16 min Zuletzt auktualisiert: 13.03.2025

DSGVO-Bußgelder: Unternehmen aufgepasst!

Ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) kann für Unternehmen nicht nur teuer werden, sondern auch schwerwiegende Folgen für ihren Ruf haben.

Ein aktuelles Beispiel zeigt, wie empfindlich die Sanktionen ausfallen können: Im Juni 2024 verhängte der Landesbeauftragte für Datenschutz Niedersachsen ein Bußgeld von 220.000 Euro gegen ein Kreditinstitut. Der Grund: Das Unternehmen hatte ohne Zustimmung seiner KundInnen Profile erstellt, um gezielte Werbung zu schalten – ein klarer Verstoß gegen die Zweckbindung der Datenverarbeitung. 

Solche Fehler lassen sich vermeiden, wenn Unternehmen die typischen Fallstricke kennen und sich richtig absichern. Doch welche Fehler führen besonders häufig zu DSGVO-Bußgeldern, und wie können Sie sich effektiv schützen? Dieser Artikel zeigt Ihnen, welche Strafen drohen, wie DSGVO-Bußgelder berechnet werden und welche Maßnahmen Unternehmen vor teuren Konsequenzen bewahren.

DSGVO-Verstöße 2024 und deren Konsequenzen

Im Jahr 2024 ist die Durchsetzung der DSGVO weiterhin streng und teuer für Unternehmen, die die Vorschriften nicht einhalten. Hier sind einige der häufigsten Verstöße und ihre schwerwiegenden Folgen.

Unzureichende Sicherheitsmaßnahmen und verspätete Datenpannenmeldungen

Ein häufig auftretender Verstoß ist das Versäumnis, ausreichende Sicherheitsvorkehrungen für den Schutz personenbezogener Daten zu treffen. Ein Beispiel hierfür ist der Fall von Meta Platforms Ireland Ltd., bei dem im September 2024 ein Bußgeld von 91 Millionen Euro verhängt wurde. Die irische Datenschutzbehörde ahndete eine verspätete Meldung einer Datenpanne sowie unzureichende Maßnahmen zum Schutz der Nutzerdaten​.

Unzureichende Beantwortung von Löschanfragen

Ein weiteres häufiges Problem ist die Missachtung von Anfragen zur Löschung oder Einsicht von personenbezogenen Daten. Die Plattform Vinted UAB wurde mit einem DSGVO-Bußgeld von 2,3 Millionen Euro belegt, nachdem zahlreiche NutzerInnen sich über die unzureichende Bearbeitung von Löschanfragen beschwert hatten. Die Datenschutzbehörden kritisierten außerdem das unzureichende Management von Anfragen durch Vinted und den fehlenden Nachweis ordnungsgemäßer Bearbeitung​.

Unrechtmäßige Datenlöschung trotz Auskunftsanfrage

Ein klassischer Fall von Missachtung des Rechts auf Auskunft trat bei El Corte Inglés in Spanien auf. Das Unternehmen löschte Videoaufnahmen eines Unfalls auf seinem Parkplatz, obwohl eine Auskunftsanfrage gemäß Art. 15 der DSGVO vorlag. Diese Aktion führte zu einem DSGVO-Bußgeld von 140.000 Euro, da Unternehmen verpflichtet sind, Daten nach einer Auskunftsanfrage zurückzuhalten​.

Verletzung der Betroffenenrechte im Bereich E-Mail-Marketing

Ein weiteres Beispiel ist der Fall von Coop Italia, das im April 2024 ein DSGVO-Bußgeld von 90.000 Euro zahlen musste, weil das Unternehmen Werbe-E-Mails an einen Kunden versendete, obwohl dieser dem zuvor widersprochen hatte. Dies zeigt, wie wichtig es ist, Betroffenenrechte, wie das Widerspruchsrecht, strikt einzuhalten

Bußgeldberechnung nach der DSGVO

Faktoren für die Höhe der DSGVO-Bußgelder

Die DSGVO sieht erhebliche Bußgelder vor, die je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können – je nachdem, welcher Betrag höher ist. (Art. 83 Abs. 5 DSGVO). Folgende Kriterien beeinflussen die Höhe des Bußgeldes:

