Dipl.-Volksw. Fritz Schmidt

Zusammenfassung

 
Überblick

Sanktionen bei Datenschutzverstößen können sich auf öffentlich-rechtlicher (Geldbußen und Freiheitsstrafen) oder privatrechtlicher Grundlage (Schadenersatz wegen immaterieller Schäden) ergeben.

1 Allgemeines

Selbst wenn eine Bußgeld- oder eine Schadenersatzforderung wegen behaupteter immaterieller Schäden erfolgreich abgewehrt werden kann, werden doch zeitliche Kapazitäten gebunden. Eine Verurteilung führt dann auch noch zu finanziellen Einbußen. Unternehmen sollten deshalb bereits im Vorfeld versuchen, solchen Forderung vorzubeugen. Wichtig ist hierzu in erster Linie

  • ein Datenschutzmanagement einzurichten, mit dem sichergestellt ist, dass die datenschutzrechtlichen Verpflichtungen eingehalten werden (vgl. DSGVO-Pflichten für Unternehmen) und die Mitarbeiter in Bezug auf den Datenschutz zu sensibilisieren und zu schulen.
  • Auskunftsersuchen von Betroffenen und Aufsichtsbehörden sollten ernst genommen und zügig bearbeitet werden.
  • Bei Anfragen der Aufsichtsbehörden sollte eine Konfrontationsstellung vermieden werden, um nicht den Eindruck der Kooperationsverweigerung ("das Unternehmen hat etwas zu verbergen") zu erwecken. Sofern die Aufsichtsbehörde datenschutzrechtliche Missstände feststellt, sind diese zeitnah zu beheben.

Sanktionen aus Datenschutzverstößen

2 Öffentlich-rechtliche Sanktionen

2.1 Geldbußen (Art. 83 DSGVO)

Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen geahndet werden. Gemäß Art. 55 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland entscheiden also die deutschen Aufsichtsbehörden über die Verhängung von Geldbußen und ggf. weiterer Sanktionen. Aufgrund des föderalen Aufbaus sind dies die jeweiligen Aufsichtsbehörden der Länder.

Die Höhe der Sanktionen ist nach der Schwere des begangenen Verstoßes zu bestimmen.

2.1.1 Sanktionen nach Art. 83 Abs. 4 DSGVO

Es können Geldbußen in Höhe von bis zu 10 Mio. EUR bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (Art. 83 Abs. 4 DSGVO), wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann.

Mögliche Verstöße, die mit einem Bußgeld geahndet werden können, sind z. B.:

  • unzulässige Weitergabe personenbezogener Daten,
  • unzulässige Speicherung personenbezogener Daten,
  • Verstoß gegen die Regelungen der Auftragsverarbeitung (Art. 28 und 29 DSGVO),
  • fehlendes oder fehlerhaftes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO),
  • unzureichende technische und organisatorische Maßnahmen (Sicherheit der Verarbeitung, Art. 32 DSGVO),
  • keine oder zu späte Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO),
  • keine oder verspätete Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DSGVO),
  • fehlende oder fehlerhafte Benennung eines Datenschutzbeauftragten, sofern eine Pflicht zur Benennung besteht (Art. 37 bis 39 DSGVO).

2.1.2 Schwerwiegende Verstöße nach Art. 83 Abs. 5 und Abs. 6 DSGVO

Bei besonders schwerwiegenden Verstößen, darunter Verstöße gegen die Datenverarbeitungsgrundsätze und gegen die Betroffenenrechte oder im Fall einer Verarbeitung ohne Rechtsgrundlage, sind Geldbußen in Höhe von bis zu 20 Mio. EUR oder bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 DSGVO) möglich, wobei der jeweils höhere Betrag als maximale Buße verhängt werden kann.

Relevant sind u. a. Verstöße gegen folgende Regelungen:

  • Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO),
  • Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO),
  • Bedingungen für die Einwilligung, keine ausreichende Dokumentation der Einwilligung (Art. 7 DSGVO),
  • Verarbeitung besonderer Kategorien personenbezogener Daten, fehlende Einwilligung oder Erforderlichkeit der Verarbeitung (Art. 9 DSGVO).
  • Verstöße gegen die Anweisungen der Aufsichtsbehörde (Art. 83 Abs. 5 lit. e)
  • Zugangsverweigerung gegenüber der Aufsichtsbehörde (Art. 83 Abs. 5 lit. e)

  • Verstöße gegen die Rechte der Betroffenen nach Art. 83 Abs. 5 lit. b DSGVO:

    • keine transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO),
    • Verletzung der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),
    • Verletzung der Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),
    • Verletzung der Auskunftsrecht der betroffenen Person (Art. 15 DSGVO),
    • Verletzung des Rechts auf Berichtigung (Art. 16 DSGVO),
    • Verletzung des Rechts auf Löschung /"Recht auf Vergessenwerden" (Art. 17 DSGVO),
    • Verletzung des Rechts auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
    • Verletzung der Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO),
    • Verletzung des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO),
    • Verletzung des Widerspruchsrechts (Art. 21 DSGVO).

2.1.3 Bemessung der Bußgelder (Art. 83 DSGVO)

Bei der Bemessung der Bußgelder gilt der Grundsatz, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein m...

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis Gold. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge