Key Takeaways — DSGVO-Sanktionen und Bussgelder
Seit die DSGVO im Mai 2018 in Kraft trat, haben die europäischen Datenschutzbehörden Bussgelder von mehr als 4,5 Milliarden EUR verhängt, wobei die Durchsetzung von Jahr zu Jahr zunimmt. Bussgelder sind in zwei Stufen gegliedert: bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes bei verfahrensrechtlichen Verstössen (Artikel 83 Abs. 4) und bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bei materiellen Verstössen (Artikel 83 Abs. 5). Organisationen, die dokumentierte Compliance-Programme unterhalten — einschliesslich aktueller Verarbeitungsverzeichnisse, abgeschlossener DSFA und gesteuertem Lieferantenrisiko —, profitieren von mildernden Faktoren nach Artikel 83 Abs. 2 DSGVO. In der Schweiz gehostete Plattformen wie Priverion helfen Organisationen mit mehreren Gesellschaften, diese Pflichten zu zentralisieren und gegenüber den Aufsichtsbehörden Rechenschaft nachzuweisen.
Definitionen
Was ist ein DSGVO-Bussgeld?
Ein DSGVO-Bussgeld ist eine verwaltungsrechtliche Sanktion, die eine Aufsichtsbehörde nach den Artikeln 83 und 84 der Datenschutz-Grundverordnung wegen Nichteinhaltung von Datenschutzpflichten verhängt. Bussgelder werden anhand von Kriterien berechnet, darunter Art, Schwere und Dauer des Verstosses, die Zahl der betroffenen Personen sowie der Grad der Zusammenarbeit mit der Behörde. Quelle: DSGVO Artikel 83
Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?
Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist ein verpflichtendes Register nach Artikel 30 DSGVO, das alle Verarbeitungsvorgänge personenbezogener Daten dokumentiert, die ein Verantwortlicher oder Auftragsverarbeiter durchführt. Jede Rechtseinheit innerhalb eines Konzerns muss ihr eigenes Verarbeitungsverzeichnis führen.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung, die nach Artikel 35 DSGVO vor einer Verarbeitung erforderlich ist, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die EDSA-Leitlinien zum Datenschutz durch Technikgestaltung liefern weiteren Kontext dazu, wann DSFA erforderlich sind.
Was sind Standardvertragsklauseln (SCC)?
Standardvertragsklauseln (SCC) sind vorab genehmigte Vertragsbestimmungen, die von der Europäischen Kommission nach dem Durchführungsbeschluss (EU) 2021/914 der Kommission erlassen wurden und geeignete Garantien für internationale Datenübermittlungen nach Artikel 46 Abs. 2 lit. c DSGVO bieten.
Häufig gestellte Fragen
Wie werden DSGVO-Bussgelder berechnet?
DSGVO-Bussgelder werden von den Aufsichtsbehörden anhand der in Artikel 83 Abs. 2 DSGVO festgelegten Kriterien berechnet, die 11 Faktoren auflisten, darunter: Art, Schwere und Dauer des Verstosses; ob der Verstoss vorsätzlich oder fahrlässig erfolgte; die zur Schadensminderung ergriffenen Massnahmen; den Grad der Zusammenarbeit mit der Behörde; sowie etwaige frühere Verstösse. Im Juni 2023 verabschiedete der EDSA die Leitlinien 04/2022, die eine fünfstufige Methodik für eine harmonisierte Bussgeldberechnung in den EU-Mitgliedstaaten festlegen.
Wie hoch ist das maximale DSGVO-Bussgeld?
Das maximale DSGVO-Bussgeld hängt von der Verstossstufe ab. Verstösse der Stufe 1 (z. B. Versäumnis, Verarbeitungsverzeichnisse zu führen, unzureichende DSFA) ziehen Bussgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes nach sich, je nachdem, welcher Betrag höher ist. Verstösse der Stufe 2 (z. B. unrechtmässige Verarbeitung, Verletzung von Rechten betroffener Personen, illegale internationale Übermittlungen) ziehen Bussgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes nach sich, je nachdem, welcher Betrag höher ist. Diese Schwellenwerte sind in Artikel 83 Abs. 4 und 83 Abs. 5 DSGVO definiert.
Was war das höchste je verhängte DSGVO-Bussgeld?
Das bislang höchste DSGVO-Bussgeld war die Sanktion von 1,2 Milliarden EUR, die im Mai 2023 von der irischen Datenschutzkommission gegen Meta Platforms Ireland Ltd wegen unrechtmässiger Übermittlungen personenbezogener Daten aus der EU in die Vereinigten Staaten unter Verstoss gegen Artikel 46 DSGVO verhängt wurde. Die Entscheidung erging im Anschluss an einen verbindlichen Beschluss des Europäischen Datenschutzausschusses.
Können kleine und mittlere Unternehmen DSGVO-Bussgelder erhalten?
