DSGVO: Härtere Sanktionen bei Datenschutz-Verstößen

Die neue Datenschutz-Grundverordnung (DSGVO) bringt zahlreiche Neuerungen. Neben dem viel diskutierten „Recht auf Vergessenwerden“, müssen sich Unternehmen in Zukunft bei Datenschutzverletzungen auf erheblich verschärfte Sanktionen einstellen.

Überwachung und Durchsetzung der DSGVO

Den Datenschutzaufsichtsbehörden unterliegt weiterhin die Überwachung und Durchsetzung der Anwendung der Datenschutz-Grundverordnung, Art. 57 I a) DSGVO, entsprechend § 38 I BDSG. In Art. 57 DSGVO sind weitere Aufgaben aufgelistet, die Beratungs-, Bewilligungs-, Genehmigungsverpflichtungen betreffen. Art. 58 DS-GVO unterteilt dabei zwischen Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen der Aufsichtsbehörde.

Beratungsverpflichtungen meint die verpflichtende Beratung (i.S.d. Art. 36 DSGVO) von Unternehmen bei der Datenschutz-Folgenabschätzung für Datenverarbeitungen, die ein besonders hohes Risiko bergen, insbesondere im Rahmen der vorherigen Konsultation der Aufsichtsbehörde. Die generelle Meldepflicht für Datenverarbeitungen entfällt jedoch. Ebenso wie die Beratung bei der Umsetzung neuer Anforderungen wie Datenschutz durch Technikgestaltung (privacy by design) und datenschutzfreundliche Voreinstellungen (privacy by default) (Schantz NJW 2016, 1841, 1846). Die Beratung erfolgt anhand von schriftlichen Empfehlungen und Leitlinien. Für Unternehmen, die in mehreren Mitgliedstaaten niedergelassen sind, ist die Aufsichtsbehörde an ihrem Hauptsitz zuständig (One-Stop-Shop) (Schantz NJW 2016, 1841, 1846, 1847).

Bewilligungsverpflichtungen betrifft die Erarbeitung von Stellungnahmen und Billigung von branchenspezifischen Verhaltensregeln zur ordnungsgemäßen Anwendung der Verordnung, Anregung zur Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und –prüfzeichen, Billigung von Zertifizierungen.

Genehmigungsverpflichtungen beziehen sich auf die Genehmigung von Vertragsklauseln und Bestimmungen (i.S.d. Art. 46 III DSGVO) und verbindliche interne Vorschriften (Art. 47 DSGVO).

Untersuchungsbefugnisse (Art. 58 I DSGVO) gestatten jeder Aufsichtsbehörde, Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen und bei Verlangen alle dafür erforderlichen Informationen von dem Verantwortlichen bereitgestellt zu bekommen. Dazu gehört auch der Hinweis auf einen vermeintlichen Verstoß.

Abhilfebefugnisse (Art. 58 II DSGVO) gestattet der Aufsichtsbehörde den Verantwortlichen zu warnen, wenn beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die Verordnung verstoßen bzw. zu verwarnen, wenn Verstöße bereits vorliegen; bei Datenschutzverletzungen den Verantwortlichen darauf hinweisen, die betroffene Person zu benachrichtigen; Zertifizierungen zu widerrufen; Geldbußen zu verhängen und die Berichtigung oder Löschung personenbezogener Daten anzuordnen.

Jede Aufsichtsbehörde verfügt über Genehmigungsbefugnisse (Art. 58 III DSGVO), die es ihr gestattet, die im Rahmen der Bewilligungs- und Genehmigungsverpflichtungen genannten, zu genehmigen.

Abhilfemaßnahmen

Die Aufsichtsbehörde verfügt über jede in Art. 58 II DSGVO (vgl. § 38 V BDSG) genannten Abhilfemaßnahmen (Corrective Powers = Maßnahmen zur Abhilfe von Verstößen), die es ihr gestatten einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen. Weiterhin hat die Aufsichtsbehörde auch die Befugnis, (weitere) Datenschutzverstöße zu verhindern und/oder begangene Verstöße zu bestrafen.

Dabei unterscheidet das Gesetz zwischen den Begrifflichkeiten Abhilfemaßnahmen, Geldbußen (Administrative Fines), Art. 83 DSGVO und Sanktionen (Penalties), Art. 84 DSGVO. Sowohl im aufsichtlichen als auch im Bußgeldverfahren haben die Behörden nach „pflichtgemäßem Ermessen“ zu handeln.

Bußgelder bei Verstößen gegen die DSGVO

Geldbußen sind Strafen, die von den Verwaltungsbehörden im Ordnungswidrigkeitenverfahren erlassen werden können (§ 43 BDSG) und werden konkret gem. Art. 83 DSGVO festgelegt. Die Aufsichtsbehörde hat bei festgestellten Verstößen Geldbußen zu verhängen, die in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Dabei sind die Umstände des Einzelfalls nach Art, Schwere, Dauer, Anzahl der betroffenen Personen und Ausmaß des erlittenen Schadens zu berücksichtigen. Nach § 83 III DSGVO bemisst sich die Höhe des Betrags am schwerwiegendsten Verstoß und der Gesamtbetrag der Geldbuße übersteigt diesen nicht.

Die Höhe der Geldbußen hat durch die Neuregelung eine enorme Änderung erfahren. War bisher ein Bußgeldrahmen von 300.000 € vorgesehen, so können es nun bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bei Verstößen gegen organisatorische Regelungen betragen (gem. Art. 83 IV DSGVO). Diese wären:

  • Verstöße gegen die Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, Art. 8, 11, 25 – 39, 42, 43 DSGVO
  • Verstöße gegen die Pflichten der Zertifizierungsstelle, Art. 42, 43 DSGVO
  • Verstöße gegen die Pflichten der Überwachungsstelle, Art. 41 IV DSGVO

Bei Verstößen gegen die Grundsätze der DSGVO (Art. 5, 7, 9 DSGVO), die Regelungen zur Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO), die Rechte des Betroffenen (Art. 12-22 DSGVO) sowie bei Missachtung einer Anweisung einer Datenschutzaufsichtsbehörde (Art. 58 II DSGVO) sogar bis zu 20 Mio. € oder 4% des Jahresumsatzes des vorangegangenen Geschäftsjahres betragen (gem. Art. 83 V, VI DSGVO) (Schantz NJW 2016, 1841, 1847).

Sanktionen bei Verstößen gegen die DSGVO

Sanktionen sind Strafen i.S.d. Strafrechts (§ 44 BDSG). Die Mitgliedstaaten werden verpflichtet Vorschriften über andere Sanktionen für Verstöße gegen die DSGVO, die keiner Geldbuße gem. Art. 83 DSGVO unterliegen, festzulegen. Diese müssen gem. Art. 84 DSGVO ebenso wirksam, verhältnismäßig und abschreckend sein. Die EU hat keine generelle Kompetenz für das Strafrecht. Sie kann lediglich im Rahmen der DSGVO vorgeben, dass für den genannten Fall des Art. 84 DSGVO in den Mitgliedstaaten Straftatbestände normiert werden sollen. In Deutschland sind für die Verhängung von Sanktionen i.d.R die Gerichte zuständig, für die Verfolgung Polizei und Staatsanwaltschaft. Insoweit ergibt sich hier aus der DSGVO keine Neuregelung.

Fazit

Innerhalb der Kontrollrechte und des Rechts auf Sanktionierung mit Bußgeldern hat sich im Aufgabenbereich der Datenschutzaufsichtsbehörden nicht viel verändert. Angesichts der drastischen Erhöhung der Bußgelder sollten Unternehmen jedoch in eine gute Datenschutz-Organisation investieren.

Den Unternehmen ist anzuraten, bei der Verarbeitung personenbezogener Daten ihrer Dokumentationspflicht (neu) gem. Art. 30 ff. DSGVO nachzugehen, um bei Aufforderung gegenüber der Aufsichtsbehörde und den betroffenen Personen nach den Grundsätzen der DSGVO (Art. 5 I DSGVO) entsprechend Rechenschaft ablegen zu können bzw. im Falle von Verstößen den Schaden gering wie möglich zu halten.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Rechtsberatung Datenschutz

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.