Wie bemessen sich Bußgelder für DSGVO-Verstöße?

staukestock / Shutterstock.com
staukestock / Shutterstock.com

Hinweis: Der Player funktioniert nur, wenn du die Cookies akzeptierst.

Neben Abmahnungen sind Bußgelder eine klassische Sanktion, die genutzt wird, um die Befolgung von rechtlichen Vorschriften sicherzustellen. Im Bereich E-Commerce können Bußgelder in ganz unterschiedlichen Rechtsbereichen vorkommen, zum Beispiel bei der Verletzung von Verbraucherinteressen oder bei Verstößen gegen das Verpackungsgesetz.

Praktisch besonders relevant sind Bußgelder im Online-Handel aber in einem Thema: dem Datenschutz. Unternehmer müssen nicht einmal vorsätzlich handeln, um sich dem Risiko auszusetzen, erhebliche Summen wegen Verstößen gegen Datenschutzvorschriften zu zahlen. Welche Grenzwerte gelten, und wie werden Bußgelder eigentlich berechnet?

DSGVO – Wann kann es zu einem Bußgeld kommen?

Fälle, in denen für Unternehmen ein Bußgeldrisiko entsteht, gibt es einige. Die zentrale Vorschrift in der DSGVO ist hierbei Art. 83 DSGVO. Behörden, die Bußgelder verhängen, müssen diese Vorgabe beachten und dabei insbesondere sicherstellen, dass die Verhängung in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Möglich ist die Verhängung eines Bußgeldes gegen einen Online-Händler zum Beispiel, wenn:

  1. keine Datenschutzerklärung im Online-Shop eingebunden oder die Datenschutzerklärung fehlerhaft ist,
  2. Kundendaten ohne Rechtsgrundlage, z.B. wirksame Einwilligung, verarbeitet werden,
  3. trotz Pflicht kein Datenschutzbeauftragter benannt wurde,
  4. gegen Betroffenenrechte, z.B. Recht auf Auskunft, verstoßen wird,
  5. personenbezogene Daten trotz Pflicht nicht gelöscht, bzw. weiter verarbeitet werden,
  6. Informationspflichten nicht erfüllt werden,
  7. Newsletter oder Bewertungsanfragen per E-Mail ohne Einwilligung versandt werden,
  8. uvm.

Sie benötigen Unterstützung im Umgang mit dem Datenschutzrecht? Wir helfen gerne.

Gibt es eine Obergrenze für Bußgelder bei Datenschutzverstößen?

Bußgelder für Datenschutzverstöße können exorbitante Höhen erreichen. Doch wie hoch genau können sie maximal ausfallen? Bei den Bußgeldern auf Basis der DSGVO gibt es unterschiedliche Obergrenzen, die besonders davon abhängen, gegen welche Vorschrift verstoßen wird.

Die absolute Obergrenze für Bußgelder nach der DSGVO beträgt 20 Millionen Euro oder vier Prozent des gesamten im Vorjahr weltweit erzielten Jahresumsatzes eines Unternehmens – je nachdem, welcher Betrag der höhere ist. Bei bestimmten Verstößen, bspw. der fehlenden Benennung eines Datenschutzbeauftragen, sieht die DSGVO eine maximale Bußgeldhöhe von zehn Millionen Euro oder zwei Prozent des gesamten im Vorjahr weltweit erzielten Jahresumsatzes eines Unternehmens.

Bußgeldhöhe – Wie bemessen sich die Beträge?

Summen wie die Obergrenzen für Bußgelder sind dabei alles andere als nur theoretisch auf dem Papier existent. Websites mit Übersichten, wie z.B. das DSGVO-Portal, vermitteln hier einen guten Eindruck.

So betraf der Liste zufolge das höchste, jemals in Deutschland verhängte Bußgeld einen großen Modehändler, der Daten der Mitarbeiter eines Servicecenters umfangreich gespeichert hatte – darunter Angaben zu Krankheitssymptomen oder auch lediglich zufällig erlangte Informationen wie familiäre Probleme. Das Bußgeld betrug über 35 Millionen Euro. Es sind jedoch auch Bußgelder bekannt, die noch weitaus höher angesetzt wurden.

Womit aber muss beispielsweise ein kleiner oder mittelständischer Online-Händler an Bußgeld bei einem Verstoß rechnen? Diese Frage bewegt berechtigterweise viele betroffene Unternehmer. Klar ist: Schon die DSGVO stellt diverse Kriterien auf, die bei der Bemessung des Bußgeldes eine Rolle spielen:

  1. Art, Schwere und Dauer des Verstoßes
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  3. getroffene Maßnahmen zur Schadensminderung
  4. frühere Verstöße
  5. Umfang der Zusammenarbeit mit den Behörden
  6. Art der betroffenen personenbezogenen Daten
  7. uvm.

Berechnung und Leitlinien zur Berechnung von Bußgeldern bei DSGVO-Verstößen

2019 hat die Datenschutzkonferenz (DSK), ein Gremium der unabhängigen Datenaufsichtsbehörden Deutschlands, ein Berechnungskonzept für Datenschutzverstöße veröffentlicht, die von Unternehmen begangen werden (Mehr Informationen auf OnlinehändlerNews). Für Gerichte allerdings ist dieses nicht verbindlich.

In absehbarer Zeit wird diese allgemeine Grundlage allerdings ihre Gültigkeit verlieren. Grund hierfür ist ein Vorhaben des Europäischen Datenschutzausschusses (EDSA). Dieser arbeitet zurzeit an Leitlinien zur Berechnung von Bußgeldern nach der DSGVO. Vorgesehen ist eine fünfstufige Berechnungsmethodik, die EU-weit einheitlich ausschlaggebend sein und so die Harmonisierung und Transparenz der Bußgeldpraxis vorantreiben soll. Unternehmen wiederum sollen Bußgeldrisiken besser einschätzen können.

Noch sind die neuen Leitlinien nicht final veröffentlicht. Ein Entwurf kann aber bereits eingesehen werden.


Datenschutz-Paket Pro

  • Externer Datenschutzbeauftragter
  • Anwaltliches Beratungsgespräch
  • Rechtssichere Datenschutzdokumente
  • Persönliche Datenschutzschulung
Mit einem Experten sprechen Jetzt buchen
datenschutz-paket-pro

Du hast eine Abmahnung erhalten?

Egal ob du zum ersten Mal betroffen bist oder du dich mit dem leidigen Thema Abmahnung schon früher auseinandersetzen musstest, egal ob selbstverschuldet oder nicht, wir stehen dir verlässlich zur Seite und helfen sofort.

Zur Hilfe bei Abmahnung

Vernetze dich!

Tausche dich mit Online-Händlern aus, tritt mit Juristen des Händlerbunds direkt in Kontakt und verpasse keine News und exklusiven Gruppen-Aktionen.

Zur Facebook-Gruppe