GDPR und Geldbußen: alles Wissenswerte

Image of Carlo Cilento

Veröffentlicht am 17. Sept. 2024 und bearbeitet am 13. Feb. 2025 von Carlo Cilento

Die Datenschutz-Grundverordnung hat den Ruf, hohe und furchterregende Geldbußen zu verhängen. Rekordbußgelder wie die 1,2-Milliarden-Geldbuße von €Meta wegen Datenübertragungen und die 745-Millionen-Euro-Geldbuße von Amazon sorgten für Schlagzeilen und entfachten eine gesunde Diskussion über Compliance und Datenschutz. Aber was sind GDPR-Bußgelder und wie funktionieren sie genau?

In diesem Blog wird alles Wissenswerte über DSGVO-Bußgelder erklärt: wie sie verhängt und berechnet werden, wie sie angefochten werden können, wie sie sich von anderen Durchsetzungsinstrumenten unterscheiden und vieles mehr. Tauchen wir ein!

  1. Die Grundlagen
    1. Was ist ein GDPR-Bußgeld?
    2. Wie wird man nach der DSGVO mit einem Bußgeld belegt?
    3. Wer stellt GDPR-Bußgelder aus?
    4. Sind Geldstrafen Schadensersatz?
  2. Die praktische Seite
    1. Wie werden die GDPR-Bußgelder berechnet?
    2. Wie hoch sind die Bußgelder im Rahmen der DSGVO?
    3. Sind Geldbußen öffentlich?
    4. Kann man wegen einer Datenschutzverletzung zu einer Geldstrafe verurteilt werden?
  3. Das Verfahren
    1. Wie werden GDPR-Bußgelder verhängt?
    2. Wie werden Geldbußen nach der DSGVO angefochten?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Die Grundlagen

Was ist ein GDPR-Bußgeld?

Bußgelder nach der DSGVO sind Verwaltungsakte, keine Urteile. Dies hat wichtige Auswirkungen darauf, wie Bußgelder funktionieren und wie sie angefochten werden können.

Es gibt eigentlich nicht viel mehr zu sagen. Sie wissen, was ein Bußgeld ist: Sie verstoßen gegen eine Vorschrift, werden erwischt und müssen zahlen.

Wie wird man nach der DSGVO mit einem Bußgeld belegt?

Jeder Verstoß gegen die DSGVO kann ein Bußgeld nach sich ziehen. Unternehmen werden aus allen möglichen Gründen mit Bußgeldern belegt: illegale Erhebung personenbezogener Daten, mangelnde Sicherung von Datenübertragungen, unzureichende Cybersicherheit, Versäumnis, eine schwerwiegende Datenschutzverletzung zu melden und so weiter.

Nur weil Sie wegen dieser Verstöße ein Bußgeld bekommen können, heißt das nicht, dass Sie es auch bekommen. Manchmal kommen Unternehmen mit einer Verwarnung und der Aufforderung davon, die Einhaltung der Vorschriften in Ordnung zu bringen. Dies geschieht in der Regel, wenn eine kleine Organisation einen ehrlichen Fehler begeht, der für den Einzelnen keine gravierenden Folgen hat.

Wer stellt GDPR-Bußgelder aus?

GDPR-Bußgelder werden von den Datenschutzbehörden (auch bekannt als DSB oder Aufsichtsbehörden) verhängt.

Datenschutzbehörden sind Verwaltungsbehörden, die die Datenschutz-Grundverordnung in ihrem Land durchsetzen. Jedes Land in der EU und im Europäischen Wirtschaftsraum hat eine Datenschutzbehörde (oder mehrere, wenn es sich um Bundesstaaten handelt).

DPAs tun mehr als nur Geldstrafen zu verhängen. Sie können beispielsweise eine Organisation anweisen, einen Vorgang, bei dem personenbezogene Daten verwendet werden, vorübergehend zu stoppen oder sogar endgültig zu schließen. Diese Sanktionen können sich manchmal stärker auf Unternehmen auswirken als Geldstrafen.

Sind Geldstrafen Schadensersatz?

