtigte Verarbeitung nicht allgemein zugänglicher personenbezogener Daten
- Zum Zwecke der Bereicherung oder Schädigung erschlichene personenbezogene Daten
Für folgende Datenschutz-Verstöße drohen Geld- oder Freiheitsstrafen von bis zu 3 Jahren:
- Wissentlich unberechtigte Übermittlung personenbezogener Daten einer großen Anzahl von Personen an Dritte
- Wissentlich unberechtigte Zugänglichmachung personenbezogener Daten für Dritte
Wie hoch sind die maximal drohenden Bußgelder nach der DSGVO für Unternehmen?
Die für einen DSGVO Verstoß drohenden Bußgelder betragen maximal 20 Millionen € – oder bis zu 4 % des weltweiten Jahresumsatzes, wenn ein Unternehmen den Datenschutz-Verstoß begangen hat.
Wer kann Verstöße gegen das Datenschutzrecht ahnden?
Für Datenschutz-Verstöße ist die zuständige Aufsichtsbehörde wie der Bundesdatenschutzbeauftragte oder die Datenschutzbeauftragten der Bundesländer zuständig. Ihre Aufgaben sind die Bewertung, Verfolgung und Ahndung von Datenschutzverletzungen.
Wer haftet bei Verstoß gegen DSGVO?
Für einen DSGVO Verstoß haftet der für den Datenschutz Verantwortliche. Das sind Unternehmen oder Dritte, die im Auftrag des Unternehmens personenbezogene Daten verarbeiten.
Je nach Unternehmensform können das die Geschäftsführung oder der Vorstand sein. Kommt es zu Verstößen gegen die Vorgaben zum Datenschutz in einer Arztpraxis, haften der oder die Inhaber:innen.
4. Muss ein Datenschutz-Verstoß gemeldet werden?
Ja, ein DSGVO-Verstoß ist laut Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde zu melden, sobald ein Verstoß gegen den Datenschutz festgestellt wurde und zu einem Risiko für die Rechte des Betroffenen werden kann. Bedeutet der Verstoß gegen den Datenschutz kein Risiko für die Betroffenen, besteht keine Meldepflicht.
Laut Art. 34 DSGVO sind zudem die von einem Verstoß gegen die DSGVO betroffenen natürlichen Personen zu informieren, wenn Datenschutz-Verstoß ein besonders hohes Risiko für sie bedeutet. Eine solche Gefahr ist vor allem bei den besonderen Kategorien von personenbezogenen Daten wie Gesundheitsdaten, ethnische Herkunft oder strafrechtlichen Verurteilungen gegeben.
Wo kann man einen DSGVO Verstoß melden?
Einen Verstoß gegen das BDSG oder einen DSGVO Verstoß melden können Sie bei der Bundesnetzagentur und den zuständigen Aufsichtsbehörde. Das sind der Bundesbeauftragte für den Datenschutz oder die Datenschutzbeauftragten der Länder.
Wann Datenschutzverletzung melden?
Für Datenschutz-Verstöße ist die zuständige Aufsichtsbehörde wie der Bundesdatenschutzbeauftragte oder die Datenschutzbeauftragten der Bundesländer zuständig. Ihre Aufgaben sind die Bewertung, Verfolgung und Ahndung von Datenschutzverletzungen.
5. Wie verhindere ich DSGVO Verstöße & Strafen? I Checkliste
Um alle wichtigen Datenschutzvorgaben umzusetzen und dadurch DSGVO Verstößen oder Strafen vorzubeugen, sind folgende Maßnahmen empfehlenswert:
- In einem Verarbeitungsverzeichnis alle Tätigkeiten dokumentieren, bei denen personenbezogene Daten verarbeitet werden.
- Technisch-organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten umsetzen & im TOM-Verzeichnis dokumentieren.
- Die Verarbeitung von personenbezogenen Daten durch Drittanbieter in einem Auftragsverarbeitungsvertrag (AVV) regeln.
- In einer Folgenabschätzung alle Risiken für den Datenschutz beschreiben & geeignete Maßnahmen für deren Beseitigung definieren.
- Webseite durch u. a. TSL/SSL-Verschlüsselung & Datenschutzerklärung datenschutzkonform gestalten.
- Bei einem DSGVO Verstoß zuständige Aufsichtsbehörde & Betroffene informieren sowie Gegenmaßnahmen ergreifen.
