Zum Inhalt springen Zur Navigation springen
Verjährung im Datenschutz

Verjährung im Datenschutz

Das Bundesdatenschutzgesetz (BDSG) gewährt dem Betroffenen eine Reihe von Rechten, die er gegenüber der verantwortliche Stelle geltend machen kann. Das geht jedoch nicht zeitlich unbegrenzt, auch Ansprüche aus dem Datenschutzrecht unterliegen der Verjährung. Von der Verfolgung ausgeschlossen sind auch die im BDSG geregelten Ordnungswidrigkeiten und Straftaten, wenn Verjährung eingetreten ist.

Regelmäßige Verjährung bei Ansprüchen des Betroffenen

Zunächst hat der Betroffene gegen die verantwortliche Stelle Anspruch auf Auskunft darüber, welche Daten über seine Person gespeichert werden, woher diese Daten stammen und zu welchem Zweck sie gespeichert werden. Werden seine Daten an Dritte weitergegeben, kann der Betroffene auch Auskunft über den Empfänger verlangen. Im BDSG geregelt sind zudem Ansprüche des Betroffenen gegen die verarbeitende Stelle auf Berichtigung, Sperrung oder Löschung seiner personenbezogenen Daten. In seltenen Fällen kann der Betroffene wegen eines Verstoßes gegen das Datenschutzrecht auch einen Anspruch auf Schadensersatz gegen die verarbeitende Stelle geltend machen.

Das BDSG selbst enthält keine Regelungen zur Verjährung von datenschutzrechtlichen Ansprüchen, weshalb auf die allgemeinen Regelungen des Bürgerlichen Gesetzbuchs zurückgegriffen werden muss. Danach verjähren Ansprüche aus dem Datenschutzrecht – von einigen, im Datenschutzrecht selten zutreffenden Ausnahmen abgesehen – nach drei Jahren.

Die Verjährungsfrist beginnt im Regelfall mit Ende des Jahres, in dem der Betroffene Kenntnis vom Rechtsverstoß erlangt hat oder unter normalen Umständen hätte erlangen können. Nach Ablauf dieser Frist geltend gemachte Ansprüche kann der Betroffene nicht mehr gegen die verarbeitende Stelle durchsetzen. Die Verwaltungsbehörden können derartige Verstöße ebenfalls nicht mehr ahnden.

Ordnungswidrigkeiten verjähren nach drei Jahren

Besonders schwerwiegende Verstöße gegen das Datenschutzrecht stellen Ordnungswidrigkeiten dar, die mit einer Geldbuße geahndet werden können. Je nach Verstoß kann das Bußgeld dabei bis zu € 300.000,- betragen.

Nach einer bestimmten Frist ist jedoch auch die Verfolgung von Ordnungswidrigkeiten ausgeschlossen. Bei Ordnungswidrigkeiten, die mit Geldbuße in einem Höchstmaß von mehr als € 15.000,- bedroht sind, tritt die Verjährung nach drei Jahren ein. Die Verjährung von Ordnungswidrigkeiten im datenschutzrechtlichen Bereich beginnt, sobald die rechtsverletzende Handlung der verarbeitenden Stelle beendet ist.

Wurde gegen eine verarbeitende Stelle bereits rechtskräftig eine Geldbuße festgesetzt, darf diese nach Ablauf der Frist der Vollstreckungsverjährung nicht mehr eingezogen werden. Bei einer Geldbuße von mehr als € 1.000,- ist die Vollstreckung nach fünf Jahren verjährt, in allen anderen Fällen tritt die Vollstreckungsverjährung bereits nach drei Jahren ein.

Verjährung nach fünf Jahren bei Straftaten

In seltenen Fällen stellen Verstöße gegen das Datenschutzrecht auch Straftaten im Sinne des BDSG dar. Dies ist dann der Fall, wenn schwere Datenschutzverstöße gegen Bezahlung oder mit der Absicht, sich oder einen anderen dadurch zu bereichern, begangen wurden. Bestraft werden solche Taten mit einer Geldstrafe oder – weitaus seltener – einer Freiheitsstrafe bis zu zwei Jahren.

