Hin und wieder werde ich gefragt: wann verjährt Datenschutz?!
Dabei sind dann die möglichen Bußgelder und deren eventuelle Höhe gemeint, welche von Aufsichtsbehörden verhängt werden können.
Diese sollen ja dem Wortlaut des Art. 83 Abs. 1 der DSGVO nach „wirksam, verhältnismäßig und abschreckend“ sein.
Die Möglichkeit, Geldbußen i.H.v. bis zu 20.000.000,00 € oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe des vorangegangenen Geschäftsjahres, dem das Unternehmen angehört, zu verhängen, dürfte dem Ziel aus Art. 83 Abs. 1 DSGVO zuträglich sein.
Der Zeitraum, in dem ein Bußgeld verhängt bzw. Datenschutzverstöße verfolgt werden können, ist jedoch nicht unendlich lang.
Dies entspricht auch dem allgemeinen Rechtsempfinden des Rechtsfriedens, wonach es nach Ablauf eines gewissen Zeitraumes auch ‚irgendwann mal gut sein muss‘.
Mit dem Ablauf der Zeit sinkt in den meisten Fällen auch das Interesse daran, einen Datenschutzverstoß zu sanktionieren.
Dazu kommt das Prinzip der Rechtssicherheit, welches unter anderem für Beständigkeit und Vorhersehbarkeit von öffentlichen Handlungen steht.

Wann verjährt Datenschutz?
In der DSGVO werden Sie hierzu nichts finden.
Demnach liegt die Berechtigung gem. Art. 83 Abs. 8 DSGVO beim nationalen Gesetzgeber. Zieht man nun § 41 Bundesdatenschutzgesetz (BDSG) zu Rate, findet man eine hilfreiche Verweisungsnorm in das Ordnungswidrigkeitengesetz (OWiG).
Im OWiG wird man dann bei §§ 31 ff. OWiG fündig:
Beginn der Verjährung:
Die Verjährung beginnt, sobald die Handlung beendet, also der Erfolg des Tatbestandes eingetreten ist, § 31 Abs. 3 S. 1 OWiG.
Wenn die bußgeldbewährte Tätigkeit weiter fortgeführt wird, setzt keine Verjährung ein. Dies ist z.B. der Fall, wenn rechtswidrig erhobene Daten weiterverwendet werden.
Ein Beispiel:
Nutzer:innen einer Website werden — ohne dass sie eine Einwilligung rechtmäßig erteilt haben — weiterhin getrackt.
Schwierig wird es, wenn ein Datenschutzverstoß darin begründet ist, dass Daten rechtswidrig gespeichert werden.
Man könnte in diesem Fall auf die erstmalige Speicherung der Daten als auch auf die ‚letzte‘ Speicherung abstellen, also den Zeitpunkt, an dem der Verstoß festgestellt und die Löschung der Daten vorgenommen worden ist.
Verjährungsfristen:
- 3 Jahre bei Geldbuße im Höchstmaß von mehr als 15.000,00 €
- 2 Jahre bei Geldbuße im Höchstmaß von mehr als 2.500,00 € bis 15.000,00 €
- 1 Jahr bei Geldbuße im Höchstmaß von mehr als 1.000,00 € bis 2.500,00 €
- 6 Monate bei den übrigen Ordnungswidrigkeiten.
Ruhen und Unterbrechung der Verjährung:
Wenn vor Ablauf der Verjährungsfrist ein Urteil des ersten Rechtszuges oder ein Beschluss nach § 72 OWiG ergangen ist, ruht die Verjährungsfrist so lange, bis das Verfahren rechtskräftig abgeschlossen ist, § 32 OWiG.
Das OWiG regelt dann noch die Fälle, ab wann eine rechtskräftig festgesetzte Geldbuße nach Ablauf der Verjährungsfrist nicht mehr vollstreckt werden darf.
Die Verjährungsfrist beträgt
- 5 Jahre bei einer Geldbuße von mehr als 1.000,00 €
- 3 Jahre bei einer Geldbuße bis zu 1.000,00 €

Aufgrund der fehlenden Regelung in der DSGVO obliegt es den nationalen Gesetzgebern, Vorschriften zur Verjährung anzuwenden.
Dies hat zur Folge, dass es je nach Mitgliedsstaat unterschiedliche nationale Verjährungsregelungen gibt.
In § 31 OWiG findet man die unterschiedlichen Verjährungsfristen angepasst an das „Höchstmaß“ der Geldbuße.
Grundsätzlich gilt also: desto höher das „Höchstmaß“ der Geldbuße ist, desto länger ist die Verjährungsfrist. Die maximale Dauer einer Verjährungsfrist liegt bei 3 Jahren, § 31 Abs. 2 Nr. 1 OwiG.
Damit es erst gar nicht von Interesse und Relevanz ist, wann ein Bußgeld verjährt, ist der vorherige Einsatz eines internen bzw. externen Datenschutzbeauftragten von entscheidender Wichtigkeit.
Denn nur so können Bußgelder vermieden werden.
Also lassen Sie sich gut beraten!
1 Kommentar