Bußgelder

Aus Datenschutz-Wiki
Wechseln zu: Navigation, Suche

Bußgelder sind aus Sicht der DSGVO eine deutsche Ausformung der allgemeineren Begriffe Geldbußen und Sanktionen.

Sanktionen in der DSGVO

Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor ─ je nachdem welche Zahl höher ist.

Überblick zu Bußgeldern aus deutscher Sicht

Die DSGVO regelt Bußgelder etwas allgemeiner im Kapitel VIII - Rechtsbehelfe, Haftung und Sanktionen. Diese werden vor allem in den Erwägungsgründen 141 bis 152 erläutert. Konkret Bußgelder sind für Deuschland in Kapitel 5 - Sanktionen, den §§ 41 ff. BDSG geregelt.

Vorläufiges deutsches Sanktionskonzept

Vorläufiges Konzept zur Bemessung der Bußgelder der DSK im Bereich von Unternehmen, nicht für Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und ohne Verbindlichkeit für Gerichte.[1][2]:

1. Kategorisierung der Unternehmen nach Größenklassen/Jahresumsatz, vgl Art. 86 Abs. 4 bis 6 DSGVO, EG 150
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) Großunternehmen
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
A B C D
Jahresumsatz <= 2 Mio. € > 2 Mio. € bis 10 Mio. € > 10 bis 50 Mio. € > 50 Mio €
A.I <= 700.000 € B.I > 2 Mio. € bis 5 Mio. € C.I > 10 Mio. € bis 12,5 Mio. € D.I > 50 Mio. € bis 75 Mio. €
A.II > 700.000 € bis 1,4 Mio. € B.II > 5 Mio. € bis 7,5 Mio. € C.II >12,5 Mio € bis 15 Mio. € D.II > 75 Mio. € bis 100 Mio. €
A.III > 1,4 Mio. € bis 2 Mio.€ B.III > 7,5 Mio. € bis 10 Mio. € C.III > 15 Mio. € bis 20 Mio. € D.III > 100 Mio. € bis 200 Mio. €
C.IV > 20 Mio. € bis 25 Mio. € D.IV > 200 Mio. € bis 300 Mio. €
C.V > 25 Mio. € bis 30 Mio. € D.V > 300 Mio. € bis 400 Mio. €
C.VI > 30 Mio. € bis 40 Mio. € D.VI > 400 Mio. € bis 500 Mio. €
C.VII > 40 Mio. € bis 50 Mio. € D.VII > 500 Mio. €
2. Mittlerer Jahresumsatzes der jeweiligen Untergruppe der Größenklasse (also Umsatz in Verbindung mit Unternehmenskategorie wie Kleinstunternehmen, kleines und mittleres Unternehmen etc.)
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) Großunternehmen
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
A B C D
Jahresumsatz A.I 350.000 € B.I 3,5 Mio. € C.I 11,25 Mio. € D.I 62,5 Mio. €
A.II 1.050 Mio.€ B.II 6,25 Mio. € C.II 13,75 Mio. € D.II 87,5 Mio. €
A.III 1,7 Mio.€ B.III 8,75 Mio. € C.III 17,5 Mio. € D.III 150 Mio. €
C.IV > 22,5 Mio. € D.IV > 250 Mio. €
C.V > 27,5 Mio. € D.V > 350 Mio. €
C.VI > 35 Mio. € D.VI > 450 Mio. €
C.VII > 45 Mio. € D.VII > konkreter Jahresumsatz[3]
3. Ermittlung des wirtschaftlichen Grundwertes (mittlerer Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt)
Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) Großunternehmen
Kleinstunternehmen Kleine Unternehmen Mittlere Unternehmen
A B C D
Jahresumsatz A.I 972€ B.I 9.722 € C.I 31.250 € D.I 173.611 €
A.II 2.917 € B.II 17.361 € C.II 38.194 € D.II 243.056 €
A.III 4.722 € B.III 24.306 € C.III 48.611 € D.III 416.667 €
C.IV > 62.500 € D.IV > 694.444 €
C.V > 76.389 € D.V > 972.222 €
C.VI > 97.222 € D.VI > 1,25 Mio. €
C.VII > 125.000 Mio. € D.VII > konkreter Tagessatz[4]
4. Vervielfältigung des Grundwertes nach Schweregrad der Tat (leicht bis sehr schwer, wobei die Art des Verstoßes berücksichtigt wird)
Im Hinblick auf die unterschiedlichen Bußgeldrahmen sind dabei für formelle (Art. 83 Abs. 4 DSGVO) und materielle (Art. 83 Abs. 5, 6 DSGVO) Verstöße jeweils unterschiedliche Faktoren zu wählen.
Schweregrad der Tat Faktor für formelle Verstöße
nach Art. 83 Abs. 4 DSGVO
Faktor für materielle Verstöße
gemäß § [sic!] 83 Abs. 5, 6 DSGVO
Leicht 1 bis 2 1 bis 4
Mittel 2 bis 4 4 bis 8
Schwer 4 bis 6 8 bis 12
Sehr Schwer [sic!] > 6 > 12
5. Sonstige für und gegen den Betroffenen sprechenden Umstände
Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.
Rezeption