Geldbußen und Schadensersatz spielen beide eine wichtige Rolle bei der Durchsetzung der DSGVO, sind aber nicht dasselbe.

Schadenersatz und Geldbußen werden von unterschiedlichen Durchsetzungsstellen verhängt: Gerichte sprechen Schadenersatz zu, während Datenschutzbehörden Geldbußen nach der DSGVO verhängen. Gerichte und Datenschutzbehörden haben unterschiedliche Befugnisse, und keiner kann die Aufgabe des anderen übernehmen.

Schadenersatz und Geldbußen dienen auch unterschiedlichen Zwecken, denn Schadenersatz ist eine Form der Entschädigung, während Geldbußen ein Instrument zur Bestrafung und Abschreckung sind.

In der Praxis bedeutet dies, dass Einzelpersonen nur dann einen Schadensersatzanspruch haben, wenn der falsche Umgang mit ihren Daten zu irgendeinem Schaden geführt hat (auch zu einem "immateriellen Schaden", wie es im Juristendeutsch heißt). Andererseits kann man wegen eines Verstoßes mit einem Bußgeld belegt werden, unabhängig davon, ob man einen Schaden verursacht hat oder nicht - so wie man einen Strafzettel bekommen kann, ohne einen Verkehrsunfall verursacht zu haben.

All dies ist übrigens keine Besonderheit der Datenschutz-Grundverordnung. So funktioniert Schadenersatz in zivilrechtlichen Gerichtsbarkeiten nun einmal.

Die praktische Seite

Wie werden die GDPR-Bußgelder berechnet?

Die Datenschutz-Grundverordnung enthält eine sehr lange und komplexe Liste von Kriterien. Wir müssen also grob vereinfachen.

Eines der Hauptkriterien ist die Auswirkung des Verstoßes. Die Bußgelder sind in der Regel höher, wenn der Verstoß sehr schädlich und folgenreich ist - zum Beispiel bei mangelhafter Cybersicherheit, die zu einer groß angelegten Datenverletzung führt.

Weitere wichtige Kriterien sind, ob der Verstoß vorsätzlich begangen wurde, ob eine Organisation in der Vergangenheit bereits Verstöße begangen hat und ob ein Verstoß sensible Daten betrifft (im spezifischen Sinne der DSGVO, nicht im allgemeinen, alltäglichen Sinne).

Auch das Verhalten einer Organisation nach einem Verstoß ist von Bedeutung. Die Bußgelder sind niedriger, wenn Unternehmen bei der Untersuchung mitarbeiten und sich bemühen, ihre Fehler zu korrigieren, bevor das Bußgeld kommt. Dies ermutigt Unternehmen, mit den Datenschutzbehörden zusammenzuarbeiten, um die Vorschriften einzuhalten, anstatt einen juristischen Kampf gegen die Durchsetzung zu führen.

Nicht zuletzt spielt auch der gesunde Menschenverstand eine entscheidende Rolle. Ein ehrlicher Fehler eines kleinen Unternehmens wird nicht so behandelt wie die vorsätzliche Nichteinhaltung der Vorschriften durch ein multinationales Unternehmen.

Wie hoch sind die Bußgelder im Rahmen der DSGVO?

Die Höchstgrenze für Geldbußen liegt bei 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei schwerwiegenden Verstößen wie der unrechtmäßigen Erhebung sensibler Daten verdoppeln sich diese Obergrenzen: Die tatsächlichen Höchstbeträge liegen also bei 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes.

Diese 4 % können für Unternehmen eine gewaltige Zahl sein, da sie auf der Grundlage des Umsatzes ganzer Konzerne berechnet werden können. So kam Meta zu seiner Rekordstrafe von 1,2 Milliarden Euro: Der Betrag wurde auf der Grundlage des Umsatzes der gesamten Meta-Gruppe berechnet, obwohl sich der Fall (nominell) nur gegen Meta Platforms Ireland richtete.

Sind Geldbußen öffentlich?

