Die Sanktionen, die ein Datenschutzverstoß nach sich ziehen kann, werden in Deutschland in den Paragraphen 43 und 44 der aktuellen Fassung des Bundesdatenschutzgesetzes behandelt. Jedoch fällt dabei nicht grundsätzlich jeder Verstoß in den Bereich des Strafrechts.
Bei einem Verstoß gegen den Datenschutz wird generell eine Unterscheidung zwischen Straftaten und Ordnungswidrigkeiten vorgenommen. In den Paragraphen 43 und 44 BDSG ist der Katalog der sanktionierten Datenschutzverstöße umfassend dargestellt.
Um Sanktionen zu vermeiden, ist es für Unternehmen grundsätzlich empfehlenswert, eine professionelle Beratung durch einen Experten für Datenschutz in Anspruch zu nehmen, wie etwa datenschutzfrankfurt.de.
Bußgelder und Freiheitsstrafen für Datenschutzverstöße
Im Bereich der Ordnungswidrigkeiten findet eine Differenzierung in zwei Stufen von Bußgeldern statt. Bußgelder in Höhe von bis zu 50.000 Euro drohen so beispielsweise bei einer unzulässigen Datenerhebung von personenbezogenen Daten ohne die Einwilligung des Betroffenen, einem Verstoß gegen die Zweckbindung, die Auskunftspflicht oder die Meldepflicht.
Ein wesentlich höheres Bußgeld droht nach den Vorgaben des BDSG bei einem Verstoß gegen die Informationspflicht, bei einer vorliegenden Kenntnis der unrechtmäßigen Datenerhebung, dem Nutzen von personenbezogenen Daten zu Werbezwecken, obwohl der Betroffene einen Widerruf geäußert hat, der Erschleichung der Übermittlung von Daten und der unbefugten Erhebung von personenbezogenen Daten, welche nicht allgemein zugänglich sind. Das Bußgeld kann in einem solchen Fall bis zu 300.000 Euro betragen.
Kommt es zu einem vorsätzlichen Verstoß gegen den Datenschutz, kann dieser nach dem Paragraphen 43 Absatz 2 auch von strafrechtlicher Relevanz sein, falls dieser gegen eine Entgeltzahlung oder in der Absicht einer Bereicherung erfolgt ist. Es drohen dann eine Geldstrafe oder eine Freiheitsstrafe, die bis zu zwei Jahre betragen kann.
Verschärfte Sanktionen durch neue DSGVO
Seitdem die neue Datenschutzgrundverordnung im Jahr 2018 eingeführt wurde, müssen sämtliche nationalen Gesetzgebungen an die entsprechenden Bestimmungen angepasst werden. Es bedarf dabei zwar keiner zusätzlichen Übertragung in das nationale Recht, jedoch ist es nötig, die entsprechenden einzelnen Gesetze so umzuformulieren, dass diese den Vorgaben der DSGVO nicht widersprechen. Es ist lediglich möglich, dass die DSGVO durch die nationalen Gesetze ergänzt wird.
Abgewandelt werden in dem neuen Bundesdatenschutzgesetz somit auch die Straf- und Bußgeldvorschriften, sodass zu den entsprechenden Passagen der DSGVO ein direkter Bezug hergestellt wird.
Kommt es zu einem Datenschutzverstoß, werden die jeweiligen Sanktionen nach dem neuen BDSG teilweise sogar verschärft. So kann die unberechtigte, gewerbsmäßige und wissentliche Datenweitergabe von personenbezogenen Daten eine Geldstrafe oder auch eine Freiheitsstrafe von bis zu drei Jahren nach sich ziehen. Der ehemalige Strafrahmen des alten BDSG bleibt jedoch bei einer entgeltlichen und unberechtigten Datennutzung oder der Erschleichung von Daten bestehen.
Für ordnungswidrige Verstöße gegen den Datenschutz ist eine Deckelung der Geldbuße auf 50.000 Euro vorgesehen. Allerdings werden im BDSG lediglich zwei Tatbestände gesondert betrachtet, nämlich eine nicht rechtzeitige Unterrichtung des Betroffenen sowie ein Verstoß gegen das Auskunftsrecht. Der Großteil der Verstöße, die in der Vergangenheit im alten BDSG aufgeführt wurden, finden sich nun in der DSGVO, in welcher für die Verstöße eigens Strafen vorgesehen werden.
Der Artikel 83 bestimmt, welcher Datenschutzverstoß durch die Wirksamkeit der DSGVO sanktioniert wird. Festgelegt sind dort unter anderem Geldbußen von bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens beziehungsweise bis zu 20 Millionen Euro.