Kritiker bemängeln am Konzept der DSK aus dem Herbst 2019, dass das Prinzip der Verhältnismäßigkeit aus Art. 83 Abs. 1 DSGVO in Bezug zu Tat und Schuld nicht ausreichend Berücksichtigung fände.[5]

Berlin

Im Land Berlin berücksichtigte Umstände[1]:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung unter Berücksichtigung der getroffenen TOM
  • etwaige einschlägige frühere Verstöße
  • Qualität der Zusammenarbeit mit der Aufsichtsbehörde zum Schutz der Betroffenen
  • betroffene Kategorien personenbezogener Daten
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Mitteilung durch das Unternehmen
  • Frühere Anordungen in derselben Sache
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • sonstige erschwerende oder mildernden Umstände, wie etwa finanzielle Vorteile oder vermiedene Verluste

andere nationale Gesetzgebung in Europa

Datenpannen in der Praxis

    Land        Datum    Sanktion
gerundet
Verfahrensstand Branche/Unternehmen Zusammenfassung
Österreich 2018-09-19 000.000.005
4.800 €
--- --- Videoüberwachung eines großflächigen Teils der öffentlichen Straße ohne ausreichende Kennzeichnung.[6]
Portugal 2018-10-23 000.000.400
400.000 €
--- --- unautorisierter Zugriff auf Patientenakten in Krankenhaus durch Techniker.[6]
Deutschland 2018-11-22 000.000.020
20.000 €
--- Knuddels Passwörter der Nutzer unverschlüsselt auf dem Server gespeichert.[6][7]
Großbritannien 2018-11-22 000.565.000
565.000 €
--- Facebook Herausgabe von Daten an Cambridge-Analytica[6][8]<ref<https://www.spiegel.de/netzwelt/web/facebook-einspruch-gegen-geldbusse-im-datenskandal-um-cambridge-analytica-a-1239813.html</ref>
Polen 2019-XX-XX 000.000.644
644.000 €
--- Netzladen Morele.net Ein Hackerangriff griff Daten von 2,2 Millionen Kunden ab und offenbarte unzureichende TOM. Zu den betroffenen Daten gehörten unter anderem die Kontaktdaten sowie in einigen Fällen Daten aus Ratenkreditanträgen.[9]
Frankreich 2019-01-21 000.050.000
50.000 €
--- Google Informationspflicht verletzt, Werbezustimmung ungültig nach Beschwerden von LQDN sowie NOYB des bekannten Facebook-Kritikers Max Schrems.[10]
Vereinigtes Königreich 2019-07-08 000.204.000
204 Mio €/£183.39M
--- British Airways BA wurden unzureichende TOM vorgeworfen, nachdem rund 500.000 Benutzer von einer Unternehmensseite auf eine gefälschte Seiten umgelenkt worden waren, wo ihre Daten abgegriffen wurden.[11]
Vereinigtes Königreich 2019-07-09 000.110.000
110 Mio €
--- Marriott International Marriott International wird vorgeworfen, einen Datenverlust nicht angezeigt und nach dem Erwerb einer Tochter nicht ausreichend Anstrengungen zur Verbesserung von deren Datenschutz unternommen zu haben. Rund 360 Mio. Gästedaten der 2016 erworbenen Tochter Starwood waren seit 2014 ungeschützt zugänglich, was erst 2018 entdeckt wurde.[12]
Österreich 2019-10-28 000.018.000
18 Mio €
--- Österreichische Post Der Österreichischen Post wird aufgrund von Recherchen „Addendum“ vorgeworfen, Aus Wohnort und Alter Parteiaffinitäten gefolgert sowie zu Paketfrequenzen und der Häufigkeit von Umzügen zum Zweck des Direktmarketings gesammelt zu haben[13][14]
Deutschland, Baden-Württemberg 2018-11-22 000.000.020
20.000 €
--- Chat-Portal Knuddels.de Bei Hackerangriff wurden Benutzerdaten von 330.000 Nutzern erbeutet und veröffentlicht. Selbstanzeige wurde strafmildernd berücksichtigt. [15]
Deutschland, Sachsen-Anhalt 2019-02-14 000.000.003
2.500 € oder 2.600 €
--- --- Privatmann verschickt vielfach E-Post, in denen Empfänger sichtbar waren, wodurch 140 personenbezogene Adressen öffentlich gemacht wurden (offener Verteiler). [16][17][18]
Deutschland, Sachsen-Anhalt 2019-05-27 000.000.004
3.700 €
rechtskräftig --- Gesundheitsdaten unverschlüsselt per E-Post an Dritte [19]
Frankreich 2019-06-XX 000.000.020
20.000 €
--- --- wegen dauerhafter Videoüberwachung der eigenen Mitarbeiter [20]
Deutschland, Berlin 2019-09-23 000.000.195
195.000 €
--- Takeaway.com (Rechtsnachfolger von Delivery Hero SE) Das Unternehmen hat die Strafe bereits akzeptiert. Zuvor hatten Kunden unerwünschte Werbe-E-Post erhalten. Das Unternehmen hatte Konten ehemaliger Kunden nicht gelöscht und mehrfach das Auskunftsrecht missachtet.[9]
Deutschland, Berlin 2019-09-XX 000.000.050
50.000 €
--- Netzbank N26 [1]
Deutschland, Berlin 2019-11-05 000.014.500
14,5 Mio €
--- Deutsche Wohnen wegen unzulässiger Speicherung von Mieterselbstauskünften über den Mietvertragsschluss hinaus und trotz mehrfacher Aufforderung, dieses Verhalten abzustellen.[21]
Frankreich 2019-11-21 000.000.500
0,5 Mio €
--- Futura International unzulässige Telefonwerbung, kein Widerspruchsmanagement[22][6]
Deutschland, Rheinland-Pfalz 2019-12-03 000.000.105
105.000 €
--- Krankenhaus mehreren Verstöße im Zusammenhang mit einer Patientenverwechslung, die strukturelle technische und organisatorische Defizite beim Patientenmanagement offenbarte. Das Krankenhaus zeigte belastbare Bemühungen, den Mangel abzustellen.[23]
Deutschland, BfDI 2019-12-09 000.009.550
9,5 Mio €
--- 1&1 Telecom Ausspähen von Kundendaten durch telefonische Auskünfte aufgrund unzureichender Authentifizierung möglich, kooperativ daher unterer Rahmen.[24]
Deutschland, BfDI 2019-12-09 000.000.010
10.000 €
--- Rapidata Kein Datenschutzbeauftragter in Kleinstunternehmen benannt.[24]

