Sanktionen bei Datenschutzverstößen

Zusammenfassung

Überblick

Sanktionen bei Datenschutzverstößen können sich auf öffentlich-rechtlicher (Geldbußen und Freiheitsstrafen) oder privatrechtlicher Grundlage (Schadenersatz wegen immaterieller Schäden) ergeben.

1 Allgemeines

Selbst wenn eine Bußgeld- oder eine Schadenersatzforderung wegen behaupteter immaterieller Schäden erfolgreich abgewehrt werden kann, werden doch zeitliche Kapazitäten gebunden. Eine Verurteilung führt dann auch noch zu finanziellen Einbußen. Unternehmen sollten deshalb bereits im Vorfeld versuchen, solchen Forderung vorzubeugen. Wichtig ist hierzu in erster Linie

• ein Datenschutzmanagement einzurichten, mit dem sichergestellt ist, dass die datenschutzrechtlichen Verpflichtungen eingehalten werden (vgl. DSGVO-Pflichten für Unternehmen) und die Mitarbeiter in Bezug auf den Datenschutz zu sensibilisieren und zu schulen.
• Auskunftsersuchen von Betroffenen und Aufsichtsbehörden sollten ernst genommen und zügig bearbeitet werden.
• Bei Anfragen der Aufsichtsbehörden sollte eine Konfrontationsstellung vermieden werden, um nicht den Eindruck der Kooperationsverweigerung ("das Unternehmen hat etwas zu verbergen") zu erwecken. Sofern die Aufsichtsbehörde datenschutzrechtliche Missstände feststellt, sind diese zeitnah zu beheben.

Sanktionen aus Datenschutzverstößen

2 Öffentlich-rechtliche Sanktionen

2.1 Geldbußen (Art. 83 DSGVO)

Verstöße gegen die Datenschutz-Grundverordnung können mit Geldbußen geahndet werden. Gemäß Art. 55 DSGVO ist jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. In Deutschland entscheiden also die deutschen Aufsichtsbehörden über die Verhängung von Geldbußen und ggf. weiterer Sanktionen. Aufgrund des föderalen Aufbaus sind dies die jeweiligen Aufsichtsbehörden der Länder.

Die Höhe der Sanktionen ist nach der Schwere des begangenen Verstoßes zu bestimmen.

2.1.1 Sanktionen nach Art. 83 Abs. 4 DSGVO

Es können Geldbußen in Höhe von bis zu 10 Mio....