Bußgeld (DSGVO)
Das Bußgeld nach Art. 83 DSGVO ist eine von der Aufsichtsbehörde verhängte Geldbuße für Datenschutzverstöße, die je nach Verstoß bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen kann.
Das Bußgeld der Datenschutz-Grundverordnung ist die zentrale Sanktion, mit der Aufsichtsbehörden Verstöße gegen das Datenschutzrecht ahnden. Art. 83 DSGVO sieht zwei Bußgeldrahmen vor: Bei Verstößen gegen formelle Pflichten (etwa Art. 8, 11, 25 bis 39, 42 und 43 DSGVO) drohen Geldbußen von bis zu 10 Mio. Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Bei Verstößen gegen die Grundprinzipien der Verarbeitung, die Rechtmäßigkeit, die Betroffenenrechte (Art. 12 bis 22) oder die Vorgaben zur Drittlandübermittlung verdoppelt sich der Rahmen auf bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.
Die Höhe des Bußgeldes wird im Einzelfall anhand der Kriterien des Art. 83 Abs. 2 DSGVO bemessen. Berücksichtigt werden unter anderem Art, Schwere und Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens, der Grad des Verschuldens (vorsätzlich oder fahrlässig), getroffene Maßnahmen zur Schadensminderung, der Grad der Verantwortung unter Berücksichtigung technischer und organisatorischer Maßnahmen, einschlägige frühere Verstöße, der Grad der Zusammenarbeit mit der Aufsichtsbehörde sowie die Kategorien betroffener Daten. Der Europäische Datenschutzausschuss hat hierzu Leitlinien (Guidelines 04/2022) veröffentlicht, die eine umsatzbasierte Berechnungsmethodik vorgeben und die einheitliche Anwendung in der EU fördern sollen.
Verfahrensseitig setzt die zuständige Aufsichtsbehörde das Bußgeld in einem förmlichen Verwaltungsverfahren fest; bei grenzüberschreitenden Verarbeitungen ist die federführende Behörde im Kohärenzverfahren mit den betroffenen Behörden zuständig. In Deutschland richtet sich das Verfahren nach dem Gesetz über Ordnungswidrigkeiten (OWiG) in Verbindung mit § 41 BDSG. Jedes Bußgeld muss wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DSGVO). Gegen den Bußgeldbescheid steht der gerichtliche Rechtsweg offen; nicht-monetäre Abhilfemaßnahmen wie Verwarnungen, Anweisungen oder Verarbeitungsverbote nach Art. 58 DSGVO können zusätzlich oder anstelle eines Bußgeldes verhängt werden.
Rechtliche Grundlage
Art. 83 DSGVO; Art. 58 Abs. 2 DSGVO; § 41 BDSG; EDSA Guidelines 04/2022
Praxisbeispiel
Ein Online-Händler verschickt nach einem Kundenkonto-Abschluss weiterhin Newsletter, obwohl die Einwilligung widerrufen wurde, und kann zudem auf Auskunftsersuchen über Monate nicht reagieren. Die Aufsichtsbehörde leitet ein Verfahren ein und prüft die Kriterien des Art. 83 Abs. 2 DSGVO: Sie wertet die fehlende Reaktion auf Betroffenenrechte als schwerwiegend, berücksichtigt aber strafmildernd, dass das Unternehmen nach Hinweis sofort ein Löschkonzept und ein Einwilligungsmanagement eingeführt sowie aktiv kooperiert hat. Statt eines hohen Bußgeldes ergeht eine deutlich reduzierte Geldbuße verbunden mit der Anweisung, die Prozesse fristgerecht nachzuweisen.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren