Bußgeld nach DSGVO

Auch: DSGVO-Sanktion · Datenschutz-Bußgeld

Ein Bußgeld nach DSGVO ist eine finanzielle Sanktion, die eine Datenschutzaufsichtsbehörde gegen ein Unternehmen – auch ein Maklerbüro – verhängen kann, wenn es gegen Vorschriften der Datenschutz-Grundverordnung verstößt. Je nach Schwere des Verstoßes reichen die Bußgelder von wenigen Tausend bis zu mehreren Millionen Euro.

Ausführliche Erklärung

Für Makler ist das Bußgeldrisiko besonders praxisrelevant, weil sie im Tagesgeschäft laufend sensible personenbezogene Daten verarbeiten: Kontaktdaten von Interessenten, Bonitätsauskünfte (SCHUFA), Ausweiskopien im Rahmen der Geldwäscheprüfung und teils Gesundheitsdaten (z. B. bei Angaben zur Barrierefreiheit). Typische Verstoßkategorien in der Maklerpraxis:

  • Fehlende oder unzureichende Datenschutzhinweise bei Kontaktformularen, Exposé-Anfragen oder Portalanfragen (Verstoß gegen Art. 13/14 DSGVO).
  • Weitergabe von Interessentendaten an Dritte (z. B. Finanzierungsvermittler) ohne Rechtsgrundlage oder Einwilligung.
  • Unzureichende technische und organisatorische Maßnahmen (Art. 32 DSGVO), etwa unverschlüsselte E-Mail-Versendung von Ausweiskopien.
  • Fehlende Auftragsverarbeitungsverträge mit CRM-Anbietern, Cloud-Speichern oder Fotografen (Art. 28 DSGVO).
  • Zu lange Aufbewahrung von Interessenten- oder Bewerberdaten ohne Löschkonzept.

Der Bußgeldrahmen ist zweistufig gestaffelt (Art. 83 Abs. 4 und 5 DSGVO):

  • Bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes bei formellen Pflichtverletzungen (z. B. fehlende Datenschutzerklärung, fehlender Auftragsverarbeitungsvertrag).
  • Bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes bei schwerwiegenden materiellen Verstößen (z. B. Verletzung der Grundprinzipien der Datenverarbeitung, Missachtung von Betroffenenrechten).

Für kleine Maklerbüros bemisst sich das tatsächliche Bußgeld nach dem Umsatz des Unternehmens, dem Verschuldensgrad, der Kooperationsbereitschaft und ob es sich um einen Erstverstoß handelt – die deutschen Aufsichtsbehörden haben hierfür eigene Bußgeldmodelle veröffentlicht. In der Praxis bewegen sich Bußgelder gegen kleinere Maklerbüros meist im niedrigen vier- bis fünfstelligen Bereich, während Verfahren gegen große Immobilienkonzerne (z. B. das bekannte Verfahren gegen ein Wohnungsunternehmen wegen überlanger Datenspeicherung von Mietern) auch siebenstellige Summen erreichen können.

Beispiel aus der Praxis

Ein Maklerbüro versendet routinemäßig eingescannte Personalausweise von Interessenten unverschlüsselt per E-Mail an einen externen Dienstleister zur Bonitätsprüfung, ohne dass ein Auftragsverarbeitungsvertrag besteht. Nach einer Beschwerde eines Betroffenen prüft die zuständige Landesdatenschutzbehörde den Vorgang und verhängt wegen mehrerer Verstöße (fehlende Verschlüsselung, fehlender AV-Vertrag) ein Bußgeld im mittleren vierstelligen Bereich.

Rechtsgrundlage

  • Art. 83 DSGVO – Allgemeine Bedingungen für die Verhängung von Geldbußen, Bußgeldrahmen und Bemessungskriterien.
  • § 41 BDSG – Anwendung der Vorschriften des Ordnungswidrigkeitengesetzes (und ergänzend der Strafprozessordnung) im Bußgeldverfahren bei DSGVO-Verstößen.

Verwandte Begriffe