Rechtsanwältin, Spezialistin für IT-Recht und Datenschutzrecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Laura Novakovski
Um die Umsetzung der DSGVO sicherzustellen, hat die EU in der DSGVO Bußgelder festgelegt, die bei Verstößen verhängt werden können. Zweck der Bußgelder ist vor allem, die nationale Umsetzung der DSGVO in den Mitgliedsstaaten sicherzustellen. Das Spektrum der möglichen Bußgeldhöhen reicht dabei von bis zu 10 bzw. 20 Millionen Euro oder 2 % bzw. 4 % des weltweit erzielten Jahresumsatzes des sanktionierten Unternehmens.
In Gang gebracht werden solche Bußgeldverfahren zum einen durch die behördlich durchgeführten Datenschutzprüfungen, aber auch durch Hinweise Betroffener auf mögliche DSGVO-Verstöße. Zudem weisen konkurrierende Unternehmen - sozusagen als Möglichkeit eines mittelbaren Vorgehens gegeneinander – Datenschutzbehörden auf DSGVO-Verletzungen hin.
Das erste bekannt gewordene Bußgeld einer deutschen Datenschutzbehörde betrug 20.000,- EUR und war der Höhe nach somit relativ gering im Verhältnis zu dem, was laut DSGVO möglich ist. Diese Bußgeldhöhe war vor allem dem Umstand geschuldet, dass das betroffene Unternehmen (Betreiber des sozialen Netzwerks „knuddels.de“) seine Datenschutzverletzungen frühzeitig und eigenständig bei der Datenschutzbehörde meldete und sich auch im weiteren Verlauf des Verfahrens kooperativ zeigte. Was von dem Bußgeld jedoch nicht erfasst ist und von dem Unternehmen darüber hinaus zu zahlen war, sind die Kosten für die Neugestaltung des eigenen IT-Sicherheitssystems – diese bewegen sich nach Angaben der verfahrenszuständigen Datenschutzbehörde im sechsstelligen Bereich.
Mit 80.000,- EUR fällt das zweite in Deutschland bekannt gewordene Bußgeld wegen DSGVO-Verstoß schon deutlich höher aus. Grund hierfür: Das Bußgeld sanktionierte die Verletzung von Datenschutzvorschriften im Zusammenhang mit Gesundheitsdaten, welchen als besonders sensible Daten eine höhere Wertigkeit zukommt.
Blick man auf die Praxis der Bußgeldverhängung in anderen EU-Staaten, so werden beide in Deutschland verhängte Bußgelder in den Schatten gestellt: Die portugiesische Aufsichtsbehörde Commissao Nacional de Proteccao de Dados (CNPD) verhängte ein Bußgeld in Höhe von 400.000,- EUR – auch hier ging es um die Verletzung der DSGVO im Zusammenhang mit Patienten- und Gesundheitsdaten und damit um besonders sensible Daten.
Es zeichnet sich bereits jetzt ab, dass besonders Verarbeiter von sensiblen Daten, wie Gesundheitsdaten oder auch biometrischen Daten, im Zentrum der Aufmerksamkeit der Datenschutzbehörden stehen. Aber auch Unternehmen, die sonstige personenbezogene Daten verarbeiten, sollten die Entwicklung in der Verhängung von Bußgeldern zum Anlass nehmen, das Datenschutzrecht korrekt umzusetzen.
Bei uns finden Sie die Experten für Datenschutzrecht und auch TÜV-geprüfte Datenschutzbeauftragte für alle Fragen rund um den Datenschutz!