Bei Straftaten, die im Höchstmaß mit Freiheitsstrafen von einem Jahr bis zu fünf Jahren bedroht sind, beträgt die Verjährungsfrist fünf Jahre. Auch hier beginnt die Verjährung mit der Beendigung der Tat.

Die Vollstreckung der Geld- oder Freiheitsstrafe unterliegt ebenfalls der Verjährung. Wann diese eintritt, hängt von der Höhe der jeweiligen Strafe ab.

Unterbrechung und Hemmung der Verjährung möglich

Doch Vorsicht! Zwar schließt die Verjährung die Durchsetzung von Ansprüchen sowie die Verfolgung von Ordnungswidrigkeiten und Straftaten grundsätzlich aus. Blind verlassen sollte man sich auch nach Ablauf der genannten Fristen nicht darauf, dass die Verjährung im Einzelfall tatsächlich eingetreten ist.

Unter bestimmten, gesetzlich festgelegten Umständen wird die Verjährung gehemmt oder unterbrochen. In einem solchen Fall kann sich die verarbeitende Stelle nicht auf die Verjährung berufen und muss sich den gegen sie erhobenen Vorwürfen stellen.

Fazit

Im Einzelfall sollte daher ein Experte überprüfen, ob der behauptete Verstoß gegen das Datenschutzrecht tatsächlich verjährt ist.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Können die Rechte des Betroffenen (auf Auskunft, Berichtigung, Sperrung, Löschung) ebenfalls verjähren? Das wäre ja fatal. Die verantwortliche Stelle könnte sich dann sehr leicht ihrer Verantwortung entziehen.

    Beispiele:
    1) A stellt erst 5 Jahre nach Vertragsende ein Auskunftsersuchen an Unternehmen B, um die über A gespeicherten Daten abzufragen. B beruft sich auf Verjährung und lehnt Auskunftserteilung an A ab.
    2) A stellt ein Auskunftsersuchen an Stelle B. Nach 3 Jahren verlangt A erneut Auskunft von B, da A aufgefallen ist, dass B damals nicht vollständig die gespeicherten Daten beauskunftet hatte. B beruft sich auf Verjährung und lehnt eine ergänzte Auskunft an A ab.

    Wie sehen Sie diese Fallkonstellationen?

    • Ansprüche eines Betroffenen können auch verjähren. Damit soll die verarbeitende Stelle davor geschützt werden, dass ihr gegenüber noch nach vielen Jahren Ansprüche geltend gemacht werden können. Bei der Schaffung der Verjährungsregeln hat sich der Gesetzgeber von der Überlegung „Irgendwann muss Schluss sein“ leiten lassen. Die Verjährung dient damit dem Rechtsfrieden.

      In der von Ihnen genannten Konstellation 1 sind die Ansprüche des Betroffenen verjährt, wenn er diese bei Vertragsende kannte oder hätte kennen müssen. Das Unternehmen muss die Anfrage des A dann nicht mehr beantworten und kann sich auf die Verjährung berufen.

      Ähnliches gilt in der von Ihnen genannten Konstellation 2: A hätte dafür Sorge tragen müssen, dass sein Auskunftsersuchen vollständig beantwortet wird. Tut er das nicht, hat er nach Ablauf der Verjährungsfrist keinen Anspruch mehr gegen das Unternehmen.