Besonders wichtig ist, dass für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage vorliegt, auf die sich diese Verarbeitung stützt. Ein Anwalt kann Unternehmen datenschutzrechtlich umfassend beraten und mit Ihnen ein einheitliches Datenschutzkonzept unter Berücksichtigung Ihrer Interessen erarbeiten.
Rechtsanwalt Martin Jedwillat
Wie kann advomare beim Datenschutz helfen?
Weil wir bereits eine Vielzahl an behördlichen und gerichtlichen Datenschutzverfahren begleitet haben, wissen wir, dass sich Datenschutz-Verstöße nur mit einer an den gesetzlichen Vorgaben orientierten Datenschutz-Strategie effektiv verhindern lassen.
Deswegen unterstützen wir Unternehmen mit unserer Expertise dabei, ein detailliertes Datenschutzkonzept zu erstellen und alle datenschutzrechtlichen Vorgaben umzusetzen. Wir sind auch Ihr anspruchsvoller Ansprechpartner, wenn Sie einen externen Datenschutzbeauftragten bestellen möchten oder müssen.
Im Falle eines Datenschutz-Verstoßes helfen wir Ihnen dabei, schnell und effektiv zu reagieren – und damit den Schaden zu begrenzen. Bei einer dann möglichen Beschwerde übernehmen wir Ihre Vertretung vor Behörden oder Gerichten und versuchen, auf Grundlage einer stichhaltigen Stellungnahme die Einstellung des Datenschutzverfahrens zu erreichen.
Sie brauchen Unterstützung im Datenschutzrecht?
Ob Datenschutzkonzept, Folgenabschätzung oder DSGVO Verstoß: Wir informieren Sie in einer kostenfreien Ersteinschätzung über alle gesetzlichen Vorgaben, Ihre Handlungsoptionen und die Kosten.
6. FAQ: häufigste Fragen zum DSGVO Verstoß
Was sind DSGVO Verstöße?
Ein DSGVO Verstoß liegt vor, wenn Unternehmen, Behörden oder Privatpersonen die Vorgaben der DSGVO zum Umgang mit personenbezogenen Daten missachten. Dies ist u. a. der Fall, wenn solche Daten nicht vorschriftsgemäß erhoben, verarbeitet oder gespeichert werden.
Wann ist es eine Datenschutzverletzung?
In den folgenden Fällen liegt eine Datenschutzverletzung vor:
– keine oder fehlerhafte Datenschutzerklärung
– keine Dokumentation im Verarbeitungsverzeichnis
– keine Maßnahmen zum Schutz personenbezogener Daten
– keine Regelung der Auftragsdatenverarbeitung
– keine Einwilligung zur Datenübermittlung in Drittstaaten
– keinen Datenschutzbeauftragten bestellt
– keine Meldung von Datenschutz-Verstößen
Ist ein Verstoß gegen die DSGVO eine Straftat?
Nein, ein DSGVO Verstoß ist keine Straftat, sondern eine Ordnungswidrigkeit. Deswegen wird anstelle einer Strafe auch ein Bußgeld verhängt. Dieses ist u. a. abhängig von Schwere des Verstoßes gegen die DSGVO, Vorsätzlichkeit und Jahresumsatz des Unternehmens. Das maximale Bußgeld für einen Datenschutz-Verstoß beträgt 20 Millionen € oder bei Unternehmen bis 4 % des Jahresumsatzes.
Was droht bei Verstoß gegen die DSGVO?
Diese Folgen kann ein DSGVO Verstoß u. a. haben:
– Abmahnungen von Wettbewerbern
– Bußgelder, Geld- & Freiheitsstrafen
– Schadensersatz für die vom Verstoß gegen den Datenschutz Betroffene
– Abmahnung oder Kündigung für Mitarbeiter bei Verstoß gegen Datenschutz
Imageverlust
Wo Verstoß gegen DSGVO melden?
Einen Verstoß gegen die DSGVO melden müssen Sie innerhalb von 24 Stunden bei der Bundesnetzagentur und dem Bundesbeauftragten für den Datenschutz oder den Datenschutzbeauftragten der Länder.
Eine Verlängerung der Frist auf 72 Stunden ist möglich, wenn noch nicht alle für die Meldung relevanten Informationen zum Datenschutz-Verstoß vorliegen.
(Bild: HNFOTO – stock.adobe.com)