Die verschiedenen Rechtsordnungen haben unterschiedliche Regeln. Einige Behörden veröffentlichen die meisten oder alle ihre Entscheidungen, während andere dies nicht tun. So behandeln einige Behörden die Veröffentlichung wie eine zusätzliche Strafe, die nur verhängt werden darf, wenn es angemessen ist. Andere schränken die Veröffentlichung der Entscheidung so lange ein, bis sie nicht mehr angefochten werden kann - deshalb können wir die Begründung für das Bußgeld von Amazon in Höhe von 746 € immer noch nicht lesen.

Kann man wegen einer Datenschutzverletzung zu einer Geldstrafe verurteilt werden?

Ja, das kann man. Aber man wird nicht automatisch für eine Datenschutzverletzung bestraft.

Die Datenschutz-Grundverordnung verlangt von Unternehmen eine angemessene Sicherheit, keine perfekte Sicherheit. Sie erhalten nur dann ein Bußgeld, wenn Sie nicht genug für die Sicherheit der Daten getan haben. Umgekehrt können Sie für mangelhafte Sicherheitsvorkehrungen bestraft werden, auch wenn es nicht zu einer Datenschutzverletzung kommt.

Erwähnenswert ist auch, dass Unternehmen schwerwiegende Datenschutzverletzungen selbst an die Datenschutzbehörden (und in einigen Fällen sogar an die betroffenen Personen) melden müssen. Eine Nichtmeldung ist ein Grund für eine Geldstrafe.

Das Verfahren

Wie werden GDPR-Bußgelder verhängt?

GDPR-Bußgelder werden von den Datenschutzbehörden nach einer Untersuchung verhängt. Die Datenschutzbehörden können Beschwerden nachgehen oder von sich aus eine Untersuchung einleiten. In der Praxis folgen die meisten Untersuchungen auf eine Beschwerde.

Geldbußen werden nicht nur durch die Datenschutz-Grundverordnung, sondern auch durch das nationale Verwaltungsrecht geregelt. Das Verfahren für die Verhängung einer Geldbuße ist von Land zu Land unterschiedlich, ebenso wie die Rechte und die Rolle der Parteien bei der Untersuchung.

Das Verfahren für grenzüberschreitende Fälle ist komplizierter, da es mehrere Datenschutzbehörden einbeziehen kann.

Wie werden Geldbußen nach der DSGVO angefochten?

Der Adressat einer Geldbuße hat das Recht, die Geldbuße von einem Gericht überprüfen zu lassen. Dies ist ein Grundprinzip des Verwaltungsrechts und gilt in jedem EU-Land.

Das Verfahren zur Anfechtung eines Bußgelds ist von Land zu Land sehr unterschiedlich. So kann ein verwaltungsrechtlicher Rechtsbehelf manchmal zusätzlich zu einer gerichtlichen Überprüfung zur Verfügung stehen (kann diese aber nie ersetzen). Das bedeutet, dass der Empfänger einer Geldbuße diese nicht nur von einem Gericht, sondern auch von einer Verwaltungsbehörde überprüfen lassen kann, die befugt ist, die Entscheidung der Datenschutzbehörde aufzuheben.

Uns bei Simple Analytics liegt der Datenschutz am Herzen. Deshalb tun wir unser Bestes, um die DSGVO und das Datenschutzrecht für jedermann zu erklären, und zwar ohne juristische Fachbegriffe.

Wenn auch Ihnen der Datenschutz wichtig ist, sollten Sie unser Webanalysetool ausprobieren. Wir haben Simple Analytics mit Blick auf Innovation, Benutzerdatenschutz und Benutzerfreundlichkeit entwickelt. Simple Analytics sammelt keine persönlichen Daten von Ihren Besuchern und verfügt über einen brandneuen KI-Assistenten, der Ihnen genau die Erkenntnisse liefert, die Sie wünschen.

Wenn sich das für Sie gut anhört, sollten Sie Simple Analytics mit unserer zweiwöchigen Testversion ausprobieren!

GA4 ist komplex. Probieren Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen ohne Pilotenlizenz

Jetzt kostenlos starten