  • Schwere des Verstoßes: Die Schwere des Verstoßes ist einer der wichtigsten Faktoren bei der Berechnung von Bußgeldern. Hierbei werden die Art, der Umfang, die Dauer und die Folgen des Verstoßes berücksichtigt. Schwerwiegende Verstöße, wie etwa die unrechtmäßige Verarbeitung sensibler Daten, werden stärker sanktioniert. Besonders schwerwiegend sind Verstöße gegen die Grundprinzipien der Datenverarbeitung, wie etwa die Rechtsmäßigkeit, Transparenz oder Zweckbindung​.
  • Vorsatz oder Fahrlässigkeit: Ein weiterer wichtiger Faktor ist die Frage, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde. Vorsätzliche Verstöße, bei denen Unternehmen bewusst gegen die DSGVO-Vorschriften handeln, werden strenger geahndet. Fahrlässige Verstöße können hingegen zu milderen Strafen führen, sofern nachgewiesen werden kann, dass Maßnahmen zur Einhaltung der DSGVO getroffen wurde
  • Kooperationsbereitschaft und Schadensbegrenzung: Die Zusammenarbeit mit den Aufsichtsbehörden und die Bereitschaft, Verstöße schnell zu beheben, können ebenfalls mildernd wirken. Unternehmen, die aktiv Maßnahmen ergreifen, um den verursachten Schaden zu minimieren oder die Einhaltung der Vorschriften zu verbessern, können mit einer Reduzierung des Bußgeldes rechnen
  • Vorherige Verstöße: Wiederholte Verstöße oder eine Vorgeschichte von Datenschutzverletzungen wirken verschärfend auf die Bußgeldhöhe. Unternehmen, die bereits wegen Datenschutzverstößen sanktioniert wurden, müssen mit höheren Strafen rechnen, da dies als Indikator dafür gilt, dass sie nicht genügend Anstrengungen zur Verbesserung ihrer Datenschutzmaßnahmen unternommen haben
  • Art der betroffenen Daten: Besonders sensible Daten, wie zum Beispiel Gesundheitsdaten, biometrische Daten oder Informationen über die ethnische Herkunft, sind gemäß Artikel 9 der DSGVO besonders geschützt. Die Verarbeitung dieser Daten erfordert spezielle Sicherheitsmaßnahmen und rechtliche Grundlagen. Ein Verstoß gegen diese Bestimmungen gilt als besonders schwerwiegend und wird entsprechend höher sanktioniert.
  • Unternehmensgröße und wirtschaftliche Verhältnisse: Die DSGVO sieht vor, dass die Höhe des Bußgeldes auch in Relation zur Größe und den wirtschaftlichen Verhältnissen des Unternehmens steht. Ein großer internationaler Konzern, der gegen die Vorschriften verstößt, wird entsprechend höhere Bußgelder zahlen müssen als ein kleines Unternehmen. Dies soll sicherstellen, dass die Sanktionen eine abschreckende Wirkung haben, unabhängig von der wirtschaftlichen Größe des Unternehmens​.

Abmahnungen als Vorstufe zu DSGVO-Bußgeldern

Neben Bußgeldern sind auch Abmahnungen ein gängiges Mittel, um Unternehmen zur Einhaltung der DSGVO zu verpflichten. Datenschutzbehörden können zunächst eine Abmahnung aussprechen, wenn der Verstoß nicht schwerwiegend ist und das Unternehmen bereit ist, den Fehler umgehend zu beheben. Abmahnungen können in Fällen von geringfügigen oder fahrlässigen Verstößen eingesetzt werden, um den betroffenen Unternehmen die Möglichkeit zu geben, Verstöße zu korrigieren, bevor Bußgelder verhängt werden.

Insgesamt ist die Bußgeldberechnung nach der DSGVO flexibel, aber stets auf Abschreckung und den Schutz personenbezogener Daten ausgelegt. Unternehmen sollten daher darauf achten, ihre Datenschutzprozesse laufend zu optimieren, um Strafen zu vermeiden.

Neben finanziellen Strafen können Aufsichtsbehörden auch Maßnahmen wie die Einschränkung oder das Verbot der Datenverarbeitung anordnen.

Typische Standardfehler, die zu DSGVO-Bußgeldern führen

Datenschutzverletzungen sind ein großes Risiko für Unternehmen, da die Angriffsfläche stetig wächst. Um teure DSGVO-Bußgelder und Imageschäden zu vermeiden, ist es entscheidend, typische Fehler zu erkennen und präventive Maßnahmen zu ergreifen.

