Das Datenschutzrecht hat in den letzten Jahren an Bedeutung gewonnen, insbesondere durch die fortschreitende Digitalisierung und die damit verbundenen Risiken für persönliche Daten. Ein zentraler Aspekt des Datenschutzstrafrechts ist die bußgeldrechtliche Verbandshaftung, die in der Datenschutz-Grundverordnung (DSGVO) sowie im Ordnungswidrigkeitengesetz (OWiG) geregelt ist. In diesem Artikel wird die rechtliche Grundlage, die wichtigen Gesetze und aktuelle Entwicklungen auf diesem Gebiet zusammengefasst.
1. Grundlagen der Verbandshaftung
Nach der Rechtsprechung des EuGH (Urteil vom 5. Dezember 2023, C-807/21) können Geldbußen aufgrund von Verstößen gegen die DSGVO direkt gegen juristische Personen verhängt werden, wenn diese als Verantwortliche für die Datenverarbeitung gelten. Ein entscheidender Punkt dabei ist, dass eine Verbandshaftung nicht das Verschulden eines einzelnen Repräsentanten erfordert. Stattdessen sind Unternehmen grundsätzlich für datenschutzrechtliche Verstöße verantwortlich und gelten als schuldfähig, unabhängig von individuellen Fehlverhalten ihrer Organe.
2. Relevante Normen
a) § 30 OWiG – Verbandshaftung
Der § 30 OWiG definiert die Bedingungen, unter denen Geldbußen gegen juristische Personen verhängt werden können. Dabei müssen jedoch nicht zwingend Verschuldensnachweise gegenüber einer Einzelperson erbracht werden. Dies entspricht der europäischen Auslegung und ermöglicht eine direkte Ahndung von Verstößen.
b) Artikel 83 DSGVO
Artikel 83 der DSGVO regelt die Verhängung von Geldbußen, die bis zu 20 Millionen EUR oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen können. Diese Norm stellt sicher, dass Verstöße, die erhebliche Schäden verursachen, entsprechend geahndet werden.
c) BDSG – Bundesdatenschutzgesetz
Das BDSG ergänzt die Regelungen der DSGVO in Deutschland und enthält spezifische Vorschriften zur Ahndung von Datenschutzverletzungen. Besonders relevant sind die Paragraphen § 41 und § 43, die die ambulatorischen Anforderungen und möglichen Sanktionen bei Datenschutzverstößen definieren.
3. Allgemeine Beispiele für Datenschutzverstöße
Verstöße gegen den Datenschutz können unterschiedlichster Natur sein. Beispiele umfassen:
- Illegale Datenweitergabe: Unternehmen geben Kundendaten ohne Einwilligung weiter.
- Datenmissbrauch: Mitarbeiter verwenden personenbezogene Daten für private Zwecke.
- Unzureichende Sicherheitsvorkehrungen: Unterschiede im Schutz von personenbezogenen Daten können zu Datenpannen führen.
Im Jahr 2023 wurde beispielsweise ein Immobilienunternehmen mit einem Bußgeld von 14,5 Millionen EUR belegt, weil es versäumte, notwendige Maßnahmen zur Löschung nicht mehr benötigter Daten zu ergreifen.
4. Beispiele für Bußgelder aufgrund von Datenschutzverstößen aus der Praxis:
a. Bußgeld gegen Unternehmen im Beherbergungs- und Gaststättengewerbe
- Bußgeld: 20.000 EUR
- Behörde: Die Landesbeauftragte für den Datenschutz Niedersachsen
- Verletztes Recht: Art. 5 Abs. 1 lit. c DSGVO
- Vergehen: Das Unternehmen wurde im Rahmen einer gerichtlichen Verständigung mit einem Bußgeld belegt, da es Angestellte und Gäste ohne rechtliche Grundlage überwacht hatte.
b. Bußgeld gegen Versicherungsunternehmen
- Bußgeld: 200.000 EUR
- Behörde: Unabhängiges Datenschutzzentrum Saarland
- Verletztes Recht: Art. 32 DSGVO
- Vergehen: Das Bußgeld wurde aufgrund eines Vorfalls verhängt, der durch eine Sicherheitslücke verursacht wurde. Die Behörde stellte fest, dass die vom Unternehmen implementierten technischen und organisatorischen Maßnahmen kein angemessenes Schutzniveau garantierten.
c. Bußgeld gegen Kreditinstitut
- Bußgeld: 220.000 EUR
- Behörde: Die Landesbeauftragte für den Datenschutz Niedersachsen
- Verletztes Recht: Art. 6 Abs. 1 lit. f DSGVO
- Vergehen: Das Kreditinstitut wurde bestraft, weil es personenbezogene Informationen seiner Kunden zur Erstellung von Profilen verwendet hatte, um diese gezielt zu Werbezwecken zu kontaktieren. Diese Vorgehensweise wurde als unzulässige Zweckveränderung angesehen.
d. Bußgelder gegen Unternehmen in Hamburg
- Bußgeld: Gesamtbußgeld von 45.000 EUR
- Behörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
- Verletztes Recht: Art. 32 DSGVO
- Vergehen: Das Bußgeld wurde gegen mehrere Unternehmen verhängt, bei denen keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten in ihren Support-Ticket-Systemen vorhanden waren.
e. Bußgeld gegen Dienstleister
- Bußgeld: 900.000 EUR
- Behörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
- Verletztes Recht: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 DSGVO
- Vergehen: Bei einem Dienstleister wurde festgestellt, dass die erfassten personenbezogenen Daten im sechsstelligen Bereich bis Mitte November 2023 gespeichert waren, und zwar teilweise fünf Jahre über die gesetzliche Aufbewahrungsfrist hinaus, ohne dass eine rechtliche Grundlage dafür bestand. Das Unternehmen gestand die Ordnungswidrigkeit ein, zahlte das Bußgeld und kooperierte zur Behebung des Versäumnisses.
Benötigen Sie eine Rechtsberatung?
Wir beraten und vertreten Privatpersonen und Unternehmen in Ermittlungsverfahren und Strafverfahren bundesweit und vor allen Gerichten. Profitieren Sie von unserer langjährigen Erfahrung und unserer Kompetenz in Sachen Strafverteidigung.