Verstoß gegen die DSGVO? Mit diesen DSGVO Strafen müssen Sie rechnen

Bereits 2018 wurde nach einem zweijährigen Umsetzungszeitraum die heute geltende Datenschutzgrundverordnung wirksam. Und damit auch ihre Strafen und Sanktionen, die sich, besonders verglichen mit dem alten Bundesdatenschutzgesetz, wirklich gewaschen haben. Wir klären auf, welche Sanktionen und Bußgelder Sie aktuell bei Verstößen erwarten, wie Sie diese verhindern und so eine dauerhafte Compliance mit der DSGVO sichern.

Aktuelle DSGVO Strafen:
EU-Recht mit besonderen Sanktionen

In der Datenschutzgrundverordnung (DSGVO) sind Datenschutz und Datensicherheit verankert. Im Zentrum steht dabei die Stärkung der Betroffenenrechte und damit die Prämisse, dass jeder EU-Bürger selbst über die Freigabe und Verwendung seiner persönlichen Daten bestimmen darf. 

Um die Umsetzung der Regelungen durch datenverarbeitende Unternehmen durchzusetzen, hat die DSGVO die Datenschutzaufsichtsbehörden von Anfang an mit angepassten Befugnissen und Sanktionsmöglichkeiten ausgestattet.

Gegen wen können DSGVO Strafen verhängt werden?

Mit Sanktionen und Strafen haben bei Verstößen gegen die DSGVO all diejenigen Unternehmen zu rechnen, die ihren Sitz in der EU haben oder Daten von in der EU lebenden Personen speichern und verarbeiten. 

Seit 2018 werden auch sogenannte Auftragsverarbeiter bei Regelbrüchen belangt. Also solche Unternehmen, die Daten im Auftrag eines anderen Unternehmens übernehmen und verarbeiten.

Welche Möglichkeiten haben die Behörden?

Für Aufsichtsbehörden hält die Verordnung sowohl einen umfangreichen Maßnahmenkatalog von Amtsbefugnissen sowie die Möglichkeit der Verhängung von  Bußgelder und DSGVO Strafen bereit. 

Die Befugnisse sind in Artikel 58 DSGVO aufgelistet und schließen Untersuchungs- und Abhilfe-Befugnisse sowie Genehmigungsbefugnisse und sogenannte beratende Befugnisse mit ein.

Beispiele sind:

• die Forderung aller zur Datenschutz-Überprüfung nötigen Informationen, 
• das Aussprechen von Verwarnungen bei voraussichtlichen Gesetzesverstößen  
• oder auch das Verhängen von Verarbeitungsverboten
  

Welche Bußgelder drohen bei Verstößen gegen die DSGVO?

On top oder an Stelle der genannten Befugnisse können Aufsichtsbehörden bei Verstößen gegen die DSGVO hohe Geldstrafen verhängen.

Diese reichen bis zu einer Obergrenze von 20 Millionen Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens, je nachdem welcher Wert höher ist.

Artikel 84 DSGVO gibt dabei als Richtlinie der EU lediglich vor, dass die DSGVO Strafen wirksam, verhältnismäßig und abschreckend sein müssen.

Über die genauen Rechtsvorschriften entscheiden die einzelnen Mitgliedstaaten selbst. 

Wir zitieren aus der Datenschutzgrundverordnung:

Zur Bemessung der Bußgeld-Sanktionen werden die in Artikel 83 DSGVO genannten allgemeinen Kriterien herangezogen. Das sind:

1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß  Artikel 25 und Artikel 32 getroffenen technischen und organisatorischen Maßnahmen;
5. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag werden in jedem Einzelfall Befugnisse und Umstände gebührend berücksichtigt, die:

1. Rechte der ausführenden Organe einzelner EU-Staaten.
   Sie obliegen dabei der Regelung gemäß Artikel 58, Absatz 2. 
2. Umstände zu Betrachtung und Strafmaß.
   Diese beschreiben die Unterrubriken in Absatz 2, Ziffern a bis j. 
   Frei formuliert steht dort:
   Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfe-Befugnisse,
   die ihr rechtlich das Folgende gestatten:

1. zu warnen, dass gegen die Verordnung zu verstoßen droht
2. zu verwarnen, wenn gegen die Verordnung verstoßen wurde
3. anzuweisen, zustehenden Rechten von Personen zu entsprechen
4. anzuweisen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen
5. anzuweisen, bei einer Daten-Verletzung zu benachrichtigen
6. vorübergehende oder endgültige Verbote zu verhängen
7. Berichtigung oder Löschung oder Einschränkung der Verarbeitung anzuordnen
8. eine Zertifizierung zu widerrufen oder keine Zertifizierung zu erteilen
9. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls
10. die Aussetzung der Übermittlung von Daten anzuordnen

In Artikel 83 Abs. 4 und 5 der DSGVO wird der generelle Bußgeldrahmen bei verschiedenen Verstößen gegen die Verordnung festgelegt.

