Die DSGVO selbst regelt keine Verjährungsfristen für Bußgelder. Dies wird den Mitgliedstaaten überlassen.
Ordnungswidrigkeitenrecht (Bußgelder):
In Deutschland richtet sich die Verjährung nach dem OWiG (da Paragraph 41 BDSG auf das OWiG verweist):
- Die Verjährungsfrist beträgt drei Jahre (Paragraph 31 Abs. 2 Nr. 1 OWiG, da die Bußgeldrahmen der DSGVO über 15.000 EUR liegen).
- Die Frist beginnt mit Beendigung der Ordnungswidrigkeit. Bei Dauerverstößen (z.B. dauerhaft fehlende Datenschutzerklärung, permanente unrechtmäßige Verarbeitung) beginnt die Verjährung erst mit Ende des rechtswidrigen Zustands.
- Die Verjährung kann durch Ermittlungshandlungen der Aufsichtsbehörde unterbrochen werden.
Strafrecht (Paragraph 42 BDSG):
- Paragraph 42 Abs. 1 BDSG (bis 3 Jahre Freiheitsstrafe): Verjährungsfrist 5 Jahre (Paragraph 78 Abs. 3 Nr. 4 StGB).
- Paragraph 42 Abs. 2 BDSG (bis 2 Jahre Freiheitsstrafe): Verjährungsfrist 5 Jahre (Paragraph 78 Abs. 3 Nr. 4 StGB).
Zivilrechtliche Schadensersatzansprüche (Art. 82 DSGVO):
Die zivilrechtliche Verjährung richtet sich nach nationalem Recht. In Deutschland gilt grundsätzlich die regelmäßige Verjährungsfrist von drei Jahren (Paragraph 195 BGB), beginnend mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Betroffene Kenntnis erlangt hat (Paragraph 199 BGB). Die absolute Verjährungsfrist beträgt zehn Jahre (Paragraph 199 Abs. 3 BGB).
Wichtiger Praxishinweis: Dauernde Verstöße - wie eine permanente unrechtmäßige Datenverarbeitung oder ein dauerhaft fehlendes Verzeichnis der Verarbeitungstätigkeiten - verjähren erst, wenn der rechtswidrige Zustand beendet wird. Dies bedeutet, dass ein laufender Verstoß praktisch nicht verjahren kann.