Datenschutzrecht

Deine Daten sind wertvoll – deshalb solltest Du wissen, wer sie verarbeitet und was erlaubt ist. Hier bekommst Du rechtliche Klarheit über Deine Datenschutzrechte, über Auskunfts- und Löschansprüche sowie über typische Stolperfallen im Netz. Mit unseren Tipps behältst Du die Kontrolle über Deine persönlichen Informationen.

Aktuelles

DSGVO-Bußgelder: So hoch sind sie inzwischen wirklich

7. April 2025
Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben Datenschutzbehörden europaweit zahlreiche Bußgelder wegen Verstößen gegen die Verordnung verhängt. Die Höhe dieser Geldstrafen variiert erheblich und richtet sich nach der Schwere des Verstoßes sowie der Größe des betroffenen Unternehmens. Die DSGVO sieht dabei Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist.​ Bußgeldrahmen der DSGVO Die DSGVO unterscheidet zwischen zwei Kategorien von Verstößen:​ Geringfügigere Verstöße : Hierzu zählen beispielsweise Verstöße gegen die Pflichten des Verantwortlichen und des Auftragsverarbeiters, wie die mangelnde Umsetzung technischer und organisatorischer Maßnahmen. Für solche Verstöße können Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes verhängt werden.​ Schwerwiegendere Verstöße : Dazu gehören Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten, die Rechte der betroffenen Personen oder die Übermittlung personenbezogener Daten an Drittländer ohne angemessene Garantien. In diesen Fällen können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes verhängt werden.​ Aktuelle Bußgelder und Fallbeispiele In den letzten Monaten haben europäische Datenschutzbehörden mehrere erhebliche Bußgelder verhängt:​ Spanien : Die spanische Datenschutzbehörde (AEPD) verhängte im Februar 2025 ein Bußgeld von 1,2 Millionen Euro gegen ein Telekommunikationsunternehmen, weil es ohne ausreichende Identitätsprüfung eine SIM-Karte an einen Betrüger ausgegeben hatte. Dies führte zu einem finanziellen Schaden für den betroffenen Kunden. ​ Rumänien : Die rumänische Datenschutzbehörde verhängte ein Bußgeld von knapp 40.000 Euro gegen ein Telekommunikationsunternehmen, weil es Löschungsanfragen von abgelehnten potenziellen Kunden nicht korrekt bearbeitet und unnötige persönliche Daten angefordert hatte. Finnland : Die finnische Datenschutzbehörde verhängte ein Bußgeld von 950.000 Euro gegen einen Kreditvergleichsdienst, weil Unbefugte durch manipulierte Webadressen Zugriff auf sensible Daten von Kreditantragstellern hatten. Bedeutung für Unternehmen Diese Fälle verdeutlichen, dass Datenschutzbehörden Verstöße gegen die DSGVO konsequent ahnden und dabei auch erhebliche Geldstrafen verhängen. Unternehmen sind daher angehalten, ihre Datenschutzmaßnahmen regelmäßig zu überprüfen und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen, um Bußgelder und Reputationsschäden zu vermeiden.

BGH bestätigt Schadensersatzansprüche für Verbraucher im Facebook-Datenleck

von Aktuelles 12. November 2024
Der Bundesgerichtshof (BGH) hat in einer Leitentscheidung zur DSGVO eine klare Linie gezogen: Der bloße Verlust der Kontrolle über persönliche Daten stellt bereits einen Schaden dar, der Schadensersatzansprüche begründet. Diese Entscheidung im Rahmen der mündlichen Verhandlung zur Klage gegen Facebooks Mutterkonzern Meta schafft Rechtssicherheit für Betroffene und gibt Gerichten in Deutschland eine dringend benötigte Orientierung. Sie betrifft nicht nur die Klage von Nutzern des sozialen Netzwerks, sondern könnte auch auf zukünftige Fälle ähnlicher Datenlecks anwendbar sein. Was hat der BGH genau entschieden? Der BGH stellte fest, dass bereits der Kontrollverlust über personenbezogene Daten, also der Umstand, dass die betroffene Person die Hoheit über ihre eigenen Daten verliert, einen Schaden im Sinne der DSGVO darstellt. Damit erübrigt sich die bislang geforderte Bedingung, dass Betroffene weitere psychische Belastungen oder eine konkrete Missbrauchsgefahr nachweisen müssen. Der BGH schließt sich damit den Urteilen des Europäischen Gerichtshofs (EuGH) an, die die Hürden für Betroffene erheblich gesenkt haben.  Diese Entscheidung ist insbesondere für Millionen Facebook-Nutzer relevant, deren Daten im Rahmen des „Facebook-Datenlecks“ kompromittiert wurden. Durch eine Sicherheitslücke, die Facebook 2021 eingeräumt hatte, gelangten Informationen wie Telefonnummern, E-Mail-Adressen und weitere sensible Daten von über 500 Millionen Nutzern weltweit – darunter etwa sechs Millionen deutsche Facebook-Nutzer – ins Darknet. In Deutschland betroffene Personen sehen sich seitdem einem erhöhten Risiko ausgesetzt, Opfer von Phishing und Identitätsdiebstahl zu werden. Hintergrund: Das Facebook-Datenleck und seine Auswirkungen Das Facebook-Datenleck aus dem Jahr 2021 ist ein besonders schwerwiegendes Beispiel für unzureichenden Datenschutz. Eine Schwachstelle ermöglichte es Kriminellen, über Facebooks Kontakt-Import-Funktion Daten wie Telefonnummern, E-Mail-Adressen und teilweise persönliche Angaben wie Beziehungsstatus und Arbeitsort zu extrahieren und zu veröffentlichen. Diese Daten gerieten in die Hände Unbefugter und wurden schließlich im Darknet veröffentlicht, wo sie kriminellen Aktivitäten Vorschub leisten könnten. Für Betroffene ist das Facebook-Datenleck weitreichender als ein einmaliger Verstoß. Die Veröffentlichung im Darknet kann langfristige Konsequenzen haben, da die Daten wiederholt für betrügerische Aktivitäten genutzt werden können. Besonders problematisch ist hierbei, dass die Datenlecks durch internationale Netzwerke und durch die digitale Reichweite global Auswirkungen haben. In diesem Zusammenhang hat der BGH heute die Forderung erhoben, dass Betroffene des Datenlecks – wie auch künftige Opfer ähnlicher Vorfälle – keine unverhältnismäßigen Nachweise für ihre psychische Belastung erbringen müssen, um einen DSGVO-Schadensersatz zu erhalten. Rechtssicherheit für Betroffene Die Entscheidung des BGH hat eine klare Signalwirkung für Betroffene: Wer die Kontrolle über seine persönlichen Daten verliert, kann nun einen Schadensersatzanspruch geltend machen, ohne umfassende Begründungen zur individuellen Beeinträchtigung beizufügen. Diese Rechtssicherheit wird von Datenschutzexperten begrüßt, da sie für die Gerichte eine einheitliche Linie vorgibt und weiteren Abweichungen, wie sie zuvor auf der Ebene der Landesgerichte zu beobachten waren, entgegenwirkt.

