WISSENSWERTES | 12.11.2019

Verjährung von Datenschutzverstößen nach DSGVO

In jüngerer Vergangenheit ist die Frage nach der Verjährung von Datenschutzverstößen vermehrt in den Fokus von Unternehmen geraten. Die Datenschutzgrundverordnung (DSGVO)  selbst trifft zur Verjährung keine Regelung. Nach dem deshalb einschlägigen deutschen Recht unterliegen Verstöße gegen Datenschutzvorschriften allerdings der Verjährung: Das Bundesdatenschutzgesetz (BDSG) verweist in § 41 Abs. 2 insoweit auf das Gesetz über Ordnungswidrigkeiten (OWiG) und erklärt dieses – und damit letztlich auch dessen Regelungen zur Verjährung (§§ 31 ff. OWiG) – für anwendbar.

Datenschutzverstöße werden unter der DSGVO gemäß Art. 83 mit Bußgeldern bedroht. Da deren Höchstmaß EUR 15.000,00 übersteigt, gilt nach § 31 Abs. 2 Nr. 1 OWiG  eine Verjährungsfrist von drei Jahren.

Nun könnte man argumentieren, dass durch eine derartige Verjährung die Wirksamkeit und der Abschreckungseffekt der Bußgeldregelungen der DSGVO unterlaufen würden. Allerdings dürfte sich diese deutsche Regelung nach heutigem Verständnis noch im Rahmen der durch Art. 83 Abs. 8 DSGVO (eingeräumten Konkretisierungsbefugnis der Mitgliedstaaten bewegen.

Zu beachten ist allerdings, dass es sich bei Datenschutzverstößen um Dauerdelikte handelt, deren Verjährung erst beginnt, „sobald die Handlung beendet ist“ (§ 31 Abs. 3 S. 1 OWiG) d.h. dann, wenn der Datenschutzverstoß auch tatsächlich abgestellt wurde. Das hat zur Folge, dass mögliche technische oder sonstige Hindernisse bei der Beseitigung eines Verstoßes eine erhebliche Verlängerung der Verjährungsfristen zur Folge haben können.