Datenschutz-Grundverordnung: Bußgelder und Sanktionen

geld 08
Fachbeitrag

Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung und gibt einen komprimierten Überblick über die Bußgelder und sonstige Sanktionen, die Sie bei Nichteinhaltung der Vorschriften treffen können.

Wo stehen die Regelungen zu Sanktionen in der DSGVO?

Die Vorschriften zu Sanktionen sind in den Artikel 83 und 84 zu finden. Strafrechtliche Sanktionen sollen von den einzelnen Mitgliedsstaaten selber festgelegt werden.

Wer wird von den Regelungen erfasst?

Unabhängig davon, ob sie ihre Leistungen entgeltlich oder unentgeltlich erbringen:

  • Unternehmen mit Sitz in der EU
  • Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten

Der Begriff “Unternehmen” im Vergleich

Unternehmen im Sinne des BDSG

Ein Unternehmen im Sinne des BDSG ist eine einzelne juristische Person, z. B. eine GmbH. Die jeweilige juristische Person bzw. Personengesellschaft wird als eigenständige verantwortliche Stelle angesehen. Auch bei Unternehmensgruppen wird nicht der Konzern als solcher als Unternehmen und damit verantwortliche Stelle angesehen, sondern jede einzelne Konzerngesellschaft für sich. Es gibt kein Konzernprivileg, aber auch keine Konzernhaftung.

Unternehmen im Sinne der EU-DSGVO

Bei Bußgeldern gilt zukünftig der Begriff des Unternehmens i.S.d. Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Nach der ständigen Rechtsprechung des EuGH ist der weite, funktionale Unternehmensbegriff:

  • Ein Unternehmen ist jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen i.S.e. Rechtssubjekts, sondern aus mehreren, natürlichen oder juristischen Personen bestehen.
  • Vergleichbar mit dem Unternehmensbegriffs des europäischen Kartellrechts.

Es wird also nicht mehr am Rechtssubjekt angeknüpft, sondern am Marktverhalten der wirtschaftlichen Einheit insgesamt. Damit kann ein ganzer Konzern als ein Unternehmen behandelt werden. Der gesamte Konzernumsatz bildet dann den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz.

Welche Bußgelder können auf ein Unternehmen zukommen?

Bußgeldvorschrift nach dem BDSG

Derzeit sind nach § 43 BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die strafrechtlichen Sanktionen sind aktuell in § 44 BDSG geregelt.

Bußgeldvorschrift nach der EU-DSGVO

Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.

Wie wird das Bußgeld bemessen?

Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 (a) bis (k) DSGVO.

Welche Bemessungskriterien beinhaltet der Katalog des Art. 83?

  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • die getroffenen Maßnahmen zur Minderung des  entstandenen Schadens
  • Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
  • Einhaltung früher angeordneter Maßnahmen
  • Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste

Welche sonstigen Sanktionen können auf ein Unternehmen zukommen?

  • Gewinnabschöpfung
  •  Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2, z.B. Rüge; Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen; zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung.

Ist das eine abschließende Regelung?

Nein, es obliegt gemäß Art. 84 den Mitgliedsstaaten, weitere Strafvorschriften und strafrechtliche Sanktionen einzuführen. Sie müssen lediglich „wirksam, verhältnismäßig und abschreckend“ sein. In dem Bereich wird dann nationales Recht gelten.

Des Weiteren enthält die DSGVO eine Öffnungsklausel bezüglich der Frage, ob Bußgelder auch für Behörden oder öffentliche Einrichtungen verhängt werden können. Dies wird vollständig in die Verantwortung der Mitgliedstaaten gelegt, ohne dass die DSGVO einen Rahmen vorgeben würde.

Wer verhängt Sanktionen und Bußgelder?

Gemäß Art. 55 ist grundsätzlich jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig, d.h. in Deutschland sind die deutschen Aufsichtsbehörden zuständig. Es gibt aber noch die federführende Behörde gemäß Art. 56, 60 bei internationalen Datentransfers.

Wie kommt ein ahndungswürdiger Sachverhalt ans Licht?

  • durch proaktive Überprüfungstätigkeit der Aufsichtsbehörden
  • durch einen unzufriedenen Mitarbeiter, der sich bei der Aufsichtsbehörde beschwert
  • durch Kunden oder potentielle Kunden, die eine Meldung bei der Aufsichtsbehörde machen
  • durch Selbstanzeige des Unternehmens
  • durch die Presse im Allgemeinen, insbesondere auch Investigativjournalismus

Wie kann man vorbeugen?

Ein Unternehmen sollte sich professionell datenschutzrechtlich beraten lassen und regelmäßige Compliance-Audits durchführen. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse sollten dokumentiert werden.

Wir weisen darauf hin, dass die Endversion der Grundverordnung bislang nicht veröffentlicht wurde und sich deshalb auch noch Änderungen an dem hier zitierten Gesetzestext ergeben können. Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.