Warum uns Datenschutzrecht so wichtig ist


Der Schutz personenbezogener Daten ist ein zentrales Grundrecht in der digitalen Gesellschaft. Verbraucher hinterlassen täglich Daten – online, beim Bezahlen, im Kontakt mit Unternehmen oder Behörden. Das Datenschutzrecht sorgt dafür, dass diese Daten rechtlich geschützt sind und nicht zweckwidrig verwendet werden. Wir fördern die Durchsetzung datenschutzrechtlicher Ansprüche und schaffen rechtliche Orientierung in einer datengetriebenen Welt.


Kurz erklärt: Das Themenfeld Datenschutzrecht

  • Das Datenschutzrecht regelt die Erhebung, Verarbeitung und Speicherung personenbezogener Daten.
  • Es basiert auf der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz.
  • Es betrifft Auskunftsrechte, Löschansprüche, Einwilligungen und Datenübertragbarkeit.
  • Verantwortliche Stellen unterliegen klaren Informationspflichten und Haftungsregelungen.

Unsere FAQ zu Datenschutzrecht

  • Welche Daten dürfen Unternehmen über mich speichern und was nicht?

    Unternehmen dürfen grundsätzlich nur solche personenbezogenen Daten speichern, die zur Erfüllung eines konkreten Zwecks notwendig sind. Das umfasst etwa Name, Adresse, Kontaktdaten oder Zahlungsinformationen, wenn Du eine Dienstleistung nutzt oder einen Vertrag abschließt. Darüber hinausgehende Daten, wie Dein Surfverhalten, Vorlieben oder Standortdaten, dürfen nur mit Deiner ausdrücklichen Einwilligung erhoben werden. Unverhältnismäßige oder heimliche Datensammlungen sind unzulässig. Jede Datenerhebung muss nachvollziehbar, zweckgebunden und rechtlich begründet sein.

  • Wie kann ich herausfinden, welche Daten ein Unternehmen über mich gespeichert hat?

    Du hast nach Artikel 15 der Datenschutz-Grundverordnung das Recht, Auskunft über alle gespeicherten personenbezogenen Daten zu verlangen. Dieses Auskunftsrecht gilt kostenlos und ohne Begründung. Das Unternehmen muss Dir innerhalb eines Monats mitteilen, welche Daten es gespeichert hat, woher sie stammen, wofür sie genutzt werden und an wen sie weitergegeben wurden. Du kannst den Antrag formlos per E-Mail oder Post stellen. Bei Verstößen kannst Du Dich an die zuständige Datenschutzbehörde wenden.

  • Kann ich verlangen, dass meine Daten gelöscht werden?

    Ja, das sogenannte „Recht auf Vergessenwerden“ gibt Dir unter bestimmten Voraussetzungen das Recht auf Löschung Deiner Daten. Das gilt zum Beispiel, wenn der ursprüngliche Zweck der Speicherung entfällt, Du Deine Einwilligung widerrufst oder die Daten unrechtmäßig verarbeitet wurden. Unternehmen sind dann verpflichtet, die Daten vollständig zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Die Löschung kannst Du schriftlich beantragen. Bei Weigerung hast Du das Recht, Beschwerde bei der Datenschutzaufsicht einzureichen.

  • Was kann ich tun, wenn meine Daten missbräuchlich verwendet wurden?

    Wird Deine Privatsphäre verletzt, weil Daten ohne Deine Zustimmung weitergegeben, verkauft oder unzulässig verarbeitet wurden, hast Du das Recht auf Beschwerde bei der Datenschutzbehörde Deines Bundeslandes. Zusätzlich kannst Du unter Umständen Schadensersatz geltend machen. Wichtig ist, Beweise zu sichern, etwa durch Screenshots, E-Mails oder Log-Dateien. Auch eine Unterlassungserklärung oder Abmahnung kann sinnvoll sein, wenn Du künftig nicht mehr betroffen sein willst. Datenschutzverstöße sind kein Kavaliersdelikt und können ernsthafte rechtliche Konsequenzen haben.