Netzverweise

Auf http://enforcementtracker.com/ kann man einige europäische Sanktionen finden.

  1. ^ a b c Oliver Schonschek: Wie die Bußgelder nach DSGVO bemessen werden sollen. vom 4. November 2019.
  2. ^ DSK: Konzept der unabhängigen Datenschutzaufsichtsbehörden desBundes und der Länder zur Bußgeldzumessungin Verfahren gegen Unternehmen vom 14.10.2019
  3. ^ Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.
  4. ^ Ab einem jährlichen Umsatz von über 500 Mio. € ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.
  5. ^ Tim Wybitul: EU-Datenschutzgrundverordnung. Daten­schützer testen neues Buß­geld­mo­dell. In: LTO.de vom 20.09.2019.
  6. ^ a b c d e Regina Stoiber: Bußgelder nach der DSGVO."" vom 6.11.2019.
  7. ^ https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html
  8. ^ https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html
  9. ^ a b https://www.datenschutzbeauftragter-info.de/berliner-bfdi-rekordbussgelder-fuer-missachtung-der-betroffenenrechte/
  10. ^ dpa/mgö/LTO-Redaktion 50 Mil­lionen Euro Buß­geld für Google. In: LTO.de vom 22.01.2019.
  11. ^ https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
  12. ^ https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
  13. ^ https://wien.orf.at/stories/3019396/
  14. ^ https://kurier.at/chronik/oesterreich/post-in-der-causa-datenskandal-verurteilt/400660373
  15. ^ tik/LTO-Redaktion: LDI BW verhängt erstes Bußgeld nach der DSGVO. Daten­schutz­ver­fahren gegen Knud­dels abge­sch­lossen . In. LTO.de vom 22.11.2018.
  16. ^ Hohes DSGVO-Bußgeld: Privatmann verschickt Mails im offenen Ver...
  17. ^ https://www.columbus-consulting.eu/fileadmin/Kundenbereich/pdf/Bu%C3%9Fgelder/Liste_%C3%BCber_bereits_verh%C3%A4ngte_Bu%C3%9Fgelder_sortiert_nach_Bu%C3%9Fgeldh%C3%B6he_Stand_02-12-2019.xlsx
  18. ^ https://www.e-recht24.de/news/datenschutz/11258-dsgvo-privatmann-zahlt-2500-euro-strafe-fuer-offenen-email-verteiler.html
  19. ^ Maria Kurth: Ein Jahr DSGVO: Bisher wurden in Sachsen-Anhalt sechs Bußgelder in Höhe von 11.730 Euro wegen Datenschutz-Verstößen verhängt.. In: LTO.de vom 22.01.2019.
  20. ^ 20.000 € Bußgeld wegen Videoüberwachung..
  21. ^ https://www.spiegel.de/wirtschaft/soziales/deutsche-wohnen-soll-14-5-millionen-euro-strafe-zahlen-a-1294968.html
  22. ^ https://www.dataprotect.at/2019/12/02/cnil-eur-500t-dsgvo-strafe/
  23. ^ Rheinland-Pfalz: Geldbuße gegen Krankenhaus aufgrund von Datenschutz-Defiziten beim Patientenmanagement.
  24. ^ a b BfDI: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html