DSGVO Bußgeldkatalog: So vermeidest du teure Datenschutzfehler

Mit der DSGVO können Verstöße gegen den Datenschutz richtig teuer werden: Strafen bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes – der DSGVO Bußgeldkatalog ist bewusst abschreckend. Doch wie funktioniert die Berechnung, welche Faktoren spielen eine Rolle, und welche Fälle sind besonders häufig? In diesem Artikel zeigen wir dir die wichtigsten Eckpunkte des Bußgeldrahmens, nennen Beispiele prominenter Fälle und geben dir Tipps, wie du durch saubere Prozesse, Mitarbeiterschulungen und Dokumentation Bußgelder vermeidest.

Bulletpoints

• Maximal 20 Mio. Euro / 4 % Umsatz
• Art. 83 DSGVO als Grundlage
• Mildefaktoren: schnelle Meldung, Kooperationsbereitschaft
• Erstverwarnung möglich, aber kein Recht darauf

1. Rechtsgrundlage für Bußgelder

Artikel 83 DSGVO regelt die möglichen Strafen. Zwei Kategorien:

• Bis zu 10 Mio. Euro bzw. 2 % Umsatz: z. B. bei mangelnder Zusammenarbeit mit Behörden oder unzureichender Risikobewertung.
• Bis zu 20 Mio. Euro bzw. 4 % Umsatz: z. B. bei Missachtung von Betroffenenrechten, unrechtmäßiger Datenverarbeitung, fehlenden Einwilligungen.

2. Bemessungsfaktoren

Die Aufsichtsbehörde schaut auf:

1. Art, Schwere und Dauer des Verstoßes
2. Umfang der betroffenen Daten
3. Vorsatz oder Fahrlässigkeit
4. Maßnahmen zur Schadensbegrenzung (z. B. schnelle Meldung, Kooperationsbereitschaft)
5. Wiederholungstäter oder Erstverstoß?

Je nachdem kann ein Bußgeld erhöht oder reduziert werden. Manchmal beginnen Aufsichtsbehörden auch mit einer Verwarnung, bevor sie Geldstrafen verhängen.

Leitlinien 04/2022 für die Berechnung von Geldbußen im Sinne der DSGVO | European Data Protection Board

The AI Privacy Risks & Mitigations Large Language Models (LLMs) report puts forward a comprehensive risk management methodology for LLM systems with a number of practical mitigation measures for common privacy risks in LLM systems. In addition, the report provides use cases examples on the application of the risk management framework in real-world scenarios:

3. Prominente Fälle und Beispiele

• Große Internetkonzerne: Hatten teils Bußgelder im dreistelligen Millionenbereich, z. B. wegen fehlender Transparenz oder unzulässigem Tracking.
• Mittelständische Betriebe: 5-stellige oder 6-stellige Beträge bei Datenschutzpannen (z. B. unsichere Kundendatenbanken).
• Kleine Firmen: Auch hier können 4- oder 5-stellige Summen drohen, die schmerzhaft sind.

4. Häufige Verstöße

1. Fehlende oder unklare Einwilligung: Newsletter ohne Double-Opt-in, Cookie-Banner ohne echte Wahl.
2. Unzureichende IT-Sicherheit: Datenlecks durch veraltete Software, fehlende Verschlüsselung.
3. Keine Meldepflicht eingehalten: Datenpannen nicht innerhalb von 72 Stunden gemeldet.
4. Ignorierte Betroffenenrechte: Lösch- oder Auskunftsanfragen werden nicht oder verspätet beantwortet.

5. Prävention statt Strafe

• Verzeichnis der Verarbeitungstätigkeiten: So behältst du den Überblick.
• Auftragsverarbeitungsverträge mit Dienstleistern.
• Mitarbeiterschulungen: Viele Verstöße passieren durch Unachtsamkeit (Phishing, offene Passwörter).
• Datenschutz-Folgenabschätzung (DPIA) bei risikoreichen Projekten.

Datenschutzschulung Mitarbeiter: So machst du dein Team DSGVO-fit

Datenschutzschulung Mitarbeiter: Mit Praxisbeispielen und E-Learnings zum sicheren Umgang mit Daten.

FAQ