Zum Inhalt springen Zur Navigation springen
DSGVO und BDSG (neu): Bußgelder und Sanktionen Teil 3

DSGVO und BDSG (neu): Bußgelder und Sanktionen Teil 3

Neben der Datenschutz-Grundverordnung enthält auch das neue BDSG Regelungen zu Sanktionen, die im Falle eines Verstoßes gegen Datenschutzvorschriften drohen. Hier finden Sie einen Überblick der neuen BDSG Normen.

Sanktionen des neuen BDSG

Das BDSG (neu) wird am 25. Mai 2018 gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Das Gesetz wurde als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen und wird das bisher geltende Bundesdatenschutzgesetz vollständig ersetzen.

Die Datenschutz-Grundverordnung sieht in verschiedenen Öffnungsklauseln eine nähere Ausgestaltung des Rechts durch die Mitgliedstaaten vor. Eine solche besteht auch hinsichtlich von Sanktionen bei Datenschutzverstößen. Neben den in der DSGVO niedergelegten Regelungen zu Bußgeldern und Sanktionen, die wir in unserem Artikel „Datenschutz-Grundverordnung: Bußgelder und Sanktionen Teil 2“ vorgestellt haben, ermächtigt Art. 84 Abs. 1 DSGVO die Mitgliedstaaten zusätzlich, „andere Sanktionen“ für Verstöße gegen die Verordnung festzulegen.

Die Regelungen des BDSG (neu) im Einzelnen

Kapitel 5 des BDSG (neu) „Sanktionen“ enthält ergänzende und flankierende Regelungen hinsichtlich datenschutzrechtlicher Verstöße.

§ 41 BDSG (neu) – Anwendung der Vorschriften über das Bußgeld- und Strafverfahren

Die DSGVO selbst regelt das Straf- und Bußgeldverfahren nicht. Sie sieht in Art. 83 Abs. 8 DSGVO  vor, dass die Mitgliedstaaten angemessene Verfahrensgarantien festlegen. § 41 BDSG (neu) legt den verfahrensrechtlichen Rahmen von Bußgeld-und Strafverfahren fest.

Nach § 41 Abs. 1 BDSG (neu) ist bei Verstößen gegen Artikel 83 Absatz 4 bis 6 DSGVO grundsätzlich das Gesetz über Ordnungswidrigkeiten (OWiG) anwendbar (soweit gesetzlich nichts anderes bestimmt wird).

Für Verfahren wegen eines Verstoßes nach Artikel 83 Absatz 4 bis 6 der Verordnung gelten (soweit gesetzlich nichts anderes bestimmt) nach § 41 Abs. 2 BDSG (neu) die Vorschriften des Gesetzes über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren entsprechend.

§ 42 BDSG (neu) – Strafvorschriften

Art. 84 Abs. 1 DSGVO ermöglicht den Mitgliedstaaten, „andere Sanktionen“ für Verstöße gegen die Verordnung festzulegen.

„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“

§ 42 BDSG (neu) macht hiervon Gebrauch, indem die Norm strafrechtliche Sanktionen für bestimmte Verhaltensweisen vorsieht.

Nach § 42 BDSG Abs. 1 BDSG (neu) wird jemand, der gewerbsmäßig, wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht, ohne hierzu berechtigt zu sein, mit bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe bestraft.

Nach § 42 Abs. 2 BDSG (neu) wird jemand mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft, wenn er personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

Diese Taten werden gem. § 42 Abs. 3 BDSG (neu) jedoch nur auf Antrag verfolgt.

§ 43 BDSG (neu) – Bußgeldvorschriften

§ 43 BDSG setzt ergänzende Bußgeldvorschriften bei Verstößen gegen § 30 BDSG (neu) fest und richtet sich gegen Stellen, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung verarbeiten.

Die Vorschrift entspricht den Bußgeldtatbeständen des aktuell in Kraft befindlichen § 43 Abs. 1 Nr. 7a und b BDSG, die der Umsetzung des Art. 9 der Verbraucherkreditrichtlinie 2008/48/EG dienen. Der bisherige Bußgeldrahmen von bis zu 50.000 Euro wird in § 43 Abs. 2 BDSG (neu) beibehalten.