  • Eine sehr schöne Zusammenstellung der Verjährungsregeln, vielen Dank!
    Nur die Ausführungen zu den Ordnungswidrigkeiten und Straftaten würde ich etwas anders sehen. Ordnungswidrig sind nicht nur „besonders schwerwiegende“ Verstöße gegen das BDSG, sondern fast alle. Denn nach § 43 Abs. 2 Nr. 1 BDSG ist jegliche unbefugte Erhebung oder Verarbeitung ordnungswidrig (eine andere Frage ist, ob Verstöße tatsächlich geahndet werden).
    Ebenso setzt die Strafnorm des § 44 BDSG setzt keine „schweren“ Verstöße voraus, sondern lediglich Bereicherungs- oder Schädigungsabsicht – hierfür genügt aber schon das Handeln für einen geldwerten Vorteil. Daher sind z.B. unternehmerisch tätige Personen bei falschem Datenumgang sehr schnell in der Strafbarkeit. Die Strafnorm wird zwar in der Praxis fast nie angewandt, aber erfüllt wird sie täglich 1000fach.

  • Eine sehr interessante Erklärung von Bernhard Freund. Wenn ein Handeln für den geldwerten Vorteil schon strafbar sein kann, wie sieht es denn dann mit der Verjährungsfrist aus? Muss man dann als Geschädigter auch innerhalb von 3 Monaten agieren?

  • @ Dr. Datenschutz:

    Ihre Auslegung der Rechtslage halte ich für gefährlich. Im BDSG sind explizit keine Verjährungsfristen genannt. Hingegen ist von „unabdingbaren Rechten“ des Betroffenen die Rede.

    Die Betroffenenrechte sind des Weiteren Ausdruck des Grundrechts auf informationelle Selbstbestimmung, welches wiederum vom allgemeinen Persönlichkeitsrecht abgeleitet ist. Es geht hier also um Grundrechte, die nicht einfach so durch einfache Verjährung vom Tisch gewischt werden dürften.

    Ein Unternehmen sollte nicht davor „geschützt“ werden, dem Betroffenen Auskunft über die bei der verantwortlichen Stelle gespeicherten Daten geben zu müssen. Es sind schließlich die Daten des Betroffenen, und nicht des Unternehmens.

    Können Sie entsprechende Gerichtsurteile benennen? Falls Unternehmen sich tatsächlich rechtswirksam auf Verjährung berufen könnten, wären die Auskunftsrechte des Betroffenen noch weiter geschwächt, als ohnehin schon.

    Neben „Verjährung“ versuchen sich Unternehmen damit herauszureden, dass die Daten „nur“ wegen gesetzlicher Aufbewahrungsfristen noch gespeichert seien und eine Auskunft einen „unverhältnismäßigen“ Aufwand erfordern würde. Mit diesen Vorwänden werden zahlreiche Auskunftsersuchen abgeblockt. Soll dies im Sinne des Datenschutzes sein? Ein Datenschutz, der die Datenspeicherer schützt?

    Ein normaler Betroffener kennt seine datenschutzrechtlichen Auskunftsrechte in der Regel nicht. Nach Jahren erfährt er dies vielleicht erst in einem Verbrauchermagazin.

    Ob ein Unternehmen vollständig Auskunft erteilt hat, kann ein normaler Betroffener in der Regel eben so wenig feststellen. Gerade den wahren Umfang der „Hintergrunddaten“, die zwar personenbezogen sind, aber über die Standardkombination „Name, Adresse, Geburtsdatum, Kontonr., Telefonnr., E-Mail-Adresse“ hinausgehen, kann ein normaler Betroffener nicht abschätzen. Auch hier erfährt derjenige vielleicht erst Jahre später durch einen Pressebericht, welche personenbezogenen Daten gerade im Internet-Bereich erhoben und gespeichert werden.

    Ergänzung:
    Solange Betroffene ein Recht auf Auskunft geltend machen können, muss ein Unternehmen eine gewisse Kontrolle durch die Betroffenen fürchten. Sobald die Verjährung einträte, könnte ein Unternehmen mit den Daten des Betroffenen – salopp gesagt – machen, was es will. Der Betroffene hätte wegen Verjährung kein Recht mehr, gespeicherte Daten, Datenherkunft, Datenempfänger und Zweck herauszufinden.

