Regelmäßig berichten wir über Bußgelder, die von Aufsichtsbehörden verhängt worden sind (z. B. hier, hier und hier). Diese sollen dem Wortlaut des Art. 83 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) nach „wirksam, verhältnismäßig und abschreckend“ sein. Die Möglichkeit, Geldbußen i.H.v. bis zu 20.000.000,00 € oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes einer Unternehmensgruppe des vorangegangenen Geschäftsjahres, dem das Unternehmen angehört, zu verhängen, dürfte dem Ziel aus Art. 83 Abs. 1 DSGVO zuträglich sein.
Der Zeitraum, in dem ein Bußgeld verhängt bzw. Datenschutzverstöße verfolgt werden können, ist jedoch nicht unendlich lang. Das entspricht auch dem allgemeinen Rechtsempfinden des Rechtsfriedens, wonach nach Ablauf eines Zeitraumes es auch ‚irgendwann mal gut sein muss‘. Mit dem Ablauf der Zeit sinkt in den meisten Fällen auch das Interesse daran, einen Datenschutzverstoß zu sanktionieren. Dazu kommt das Prinzip der Rechtssicherheit, welches unter anderem für Beständigkeit und Vorhersehbarkeit von öffentlichen Handlungen steht.
Aber wann genau verjährt ein Datenschutzverstoß?
In der DSGVO werden Sie hierzu nichts finden. Demnach liegt die Berechtigung gem. Art. 83 Abs. 8 DSGVO beim nationalen Gesetzgeber. Nimmt man nun § 41 Bundesdatenschutzgesetz (BDSG) zur Hilfe, findet man eine hilfreiche Verweisungsnorm in das Ordnungswidrigkeitengesetz (OWiG). Im OWiG wird man dann bei §§ 31 ff. OWiG fündig:
Beginn der Verjährung:
Die Verjährung beginnt, sobald die Handlung beendet, also der Erfolg des Tatbestandes eingetreten ist, § 31 Abs. 3 S. 1 OWiG.
Wenn die bußgeldbewährte Tätigkeit weiter fortgeführt wird, setzt keine Verjährung ein. Dies ist z.B. der Fall, wenn rechtswidrig erhobene Daten weiterverwendet werden. Beispiel: Nutzende einer Website werden ohne dass sie eine Einwilligung rechtmäßig erteilt haben, weiterhin getrackt.
Schwierig wird es, wenn ein Datenschutzverstoß darin begründet ist, dass Daten rechtswidrig gespeichert werden. Man könnte in diesem Fall auf die erstmalige Speicherung der Daten als auch auf die ‚letzte‘ Speicherung abstellen (also den Zeitpunkt, an dem der Verstoß festgestellt und die Löschung der Daten vorgenommen worden ist). Zu dieser Unklarheit gibt es bislang keine herrschende Meinung.
Verjährungsfristen:
- 3 Jahre, wenn die Ordnungswidrigkeit mit Geldbuße im Höchstmaß von mehr als 15.000,00 € bedroht ist
- 2 Jahre, wenn die Ordnungswidrigkeit mit Geldbuße im Höchstmaß von mehr als 2.500,00 € bis zu 15.000,00 € bedroht ist
- 1 Jahr, wenn die Ordnungswidrigkeit mit Geldbuße im Höchstmaß von mehr als 1.000,00 € bis zu 2.500,00 € bedroht ist
- 6 Monate bei den übrigen Ordnungswidrigkeiten.
Ruhen und Unterbrechung der Verjährung:
Wenn vor Ablauf der Verjährungsfrist ein Urteil des ersten Rechtszuges oder ein Beschluss nach § 72 OWiG ergangen ist, ruht die Verjährungsfrist so lange, bis das Verfahren rechtskräftig abgeschlossen ist, § 32 OWiG.
Die Verjährung kann außerdem unterbrochen werden. § 33 OWiG listet gleich 15 Möglichkeiten auf, bei denen die Verjährung unterbrochen wird. Beispielsweise ist das bei der ersten Vernehmung des Betroffenen (Nr. 1), jeder richterlichen Vernehmung von Betroffenen oder Zeugen (Nr. 2) und bei dem Erlass des Bußgeldbescheides (Nr. 9) – sofern dieser binnen zwei Wochen zugestellt wird – der Fall.