DSGVO und nationale Regelungen

Die Datenschutz-Grundverordnung sieht an verschiedenen Stellen Öffnungsklauseln vor, die dem nationalen Gesetzgeber eigene Regelungen ermöglichen, beispielsweise im Bereich des Beschäftigtendatenschutzes oder bei der Benennung des Datenschutzbeauftragten. Um in diesem Zusammenspiel der Normen den Überblick zu behalten, wenden Sie sich am besten an Ihren Datenschutzbeauftragten. Er wird Ihnen helfen, sich trotz des komplexen Normengefüges zurecht zu finden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Findet sich nun allein im §42 BDSG neu eine „Möglichkeit“ auch Mitarbeiter des Verantwortlichen oder des Auftragverarbeiters zu bestrafen? Und auch nur, wenn sich diese wiederum gewerblich an personenbezogenen Daten vergreifen. Zumindest erst dann, wenn man die Absicht nachweisen kann, dass er die Daten zum Schaden eines anderen oder zur Bereicherung für sich oder eines anderen verarbeitet hat? Ansonsten sehe ich keine gesetzliche Vorschrift mehr, den Mitarbeiter betreffend.
    Dies finde ich wichtig für die Anpassung meiner Schulungsunterlagen.

    • Die DSGVO richtet sich im Wesentlichen gegen Unternehmen und verfolgt den Ansatz, dass Unternehmen i.d.R. für Verstöße durch Fehlverhalten ihrer Mitarbeiter haften. Es ist demnach Sache des Unternehmens, im Rahmen seiner betrieblichen Organisation dafür zu sorgen, dass datenschutzrechtliche Verstöße unterbleiben. Dabei wird es dem nationalen Gesetzgeber offen gelassen, andere Sanktionen für datenschutzrechtliche Verstöße festzulegen. Dies betrifft insbesondere die Androhung strafrechtlicher Konsequenzen. Allerdings bedeutet dies nicht, dass datenschutzrechtliche Verstöße durch natürliche Personen nicht sanktioniert werden.

      Im Strafrecht gibt es zahlreiche Normen, die datenschutzrechtliche Verstöße sanktionieren (bspw., §§ 201, 203, 206, 303 a StGB oder § 17 UWG). Unbeschadet dessen besteht die Möglichkeit einer zivilrechtlichen Haftung. Auch gibt es in der DSGVO Anhaltspunkte dafür, dass zumindest die Verhängung von Bußgeldern nach Art. 83 Abs. 5 DSGVO sich gegen jedermann (also auch natürliche Personen richten kann (vgl. Erwägungsgrund 148). Inwieweit Mitarbeiter im Rahmen der Mitarbeiter-Haftung im Innenverhältnis regresspflichtig sind, wird sich im Rahmen der Rechtsprechung noch zeigen.

  • Damit fände in Deutschland Art. 83 Abs. 4 DSGVO keine Anwendung mehr? Stattdessen bei nahezu allen relevanten Verstößen gegen die DSGVO nur noch das Gesetz über Ordnungswidrigkeiten (OWiG)? Damit sind die drakonischen Strafen von bis zu 20.000.00 € oder 4% Jahresumsatz für deutsche Unternehmen per se vom Tisch und es drohen maximal die altbekannten 50.000 € (zusätzlich natürlich ein paar Freiheitsstrafen für besondere Tatbestände, die aber garantiert nie verhängt werden)? Damit hätte man, aus Sicht der Wirtschaft, die DSGVO zur Lachnummer degradiert. Niemand in der Wirtschaft reagiert, bevor es ihn/sie nicht real einen gehörigen Anteil seiner Gewinne kostet und das Risiko einer Sanktionierung groß genug ist (es muss schon deutlich größer sein, als die Chance im Lotto zu gewinnen).

    Ich hoffe sehr, ich habe die unnötig verkomplizierten Regelungen nach BDSG (neu) nur falsch verstanden…

    • Die Vorschriften der DSGVO und die dort enthaltenen Bußgelder entfalten in den Mitgliedstaaten unmittelbare Wirkung und sind somit direkt anwendbar.
      Die zusätzlichen Regelungen des neuen BDSG sind Ausdruck der Öffnungsklausel des Art. 84 DSGVO und gelten zusätzlich zu den Regelungen der DSGVO. Somit können die Bußgelder der DSGVO verhängt werden. Lediglich das Verfahren wird im OWiG geregelt.

  • Wo bleiben die Vorschriften für unrechtmäßige, private Videoüberwachungen etwa der Nachbarn?
    Gibt es die alten Tatbestände aus dem BDSG nicht mehr?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.