Bußgelder und Konsequenzen

Auf Grund vieler Nachfragen zu dem Thema bei unseren Vertriebsgesprächen haben wir uns entschlossen (obwohl wir das Gewinnen von Kunden über Ängste vor Bußgeldern ablehnen) hier eine Übersicht über Bußgeldtatbestände und andere Konsequenzen im Datenschutz zu geben.

Allgemeines

Grundsätzlich gilt im Datenschutz, dass niemand „100% Datenschutz“ erfüllen kann. An vielen Stellen ist Datenschutz ein Kompromiss und viele Regelungen lassen gewissen Spielraum zu. Auch ist das Bild einer mit Bußgeldbescheiden um sich werfenden Datenschutzaufsichtsbehörde grundlegend falsch. Sowohl unser eigenes Bestreben als auch das der Aufsichtsbehörden ist die Steigerung des Datenschutzniveaus. Hierbei liefern die Aufsichtsbehörden wertvolle Beratungsfunktionen, Arbeitshilfen und Unterstützung. Natürlich gibt es einfach gewisse Tatbestände, die ein Bußgeld auslösen, aber auch dieses ist nicht so hoch wie die nachfolgend genannten Maximalwerte, sondern angepasst an die Betriebsgröße. Nichtsdestotrotz wird es aber immer wirksam und abschreckend ausfallen, da dies von Seiten der EU-DSGVO so gefordert wird.

Bußgeldtatbestände im Datenschutz

Die Bußgeldtatbestände teilen sich in zwei Gruppen auf. Einmal die Tatbestände mit einem Bußgeld von bis zu 10.000.000 Euro (bzw. 2% vom Vorjahresumsatz, falls höher) und die Tatbestände mit einer Größe von bis zu 20.000.000 Euro (bzw. 4%).

Bis zu 10.000.000 Euro  fallen an bei Verstößen gegen:

  • Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43
  • Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43
  • die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4

Bis zu 20.000.000 Euro fallen an bei Verstößen gegen:

  • die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9
  • die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22
  • die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49
  • alle Pflichten gemäß den Rechtsvorschriften der Mitgliedsstaaten, die im Rahmen des Kapitels IX erlassen wurden
  • eine Anweisung oder eine vorübergehende oder endgültige Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2
  • Verstoß gegen Artikel 58 Absatz 1 (Nichtgewährung des Zugangs)
  • eine Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2

Anordnungen der Aufsichtsbehörden

Die Datenschutzaufsichtsbehörden haben eine sogenannte Abhilfebefugnis. Dies bedeutet, dass sie Verwarnungen und Tadel aussprechen dürfen. Sie können Anweisungen und Anordnungen zu Datenverarbeitungen und Schutz der Daten erlassen und Datenverarbeitungen vollständig oder in Teilen verbieten.

Zivilrechtliche Haftung

Grundsätzlich haftet der Verarbeiter sowohl für materielle als auch immaterielle Schäden des Betroffenen. Hierbei ist neu, dass die Geldentschädigung nicht wie bisher auf schwere Eingriffe beschränkt ist, sondern unbeschränkt gilt. Bei der Feststellung des Schadenseintritts gilt die Schuldvermutung mit Beweislastumkehr, d.h. es wird immer angenommen, dass der Verarbeiter die Schuld trägt, bis er das Gegenteil dargelegt hat.

Strafrechtliche Haftung

Die strafrechtliche Haftung muss auf nationaler Ebene festgelegt werden. Hier gibt es bisher nur Gesetzesentwürfe.

Abmahnungen

Da die Verarbeitung von Daten und die damit verbundenen einzuhaltenden Regeln durchaus Einfluss auf die Wettbewerbsfähigkeit haben, besteht bei Verstößen, die einen Wettbewerbsvorteil bieten, der Anspruch, einen Mitbewerber abzumahnen.

Verbandklagerecht

Verbände dürfen sowohl im Auftrag eines Betroffenen als auch ohne diesen gegen Datenschutzverstöße klagen.