    Die Verjährung lädt Unternehmen dazu ein, nach ein paar Jahren einen Freifahrtschein zu lösen und die Betroffenendaten uneingeschränkt zu verwerten.

    Gleichzeitig lädt die Verjährung Unternehmen dazu ein, nach ein paar Jahren die Datensicherheitsmaßnahmen herunterzufahren und damit kriminellem Datenmissbrauch zu erleichtern, da der Betroffene ja ohnehin keine Auskunftsrechte mehr beanspruchen kann.
    Halten Sie wirklich an diesen schlechten Nachrichten für alle Betroffenen fest?
    Oder liegt Ihre Rechtsauslegung eher darin begründet, dass Sie Unternehmen beraten, möglichst „pragmatisch“ und „kosteneffizient“ den Datenschutz umzusetzen? Das wäre schade.

    Ein „Rechtsfrieden“, der einseitig machtvolle Unternehmen schützt und unterdessen machtlose Einzelpersonen benachteiligt, ist kein Frieden.

    • Da das Bundesdatenschutzgesetz keine Regelungen zur Verjährung enthält, gelten, wie im Artikel ausgeführt, die allgemeinen Regeln des Bürgerlichen Gesetzbuchs. Diese sind in den §§ 195ff. zu finden. Wenn Sie sich für die Hintergründe dieser Regelungen (Stichwort „Rechtsfrieden“) interessieren, werden Sie sicherlich in einer Kommentierung des Bürgerlichen Gesetzbuchs fündig.

      Dass die Betroffenen ihre Rechte aus den Datenschutzgesetzen oftmals nicht kennen, ist leider eine bedauerliche Tatsache. Und nicht zuletzt einer der Gründe, weshalb es Internetblogs wie diesen gibt, die Informationen zu datenschutzrechtlichen Themen bereithalten.

  • Wie Recht Sie haben Clemens, unser Staat schützt die falsche Seite.
    Dr. Datenschutz, Sie schreiben nur, dass die gleichen Regeln gelten, aber welche? Wie viel Zeit habe ich als Geschädigte denn, wenn ich vom dem massiven Datenschutzverstoß erfahren habe? Muss ich innerhalb von 3 Monaten Anzeige erstatten bei 5 Jahre Verjährungsfrist?

    • Die Verjährung im Strafrecht ist in den §§ 78ff. StGB geregelt. Welche Auswirkungen das im datenschutzrechtlichen Bereich hat, ist in dem Artikel dargestellt. Verstöße gegen die im Bundesdatenschutzgesetz enthaltenen Strafvorschriften werden nur auf Antrag verfolgt, als Geschädigter müssen Sie daher Anzeige erstatten. Der Strafantrag ist innerhalb von drei Monaten ab Kenntnis von der Straftat zu stellen.

      Die Verjährungsfrist ist von dieser Frist zur Stellung eines Strafantrags zu unterscheiden. Denkbar wäre z.B. der Fall, dass ein Betroffener zwar innerhalb von drei Monaten ab Kenntnis vom Rechtsverstoß einen Strafantrag gestellt hat, dieser Strafantrag aber aus irgendwelchen Gründen nicht bearbeitet wird. Dann verjährt die Straftat nach fünf Jahren ab Beendigung der Tat.

      • Danke Dr. Datenschutz, das ist ja mal eine gute Erklärung. Ein übler Nachgeschmack bleibt trotzdem, denn wenn nicht einmal Staatsanwälte, wie in unserem Fall, den Begriff Kreditgefährdung kennen, wie soll dann Otto Normalo zurecht kommen? Drei Staatsanwälte haben unseren Antrag abgewiesen, weil sie sich nicht auskannten, einer hat direkt zugegeben, dass er Kreditgefährdung noch nie gehört hat, der 4. hat dann gesagt, ja es ist eine Straftat, aber leider verjährt, sie hätten innerhalb von 3 Monaten nach Kenntnis anzeigen müssen. Dabei konnte mir bis Heute keiner sagen, wer denn zur Scoreberichtigung bei der Schufa verpflichtet ist, wenn durch illegale Einträge der Score bis zur Kreditunwürdigkeit abgewertet wurde. Dadurch bin ich ja im Grunde immer noch unwissend.

