Sanktionen in der DSGVO: Möglichkeiten und Durchsetzung

PrintMailRate-it

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 3 Minuten
  
Mit der Datenschutz-Grundverordnung (DSGVO) wurde der Bußgeldrahmen für Ver­stöße im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) signifikant erweitert. Unternehmen drohen im Fall von Datenschutzverstößen empfindliche Strafen.

    

  

Die DSGVO sieht Geldbußen im Fall von Art. 83 Abs. 4 DSGVO von bis zu 10 Mio. Euro oder im Fall eines Unter­nehmens von bis zu 2 Prozent seines gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Ge­schäftsjahres vor – je nachdem, welcher Betrag höher ist.

  

Dabei ist der Unternehmensbegriff der DSGVO weit gehalten und nimmt auf das Kartellrecht Bezug. Ein Unter­nehmen ist demnach jede eine wirtschaftliche Tätigkeit ausübende Einheit, was dazu führt, dass Geld­bußen nicht nur gegen die datenschutzwidrig handelnde Gesellschaft verhängt werden können, sondern auch auf den Konzern ausgedehnt werden können. Das hat zur Folge, dass, auch wenn der Verstoß von einer rechtlich selbst­ständigen Tochtergesellschaft begangen wurde, es möglich ist, der Muttergesellschaft eine Geldbuße aufzu­erlegen.

  

 

Die Aufsichtsbehörden und ihre Aufgaben

Angesichts des hohen Bußgeldrahmens kommt den Datenschutzbehörden eine große Bedeutung zu. In allen europäischen Mitgliedsstaaten wurden gemäß Art. 51 DSGVO unabhängige Aufsichtsbehörden eingerichtet, deren Aufgaben in Art. 57 DSGVO definiert werden. Insbesondere sind sie zuständig für die Anwendung der Verordnung und deren Durchsetzung.

 

Die DSGVO regelt darüber hinaus auch die Zusammenarbeit und Abstimmung der nationalen Aufsichts­be­hör­den. Dadurch soll die einheitliche Anwendung und in der Folge eine höhere Rechtssicherheit erreicht werden. Allerdings kann es gerade bei grenzüberschreitenden Verfahren zu einer nicht unerheblichen Verzögerung füh­ren.

 

Befugnisse der Datenschutzbehörden

Grundsätzlich haben Datenschutzbehörden gegenüber Unternehmen vielfältige Kompetenzen. Ein umfang­reiches Auskunftsrecht ergibt sich aus Art. 58 Abs. 1 lit. a DSGVO und § 40 Abs. 4 S. 1 BDSG, das in der Praxis u.a. durch die Versendung von Fragebögen umgesetzt wird. Unternehmen sind dabei verpflichtet, Aus­kunfts­ersuchen von Datenschutzbehörden zu beantworten.

 

Die Aufsichtsbehörden, in der Regel die Landesdatenschutzbehörden, können in Fällen von Daten­schutz­ver­stößen Anordnungen erlassen, um bspw. eine rechts­widrige Datenverarbeitung zu unterbinden oder die Lö­schung personenbezogener Daten zu erwirken.

 

Bemessung der Bußgelder

Die Datenschutzbehörden haben begonnen, die DSGVO-Umsetzung durch die Unternehmen zu prüfen und verhängen seit Beginn des Jahres 2019 regelmäßig Bußgelder.

 

Die Bemessung der Höhe des Bußgeldes obliegt der Aufsichtsbehörde, die gehalten ist, eine „wirksame, ver­hält­nismäßige und abschreckende" Entscheidung zu fällen. Dabei gibt die DSGVO im Hinblick auf die Bemes­sung der Bußgeldhöhe in Art. 83 Abs. 2 lit. a) bis k) DSGVO selbst Bemessungskriterien vor, die bei einer sol­chen Entscheidung verpflichtend zu berücksichtigen sind.

 

Auswirkungen auf die Bußgeldhöhe haben insbesondere:

  • die Art und Weise wie  der Verstoß der Aufsichtsbehörde bekannt wurde (etwa durch Mitteilung des verant­wortlichen Unternehmens),
  • die Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde zur Abhilfe eines Verstoßes sowie
  • die Reduzierung der möglichen Folgen und Minderung eines entstandenen Schadens für die Betroffenen.