  • Unverschlüsselte Datenübertragung: Ohne Verschlüsselung können Daten abgefangen werden.
  • Schwache Passwörter: Einfache Passwörter oder fehlende Multi-Faktor-Authentifizierung erleichtern unberechtigte Zugriffe.
  • Datenschutz bei Remote-Arbeit: Unsichere Verbindungen und ungeschützte Geräte gefährden Unternehmensdaten. Regelmäßige Schulungen zum sicheren mobilen Arbeiten unterstützen dabei maßgeblich.
  • Nutzung privater Geräte: Fehlender Schutz bei der Nutzung privater Geräte führt zu Datenverlust und -verletzungen.
  • Unvollständige Datenschutzerklärungen: Fehlende Angaben können Abmahnungen nach sich ziehen.
  • Fehlerhafte Tools: Unsachgemäße Nutzung von Google Fonts oder Analytics ohne Einwilligung der Nutzer ist ein Verstoß.
  • Unverschlüsselte Kontaktformulare: Datenübertragung ohne Verschlüsselung verstößt gegen die DSGVO.
  • Missachtung von Betroffenenrechten: Anfragen werden nicht korrekt oder rechtzeitig bearbeitet.

Best Practices: So schützen Sie Ihr Unternehmen vor DSGVO-Bußgeldern

Technische Maßnahmen

  • Datenverschlüsselung: Verschlüsseln Sie Daten bei Übertragung und Speicherung.
  • Passwortsicherheit: Nutzen Sie komplexe Passwörter und Multi-Faktor-Authentifizierung, um den unbefugten Zugriff auf Konten zu erschweren.
  • Software-Updates: Halten Sie alle Systeme durch regelmäßige Updates sicher.
  • Netzwerksicherheit: Schützen Sie Ihr Netzwerk mit Firewalls und VPNs.

Organisatorische Maßnahmen

  • Dateninventar: Erstellen Sie ein Verzeichnis aller sensiblen Daten.
  • Zugriffskontrollen: Beschränken und überwachen Sie den Zugang zu sensiblen Informationen.
  • Datenschutzerklärung: Sorgen Sie für eine vollständige und aktuelle Datenschutzerklärung.
  • Externe Expertise: Ziehen Sie bei Bedarf DatenschutzexpertInnen hinzu.

Schulungen und Sensibilisierung

  • Mitarbeiterschulungen: Sensibilisieren Sie alle Mitarbeitenden in Ihrem Unternehmen, unabhängig von ihrer Position, regelmäßig für Cyberrisiken und sichere Verhaltensweisen im Umgang mit Daten.

Erste Schritte nach einer DSGVO-Abmahnung

  1. Ruhe bewahren: Überstürzte Handlungen vermeiden und die Abmahnung sorgfältig prüfen.
  2. Rechtsberatung einholen: Lassen Sie die Abmahnung durch einen Anwalt prüfen, um die Rechtmäßigkeit und mögliche Handlungsoptionen zu klären.
  3. Fristen beachten: Reagieren Sie innerhalb der gesetzten Frist. Eine nicht fristgerechte Reaktion kann zu weiteren rechtlichen Problemen führen.
  4. Unterlassungserklärung: Geben Sie eine solche Erklärung nie unüberlegt ab, sondern lassen Sie sie von AnwältInnen prüfen und gegebenenfalls anpassen.
  5. Abstellung des Verstoßes: Beheben Sie den festgestellten Verstoß, um zukünftige Abmahnungen und Vertragsstrafen zu vermeiden.

Fazit

Die DSGVO sieht hohe Bußgelder vor, die sich je nach Schwere des Verstoßes und weiteren Kriterien bemessen. Unternehmen müssen sich der Risiken bewusst sein und proaktiv Maßnahmen ergreifen, um Datenschutzverletzungen zu vermeiden. Ein umfassender Schutz beinhaltet technische Ansätze,  wie Verschlüsselung und Zugriffsmanagement aber auch  organisatorische Maßnahmen wie regelmäßige Mitarbeiterschulungen und klare Datenschutzrichtlinien. Bei einem Verstoß ist schnelles und korrektes Handeln entscheidend, um rechtliche Konsequenzen zu minimieren und das Vertrauen der KundInnen zu bewahren.

Inhaltsangabe

Quellen

Unsere Auszeichnungen

Comenius-Siegel-2024 DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.1738400762475 von 5 Sternen 2673 Bewertungen auf ProvenExpert.com

Schulungen

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497