  • @ Dr. Datenschutz:

    Verzeihen Sie, dass ich nochmal nachhake.

    1) Können Sie Gerichtsurteile nennen, die Ihre Rechtsauffassung untermauern?
    2) Teilen die Datenschutzaufsichtsbehörden Ihre Rechtsauffasung zur Frage der Verjährungsfristen? Haben Sie hier Erfahrungswerte?
    3) Entspricht Ihre Rechtsauffassung der herrschenden Meinung in der Rechtswissenschaft?
    4) Datenschutzrechtliche Auskunftsrechte sind ein Instrument, das die verfassungsmäßigen Rechte von Einzelpersonen schützen soll. Können einfachgesetzliche allgemeine Verjährungsfristen, die mangels Erwähung im BDSG (=Auffanggesetz) im BGB (=Auffanggesetz) enthalten sind, einfach so höherrangige Betroffenen-Rechte, die aus dem Grundgesetz abgeleitet sind, ausstechen?
    Es wäre nicht das erste Mal, dass sich Juristen bei ihrer Rechtsauslegung die verfassungsrechtliche Dimension nicht bewusst machen. Im Äußerungsrecht ist ähnliches zu beobachten. Dort wird eine Äußerung häufig als Beleidigung klassifiziert und erst in höheren Gerichtsinstanzen muss daran erinnert werden, dass z.B. scharfe Kritik nicht immer beleidigend ist, sondern von der Meinungsfreiheit gedeckt ist.
    5) Bitte seien Sie ehrlich: Ist Ihre Aufassung bezüglich der Verjährungsfristen Ausdruck Ihrer unternehmensorientierten Beratungstätigkeit? Das wäre ja legitim, wenn Sie zum Vorteil Ihrer Mandanten argumentieren; dies aber auch transparent machen. Sie dürften dennoch kaum abstreiten können, dass die von Ihnen dargestellten Verjährungsfristen zum Nachteil betroffener Bürger sind.

    • Die dargestellte Rechtslage entspricht den gesetzlichen Regelungen und wird daher von den Datenschutzbehörden und Gerichten auch so angewandt. Als Beratungsunternehmen informieren wir unsere Kunden selbstverständlich im Bedarfsfall auch über die geltende Rechtslage im Bereich des Verjährungsrechts.

  • Hallöchen,
    ich habe mal eine Frage:
    Nehmen wir an, Person A hat eine Vorstrafe mit Sozialstunden in einer Jugendakte, allerdings keine Verurteilung mit Haftstrafe oder sowas.
    Eine weitere Person B möchte heimlich Infos über A bekommen und hat einen Bekannten,der Polizist ist.
    Nun schaut der Polizist in die Polizeiakte von A und berichtet B von diesen empfindlichen Infos im Detail. B erzählt von der Tat.
    Die Familie und das Leben von A wird daraufhin sehr belastet. Allerdings erfährt A erst 11 Jahre später, wer (Polizist) in die Akte gesehen hat und wann in die Akte gesehen wurde. Nun könnte er sich gegen den Täter zu wehr setzen. Also woher diese,sich im Umlauf befindlichen Informationen stammen.

    Was kann A tun?
    Immerhin ist A durch diese Infos familiär schwer geschädigt.. Allerdings konnte A sich 11 Jahre nicht gegen diese Straftat wehren….
    Wie ist die Verjährung in einem solchen Delikt?

    Vielen Dank für Ihre Antworten.

