DSGVO: Aufsichtsbehörden und Sanktionen

Bei Nichteinhaltung der gesetzlichen Vorgaben der DSGVO müssen Verantwortliche mit erheblichen Sanktionen rechnen.

Wer kontrolliert die Einhaltung der DSGVO?

Unter der DSGVO kommt den unabhängigen, staatlichen Aufsichtsbehörden eine wichtige Rolle zu. Nach Art. 51 DSGVO ist jeder Mitgliedsstaat verpflichtet, eine oder mehrere unabhängige Behörden für die Anwendung und Überwachung der DSGVO zu schaffen. In Deutschland sind dies die unabhängigen Datenschutzbeauftragten der Länder sowie die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Diese Behörden sollen einerseits die Einhaltung datenschutzrechtlicher Vorgaben kontrollieren und ggf. sanktionieren, andererseits vor allem aber auch Orientierungshilfe bei der Implementierung der Vorgaben und eine Anlaufstelle für Betroffene bieten.

Grundsätzlich gilt für die Aufsichtsbehörden eine territoriale Zuständigkeit, womit jede Aufsichtsbehörde im jeweiligen Hoheitsgebiet ihres Mitgliedsstaates zuständig ist. Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich dabei europaweit nach dem Sitz bzw. der Niederlassung des Verantwortlichen. Bei grenzüberschreitenden Datenverarbeitungen kann die Aufsichtsbehörde des Landes, in dem die Hauptniederlassung liegt, die zuständige „federführende“ Behörde sein (Art. 56 DSVGO). Dies hat für Unternehmen den Vorteil, dass sie sich nicht mit mehreren Aufsichtsbehörden koordinieren müssen, sondern sich stets an die federführende Behörde wenden können.

Welche Folgen haben Verstöße gegen die DSGVO?

Eine wichtige besonders praxisrelevante Neuerung der DSGVO liegt in den verschärften Sanktionsmöglichkeiten bei Verstößen gegen die datenschutzrechtlichen Vorgaben. So verfügen die Aufsichtsbehörden neben weitreichenden Untersuchungs- und Abhilfebefugnissen nach Art. 58 DSGVO auch über die Möglichkeit, Bußgelder zu verhängen. Die genaue Höhe des Bußgelds wird dabei von der Aufsichtsbehörde bestimmt. Gesetzlich ist vorgeschrieben, dass das verhängte Bußgeld wirksam, verhältnismäßig und abschreckend sein muss. Der Bußgeldrahmen ist dabei stark gestiegen: Für die in Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße können Bußgelder von bis zu 20 Millionen Euro oder – im Fall eines Unternehmens – bis zu 4 % des gesamten weltweiten Jahresumsatzes verhängt werden. Bei Verstößen von geringerem Ausmaß, die in Art. 83 Abs. 4 DSGVO bestimmt sind, können Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes verhängt werden. Diese Sanktionsandrohung wird gerade bei großen Unternehmen deshalb umso wichtiger, weil der EuGH den Begriff des „Unternehmens“ hier weit versteht: Bei Konzernen kann daher nicht der weltweite Jahresumsatz der konkreten Unternehmenseinheit, sondern vielmehr der gesamte Konzernumsatz die Berechnungsgrundlage darstellen.

Welche Höhe das Bußgeld genau hat, wird durch die zuständige Aufsichtsbehörde unter Berücksichtigung einiger gesetzlich vorgeschriebener Kriterien bemessen. So spielt etwa eine Rolle, ob der Verstoß vorsätzlich begangen wurde, ob rechtzeitig Maßnahmen zur Schadensminimierung getroffen wurden und ob bzw. wie der Verantwortliche mit der Aufsichtsbehörde kooperiert hat. Die deutschen Aufsichtsbehörden nutzen zur konkreten Bemessung der Höhe eine mehrstufige Berechnungsmethode, die die Größe des Unternehmens, die Schwere des Verstoßes und letztlich auch die genannten mildernden oder strafschärfenden Umstände in den Blick nimmt.

Neben den Bußgeldbestimmungen der DSGVO ist insbesondere zu beachten, dass der Verantwortliche nach Art. 82 DSGVO dem Betroffenen für immaterielle Schäden (sprich Nichtvermögensschäden, bspw. Schmerzensgeld) und materielle Schäden (sprich Vermögensschäden) haftet, die aus dem Verstoß gegen die DSGVO entstehen. Dem Wortlaut nach kann dabei jeder Verstoß gegen die Vorschriften der DSGVO zu einer Schadensersatzpflicht führen, sofern der Verantwortliche einen solchen Verstoß zu verschulden hat.

Ergänzend legen die §§ 41 ff. BDSG bei Verstößen nach Art. 83 Abs. 4 bis 6 DSGVO einen Straf- und Bußgeldrahmen fest, wonach wissentliche unberechtigte Weitergaben personenbezogener Daten zu Freiheitsstrafen bis zu drei Jahren oder Geldstrafen führen können.