• Verstöße gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter, die Pflichten der Zertifizierungsstelle und die der Überwachungsstelle unterliegen ebenso harten Sanktionen und werden mit Geldbußen bis 10 Millionen Euro oder 2% des Jahresumsatzes des betroffenen Unternehmens bestraft.
• Höhere Bußgelder bis zur oben genannten Maximalstrafe von 20 Millionen Euro oder 4% des Jahresumsatzes fallen auf Verstöße gegen Grundsätze für die Verarbeitung, die Rechte der betroffenen Person, die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland, die Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten und die Nichtbefolgung von Anweisungen der Aufsichtsbehörde an.

DSGVO Strafen vermeiden: Wie können Sie als Unternehmen vorsorgen? 

Um sicherzustellen, dass Ihr Unternehmen die Bestimmungen der DSGVO vollständig umsetzt, ist es entscheidend, alle verabschiedeten Regelungen in Ihre Unternehmensprozesse zu integrieren. Dieser erste Schritt ist von großer Bedeutung, da er sicherstellt, dass Ihr Unternehmen die Datenschutz- und Datensicherheitsanforderungen erfüllt und somit vor möglichen Sanktionen geschützt ist.

Im Zuge der Implementierung der DSGVO-Regelungen sollten Ihre Mitarbeiterinnen und Mitarbeiter über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um die Vorschriften einzuhalten. Schulungen und Schulungsmaterialien helfen, um das Bewusstsein für Datenschutz und Datensicherheit zu schärfen.

Darüber hinaus sollten Ihre Datenverarbeitungsprozesse transparent und nachvollziehbar sein. Dokumentieren Sie alle Verarbeitungsvorgänge und halten Sie Ihre Datenschutzrichtlinien auf dem neuesten Stand. Durch regelmäßige Überprüfungen und Audits vergewissern Sie sich, dass Ihre Prozesse den Anforderungen der DSGVO entsprechen und keine Verstöße vorliegen.

Identifizieren Sie Schwachstellen in Ihrem System und beheben Sie sie. Ein Experte kann Ihnen dabei helfen, Ihre Datenschutzmaßnahmen kontinuierlich zu optimieren, damit Sie die Anforderungen der DSGVO vollständig erfüllen. 

Das könnte Sie auch interessieren:
DSGVO-konforme Digitalisierung von Geschäftsprozessen leicht gemacht

Kommen Ihnen dabei noch letzte Fragen, finden Sie Antworten sicherlich in unserer Checkliste oder in einem unserer zahlreichen Blog-Artikel zu den Themen DSGVO und Inbound Marketing. 

Haben Sie Fragen, die Sie gerne direkt stellen möchten? Buchen Sie hier einfach einen Online-Termin:

Was mindestens genauso wichtig ist: Die Einhaltung der DSGVO ist nicht nur eine rechtliche Verpflichtung, sondern auch ein wichtiger Schritt, um das Vertrauen Ihrer Kunden und Partner zu stärken und den Schutz personenbezogener Daten zu gewährleisten. 

Fazit

Umfang und Summen der drohenden DSGVO Strafen und Sanktionen sprechen für sich.
Sofern die Implementierung der DSGVO in Ihrem Unternehmen seit Mai 2018 natürlich längst durchgesetzt ist, können die beschriebenen Sanktionen höchstens noch Ihre Konkurrenz treffen.
Für die weitere Einhaltung der DSGVO, die Compliance, sorgt dann Ihre obligate Person als Datenschutzbeauftragte/r. 

Nutzen Sie eine datenschutzrechtliche Beratung, um letzte Schwachstellen in Ihrem System beheben, sodass Sie optimal auf die DSGVO vorbereitet sind. Regelmäßige Compliance-Audits und eine sorgfältige Datenpflege sowie Dokumentation der Datenverarbeitungsprozesse sorgen schließlich dafür, dass Sie auch zukünftig keine Sanktionen zu befürchten haben. 

Eine gute Absicherung gegen grobe Verstöße - gerade wenn Sie unsicher über Ihre DSGVO-Sicherheit und die dazugehörige Maintenance sind - ist in jedem Fall auch eine passende Software. Für digitales Arbeiten ohnehin benötigt, deckt sie parallel auch notwendige Gesetzesanforderungen ab.

Die integrative Plattform HubSpot zum Beispiel liefert - neben einem der besten und DSGVO-konformen CRM-Systeme - auch konforme Prozesse und die Absicherung der Daten-Grundrechte Ihrer Kontakte. 

Lesen Sie dazu auch:  

DSGVO umsetzen: Diese HubSpot Features helfen dabei

DSGVO Compliance mit HubSpot

Foto: 
© ESB Professional/Shutterstock.com

Rechtlicher Hinweis:
Diese Inhalte und rechtlichen Informationen sind nicht zu verwechseln mit einer rechtlichen Beratung, bei der ein zugelassener Rechtsanwalt das geltende Recht auf Ihre spezifischen Umstände anwendet. Wir weisen deshalb darauf hin, dass Sie bei Beratungsbedarf über Ihre Auslegung dieser Informationen oder über deren Richtigkeit und Vollständigkeit einen Rechtsanwalt hinzuziehen sollten. Sie können und dürfen sich demnach auf dieses Dokument weder als Rechtsberatung stützen noch als Empfehlung für eine bestimmte Auslegung geltenden Rechts.