    LG

    • Polizeibeamte sind Amtsträger im Sinne des Strafgesetzbuches und dürfen daher Informationen, die sie im Rahmen ihrer dienstlichen Tätigkeit erhalten, nicht unbefugt an Dritte weitergeben. Tun sie das doch, verletzen sie Privatgeheimnisse und machen sich damit strafbar. Allerdings wird diese Tat nach elf Jahren in der Regel bereits verjährt sein. Mit einer Dienstaufsichtsbeschwerde könnte zumindest der Dienstherr des Polizeibeamten auf dessen Fehlverhalten hingewiesen werden. Bevor Sie diesen Weg wählen, sollten Sie den Sachverhalt jedoch genau von einem Rechtsanwalt prüfen lassen.

      • Vielen Dank für Ihre Antwort. Aber was ist mit den eigenen Ansprüchen, wenn man erst so lange Zeit nach der Tat davon erfährt? Da dürfte dann erst jetzt die Verjährung eintreten? Und wie sehen die eigenen Ansprüche aus?

        Vielen Dank,
        Ann

  • Ich habe eine Frage als Betroffener. Ich war vor 10 Jahren in einer Spedition beschäftigt. Der dortige Geschäftsführer kündigte mich aufgrund eines dummen Vergehens meinerseits. Inzwischen bin ich 10 Jahre später bei einer anderen Sped. beschäftigt, was der damalige Geschäftsführer zufällig zu wissen bekam. Nun hat dieser meinen jetzigen Chef angerufen und dem die Geschichte von damals erzählt, worauf hin mich mein Chef ansprach und darauf verwies und mich warnte nicht bei ihm dasselbe zu machen, wie vor 10 Jahren.
    1. handelt es sich dabei um Datenmissbrauch?
    2. wann verjährt es?
    3. kann ich etwas dagegen unternehmen?

  • Hallo. Folgendes.
    Vor 2 Jahren hat jemand aus dem Personalbüro meine AU liegen lassen und Kollegen haben den Stempel eines Psychiaters gesehen und diese Info lauwarm im Betrieb rum erzählt. Kann ich heute noch deswegen klagen und wenn ja, welche ungefähren Auswirkungen hat das auf den Betrieb bzw dem Personalbüro?

    • Die Verjährungsfrist beträgt drei Jahre, so dass in Ihrem Fall eine Durchsetzung Ihrer Ansprüche grundsätzlich noch möglich wäre. Die Auswirkungen sind ohne nähere Kenntnis des Sachverhalts schwer zu beurteilen. Ggf. kommen Maßnahmen der Aufsichtsbehörden (Bußgeld für den Betrieb) und Schadensersatzansprüche Ihrerseits in Betracht sowie arbeitsrechtliche Konsequenzen für die handelnde Person/das Personalbüro.

  • Darf ein unternehmen nach Beendigung einen Vertragsverhältnis nach der neuen datenschutzverordnung noch personenbezogene Daten speichern? Wenn ja wann tritt die Löschung der Daten in Kraft?

    • Personenbezogene Daten müssen insbesondere gelöscht werden, wenn sie für den Zweck, zu dem sie erhoben wurden, nicht mehr notwendig sind. Nicht gelöscht werden dürfen Daten allerdings, wenn eine gesetzliche Pflicht zur Aufbewahrung besteht. Eine kurze Übersicht über verschiedene gesetzliche Aufbewahrungsfristen findet man beispielsweise bei Reißwolf. Nach Ablauf der Frist sind die Daten in der Regel zu löschen.

  • Wie siehst denn mit der Verjährung von Betroffenenrechten nach neuer Rechtslage (DSGVO) aus? Stehen die Verjährungsvorschriften des BGB im Einklang mit Art. § 23 DSGVO?

    Zumindest muss es irgendwann mal am Rechtschutzbedürfnis durch Zeitablauf fehlen.

    • Da die DSGVO ebenfalls keine Verjährung kennt, gilt das im Artikel Genannte weiterhin.
      Eine Einschränkung der Betroffenenrechte aufgrund nationaler Gesetze bleibt auch nach Inkrafttreten der DSGVO möglich.
      Damit beträgt die regelmäßige Verjährungsfrist gem. §§ 195, 199 BGB drei Jahre.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.