Ja. Während aufsehenerregende Bussgelder oft grosse Technologieunternehmen betreffen, verhängen die Aufsichtsbehörden regelmässig Bussgelder gegen kleine und mittlere Unternehmen. Laut IAPP werden jährlich Hunderte Bussgelder unter 100'000 EUR in den EU-Mitgliedstaaten verhängt, etwa wegen unvollständiger Verarbeitungsverzeichnisse, fehlender Cookie-Einwilligungsmechanismen und des Versäumnisses, auf Anfragen betroffener Personen innerhalb der in Artikel 12 Abs. 3 DSGVO festgelegten 30-Tage-Frist zu reagieren.
Welche mildernden Faktoren senken DSGVO-Bussgelder?
Artikel 83 Abs. 2 DSGVO listet ausdrücklich mildernde Faktoren auf, die die Aufsichtsbehörden berücksichtigen müssen, darunter: den Grad der Verantwortung unter Berücksichtigung der nach den Artikeln 25 und 32 umgesetzten technischen und organisatorischen Massnahmen; jede zur Minderung des den betroffenen Personen entstandenen Schadens ergriffene Massnahme; den Grad der Zusammenarbeit mit der Aufsichtsbehörde; sowie die Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsmechanismen. Das Unterhalten eines dokumentierten, proaktiven Compliance-Programms — mit aktuellen Verarbeitungsverzeichnissen, abgeschlossenen DSFA und systematischen Lieferantenrisikobewertungen — wird in Durchsetzungsentscheidungen durchgängig als mildernder Faktor genannt.
Wie wirkt sich das Hosting von Daten in der Schweiz auf die DSGVO-Compliance aus?
Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss nach Artikel 45 DSGVO, was bedeutet, dass personenbezogene Daten ohne zusätzliche Garantien wie SCC aus der EU/dem EWR in die Schweiz fliessen dürfen. Das Hosting von Daten in Schweizer Infrastruktur vermeidet die Gerichtsbarkeitsrisiken, die mit Cloud-Anbietern mit Hauptsitz in den USA verbunden sind, die weiterhin Datenzugriffsanfragen der US-Regierung unterliegen — ein Anliegen, das der Gerichtshof der EU im Schrems-II-Urteil (Rechtssache C-311/18) hervorhob.
Welche Rolle spielt der EDSA bei der DSGVO-Durchsetzung?
Der Europäische Datenschutzausschuss (EDSA) ist eine nach Artikel 68 DSGVO eingerichtete unabhängige EU-Einrichtung, die die einheitliche Anwendung der Verordnung in den Mitgliedstaaten sicherstellt. Der EDSA erlässt verbindliche Beschlüsse in grenzüberschreitenden Fällen, veröffentlicht Leitlinien zur Bussgeldberechnung und zu Durchsetzungsprioritäten und koordiniert zwischen den nationalen Aufsichtsbehörden. Seine Leitlinien 04/2022 zur Bussgeldberechnung sind die massgebliche Referenz dafür, wie Sanktionen bemessen werden.
Statistiken zur DSGVO-Durchsetzung
Laut den vom GDPR Enforcement Tracker von CMS Law zusammengestellten Daten wurden seit Mai 2018 kumulierte Bussgelder von mehr als 4,5 Milliarden EUR verhängt. Die Jahresberichte des EDSA bestätigen, dass grenzüberschreitende Durchsetzungsfälle erheblich zugenommen haben, wobei der One-Stop-Shop-Mechanismus jedes Jahr mehr verbindliche Beschlüsse hervorbringt. Der IAPP-EY Privacy Governance Report (2023) stellte fest, dass eine durchschnittliche Organisation jährlich rund 2,7 Mio. USD für den Betrieb des Datenschutzprogramms aufwendet, was die wachsenden Compliance-Kosten widerspiegelt — aber auch die Wirtschaftlichkeit im Vergleich zu möglichen Bussgeldern. Laut ENISA verzeichnen Organisationen mit ausgereiften Datenschutzprogrammen 40 % weniger Datenschutzverletzungen, was die Durchsetzungsexposition weiter verringert.
Vergleich der DSGVO-Bussgeldstufen
| Kriterium | Stufe 1 (Artikel 83 Abs. 4) | Stufe 2 (Artikel 83 Abs. 5) |
|---|
| Maximales Bussgeld | 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes | 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes |
| Gilt für | Verfahrensrechtliche/organisatorische Pflichten | Kerngrundsätze der Datenverarbeitung & Rechte betroffener Personen |
| Beispielverstösse | Unvollständiges Verarbeitungsverzeichnis, fehlende DSFA, unzureichende Sicherheitsmassnahmen | Unrechtmässige Verarbeitung, Verletzung der Einwilligungsregeln, illegale internationale Übermittlungen |
| Wichtige DSGVO-Artikel | Artikel 8, 11, 25–39, 42, 43 | Artikel 5–7, 9, 12–22, 44–49 |
| Beispiel für einen wegweisenden Fall | Verschiedene KMU-Bussgelder (Bereich 5'000–500'000 EUR) | Meta — 1,2 Milliarden EUR (2023, internationale Übermittlungen) |