Wann ver­jährt Datenschutz?

Hin und wie­der wer­de ich gefragt: wann ver­jährt Datenschutz?!

Dabei sind dann die mög­li­chen Buß­gel­der und deren even­tu­el­le Höhe gemeint, wel­che von Auf­sichts­be­hör­den ver­hängt wer­den können.

Die­se sol­len ja dem Wort­laut des Art. 83 Abs. 1 der DSGVO nach „wirk­sam, ver­hält­nis­mä­ßig und abschre­ckend“ sein.

Die Mög­lich­keit, Geld­bu­ßen i.H.v. bis zu 20.000.000,00 € oder von bis zu 4 % des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes einer Unter­neh­mens­grup­pe des vor­an­ge­gan­ge­nen Geschäfts­jah­res, dem das Unter­neh­men ange­hört, zu ver­hän­gen, dürf­te dem Ziel aus Art. 83 Abs. 1 DSGVO zuträg­lich sein.

Der Zeit­raum, in dem ein Buß­geld ver­hängt bzw. Daten­schutz­ver­stö­ße ver­folgt wer­den kön­nen, ist jedoch nicht unend­lich lang.

Dies ent­spricht auch dem all­ge­mei­nen Rechts­emp­fin­den des Rechts­frie­dens, wonach es nach Ablauf eines gewis­sen Zeit­rau­mes auch ‚irgend­wann mal gut sein muss‘.

Mit dem Ablauf der Zeit sinkt in den meis­ten Fäl­len auch das Inter­es­se dar­an, einen Daten­schutz­ver­stoß zu sanktionieren.

Dazu kommt das Prin­zip der Rechts­si­cher­heit, wel­ches unter ande­rem für Bestän­dig­keit und Vor­her­seh­bar­keit von öffent­li­chen Hand­lun­gen steht.

Wann ver­jährt Datenschutz?

In der DSGVO wer­den Sie hier­zu nichts finden.

Dem­nach liegt die Berech­ti­gung gem. Art. 83 Abs. 8 DSGVO beim natio­na­len Gesetz­ge­ber. Zieht man nun § 41 Bun­des­da­ten­schutz­ge­setz (BDSG) zu Rate, fin­det man eine hilf­rei­che Ver­wei­sungs­norm in das Ord­nungs­wid­rig­kei­ten­ge­setz (OWiG).

Im OWiG wird man dann bei §§ 31 ff. OWiG fündig:

Beginn der Verjährung:

Die Ver­jäh­rung beginnt, sobald die Hand­lung been­det, also der Erfolg des Tat­be­stan­des ein­ge­tre­ten ist, § 31 Abs. 3 S. 1 OWiG.

Wenn die buß­geld­be­währ­te Tätig­keit wei­ter fort­ge­führt wird, setzt kei­ne Ver­jäh­rung ein. Dies ist z.B. der Fall, wenn rechts­wid­rig erho­be­ne Daten wei­ter­ver­wen­det werden.

Ein Bei­spiel:

Nutzer:innen einer Web­site wer­den — ohne dass sie eine Ein­wil­li­gung recht­mä­ßig erteilt haben — wei­ter­hin getrackt.

Schwie­rig wird es, wenn ein Daten­schutz­ver­stoß dar­in begrün­det ist, dass Daten rechts­wid­rig gespei­chert werden.

Man könn­te in die­sem Fall auf die erst­ma­li­ge Spei­che­rung der Daten als auch auf die ‚letz­te‘ Spei­che­rung abstel­len, also den Zeit­punkt, an dem der Ver­stoß fest­ge­stellt und die Löschung der Daten vor­ge­nom­men wor­den ist.

Ver­jäh­rungs­fris­ten:

  • 3 Jah­re bei Geld­bu­ße im Höchst­maß von mehr als 15.000,00 €
  • 2 Jah­re bei Geld­bu­ße im Höchst­maß von mehr als 2.500,00 € bis 15.000,00 €
  • 1 Jahr bei Geld­bu­ße im Höchst­maß von mehr als 1.000,00 € bis 2.500,00 €
  • 6 Mona­te bei den übri­gen Ordnungswidrigkeiten.

Ruhen und Unter­bre­chung der Verjährung:

Wenn vor Ablauf der Ver­jäh­rungs­frist ein Urteil des ers­ten Rechts­zu­ges oder ein Beschluss nach § 72 OWiG ergan­gen ist, ruht die Ver­jäh­rungs­frist so lan­ge, bis das Ver­fah­ren rechts­kräf­tig abge­schlos­sen ist, § 32 OWiG.

Das OWiG regelt dann noch die Fäl­le, ab wann eine rechts­kräf­tig fest­ge­setz­te Geld­bu­ße nach Ablauf der Ver­jäh­rungs­frist nicht mehr voll­streckt wer­den darf.

Die Ver­jäh­rungs­frist beträgt

  • 5 Jah­re bei einer Geld­bu­ße von mehr als 1.000,00 €
  • 3 Jah­re bei einer Geld­bu­ße bis zu 1.000,00 €

Auf­grund der feh­len­den Rege­lung in der DSGVO obliegt es den natio­na­len Gesetz­ge­bern, Vor­schrif­ten zur Ver­jäh­rung anzuwenden.

Dies hat zur Fol­ge, dass es je nach Mit­glieds­staat unter­schied­li­che natio­na­le Ver­jäh­rungs­re­ge­lun­gen gibt.

In § 31 OWiG fin­det man die unter­schied­li­chen Ver­jäh­rungs­fris­ten ange­passt an das „Höchst­maß“ der Geldbuße.

Grund­sätz­lich gilt also: des­to höher das „Höchst­maß“ der Geld­bu­ße ist, des­to län­ger ist die Ver­jäh­rungs­frist. Die maxi­ma­le Dau­er einer Ver­jäh­rungs­frist liegt bei 3 Jah­ren, § 31 Abs. 2 Nr. 1 OwiG.

Damit es erst gar nicht von Inter­es­se und Rele­vanz ist, wann ein Buß­geld ver­jährt, ist der vor­he­ri­ge Ein­satz eines inter­nen bzw. exter­nen Daten­schutz­be­auf­trag­ten von ent­schei­den­der Wichtigkeit.

Denn nur so kön­nen Buß­gel­der ver­mie­den werden.

Also las­sen Sie sich gut beraten!

Kommentar hinzufügen