Vollstreckungsverjährung (bereits festgesetzte Geldbußen):
- 34 OWiG regelt dann noch die Fälle, ab wann eine rechtskräftig festgesetzte Geldbuße nach Ablauf der Verjährungsfrist nicht mehr vollstreckt werden darf. Die Verjährungsfrist beträgt
- 5 Jahre bei einer Geldbuße von mehr als 1.000,00 €
- 3 Jahre bei einer Geldbuße bis zu 1.000,00 €
Fazit:
Aufgrund der fehlenden Regelung in der DSGVO obliegt es den nationalen Gesetzgebern, Vorschriften zur Verjährung anzuwenden. Das hat zur Folge, dass es je nach Mitgliedsstaat unterschiedliche nationale Verjährungsregelungen gibt.
In § 31 OWiG findet man die unterschiedlichen Verjährungsfristen angepasst an das „Höchstmaß“ der Geldbuße. Grundsätzlich gilt also: Desto höher das „Höchstmaß“ der Geldbuße ist, desto länger ist die Verjährungsfrist. Die maximale Dauer einer Verjährungsfrist liegt bei 3 Jahren, § 31 Abs. 2 Nr. 1 OWiG.
Anonymous
22. April 2022 @ 16:52
Hallo, jemand denn ich Kennenlernen wollte, hat mich auf Dvsgo hingewiesen, damit ich bei ihm ja nicht mehr melden soll. Wie lange darf er darauf bestehen bzw. ab wann ist bei sowas unter Privatleute die Verjährung dafür? Ab wann darf ich mich wieder bei ihm melden um Verzeihung zu bitten ohne mich dabei strafbar zu machen? Worauf muss ich bei dieser Typ in Zukunft achten?
Vielen Dank im voraus für Infos!
Schöne Grüße aus Stuttgart.. 😉
Markus Sch.
24. Juli 2021 @ 14:16
Vielen Dank für den sehr informativen Artikel. In dem Kontext Bußgeld für Datenschutz habe ich mich gefragt, ob die Verstöße immer als vorsätzlich gewertet werden oder auch fahrlässige Verstöße möglich sind. Mir selbst wird nämlich so ein Verstoß vorgeworfen. Ich aber berufe mich der Behörde auf Verjährung, weil ich nicht vorsätzlich („extra“) verstoßen habe. Zu meiner exakten Fragestellung, ob im Datenschutzrecht bei fahrlässigen Taten eine andere Frist gilt, habe ich nichts gefunden. Allgemein habe ich nur bei https://openright.de/ den Satz gefunden „[Es …] ist zu beachten, ob Vorsatz oder Fahrlässigkeit vorliegt. Denn […]bei einem fahrlässigen Verstoß [ist ] höchstens die Hälfte des Bußgelds möglich […]“ Das steht in https://openright.de/bussgeld/bussgeldbescheid-fristen/ . Das würde ja dann für den Bereich des Datenschutzes bedeuten, dass man sich da ggfs. auch über kürzere Verjährungsfristen freuen kann. Naja, ich hoffe mal, dass die Behörde das in meinem Fall genauso sieht.
Maxime Franke
26. Juli 2021 @ 10:11
Hallo Herr Sch.,
haben Sie vielen Dank für Ihren interessanten Kommentar. Tatsächlich kann ich Ihnen aus rechtlichen Gründen keine konkrete Antwort anbieten, da es sich hierbei um eine Rechtsberatung handeln würde. Gegebenenfalls werde ich diese Thematik in einem meiner weiteren Beiträge thematisieren.
Für das Verfahren mit der Behörde wünsche ich Ihnen viel Erfolg.
Beste Grüße,
Maxime Franke
Hennes Patrick
12. Dezember 2021 @ 1:41
Hallo Herr Sch.
Paragraph 9 der alten Fassung des BDSG verlangt für nicht-öffentliche Personen (für mich sind das privatwirtschaftliche Unternehmen ggfs. Aber auch einfache natürliche Zivilisten) organisatorische und sicherheitstechnische Maßnahmen zum Schutz personenbezogener Daten. Ich interpretiere diesen Passus als Anwendung des Unwissenheit schützt vor Strafe nicht Grundsatz. Es ist ein deutlicher Hinweis, dass bereits damals wohl auch Fahrlässigkeit als auch grobe Fahrlässigkeit geahndet würde wobei es stets auf den Einzelfall ankommt und das Beschissene als auch gleichzeitig gute am sozialen Rechtstaat isty dass die Einstufung Fahrlässigkeit Vorsatz eine andere Person über Ihren Kopf hinweg entscheidet, scheissend aus UnabhängigkeitsPflicht auf Ihr eigenes Rechtsgefühl. Da die DSGVO schärfer ahndet geht ich ungeprüft davon aus, dass es ein Pseudoäquovalent zu Paragraph 9 gibt im neueren Regelwerk.