Daneben kann es nach der Rechtsprechung des Bundesgerichtshofs auch bedeutsam sein, ob ein Compliance-Managementsystem (also in dem Unternehmen eingerichtete Maßnahmen), vorhanden sind, die präventiv da­rauf hinwirken, Rechtsverletzungen aus der Sphäre des Unternehmens zu verhindern.


Eine besondere Rolle kommt dabei insbesondere den vorab zur Vermeidung von Verstößen getroffenen tech­nischen und organisatorischen Maßnahmen zu. Denn gemäß Art. 24 Abs. 1 DSGVO hat der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Ein­tritts­wahrscheinlichkeit und Schwere der Risiken geeignete technische und organisatorische Maßnahmen um­zusetzen, um präventive Maßnahme bezüglich Verstößen gegen den Datenschutz zu treffen.

 

Neben den Geldbußen der DSGVO enthält das neue BDSG ergänzende Regelungen bei datenschutz­rechtlichen Verstößen. Als solche Sanktion wurde bspw. in § 42 BDSG eine Strafvorschrift festgelegt, die u.a. den gewerbs­mäßigen Handel mit personenbezogenen Daten unter Freiheitsstrafe bis zu drei Jahren oder Geldstrafe stellt.

 

Vorabentscheidungsersuchen des EuGH

Der EUGH hat in einer Vielzahl von Vorabentscheidungsersuchen über die Auslegung der DSGVO und damit auch über die Bußgeldpraxis zu befinden. Im Rahmen solcher Verfahren stellen nationale Gerichte Vorlage­er­suchen an den EuGH, dessen Urteil für eine verbindliche Auslegung der DSGVO in der datenschutz­recht­lichen Praxis führt. Die Vorlagefragen betreffen bedeutende Rechtsfragen, u.a. die Frage nach der Haftungs­zurech­nung für Unternehmen, die von hoher praktischer Relevanz insbesondere in den Fällen ist, in denen Datenschutzverstöße zu einer Vielzahl von Geschädigten führen.

 

Die Vielzahl der umstrittenen Themen, Stand März 2022 sind über dreißig Verfahren beim EuGH anhängig, zeigt, dass die Notwendigkeit besteht, wesentliche Fragen hinsichtlich der Auslegung der DSGVO höchst­richterlich zu beantworten. Diese Fragen sind überdies bei Schadensersatzklagen hochrelevant.

 

Verhalten bei Datenschutzverstößen und im Bußgeldfall

Die Frage nach dem Zusammenwirken mit der Aufsichtsbehörde zur Aufdeckung bzw. Behebung eines Verstoßes gegen das Datenschutzrecht ist für die betroffenen Unternehmen ein schmaler Grat. Denn während auf der einen Seite die Zusammenarbeit mit den Datenschutzbehörden gesucht werden muss und Anfragen kooperativ bearbeitet werden sollten, müssen eventuelle Auskünfte aus Haftungsgründen wohlbedacht sein.

 

So kann es in Fällen, in denen Selbstbelastung droht, sinnvoller sein, die Auskunft auf Fragen zu verweigern, die den Auskunftspflichtigen selbst der Gefahr der strafgerichtlichen Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würden. Ein entsprechendes Auskunftsverweigerungsrecht für diese Fälle ergibt sich gesetzlich aus § 40 Abs. 4 S.2 BDSG.

 

Wird ein Bußgeld erteilt, haben die Unternehmen die Möglichkeit, Rechtsmittel einzulegen. Die DSGVO sieht keinen eigenen Rechtsbehelf vor, sodass die bundesdeutschen Regelungen Anwendung finden, die eine gerichtliche Kontrolle der Entscheidung der Datenschutzbehörde ermöglichen.

 

Sowohl die stetige Fortentwicklung des Datenschutzrechts, als auch die Herausbildung einer neuen Rechts­praxis, bedeutet für Unternehmen einen hohen Aufwand bei der Beschäftigung mit dem Thema Datenschutz und Rechtsunsicherheiten auf vieler Art. In Anbetracht der hohen und immer häufigeren Bußgelder ist diese Befassung aber dringend angezeigt.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu