DSGVO und BDSG (neu): Bußgelder und Sanktionen Teil 3

Fachbeitrag

Neben der Datenschutz-Grundverordnung enthält auch das neue BDSG Regelungen zu Sanktionen, die im Falle eines Verstoßes gegen Datenschutzvorschriften drohen. Hier finden Sie einen Überblick der neuen BDSG Normen.

Sanktionen des neuen BDSG

Das BDSG (neu) wird am 25. Mai 2018 gemeinsam mit der Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Das Gesetz wurde als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen und wird das bisher geltende Bundesdatenschutzgesetz vollständig ersetzen.

Die Datenschutz-Grundverordnung sieht in verschiedenen Öffnungsklauseln eine nähere Ausgestaltung des Rechts durch die Mitgliedstaaten vor. Eine solche besteht auch hinsichtlich von Sanktionen bei Datenschutzverstößen. Neben den in der DSGVO niedergelegten Regelungen zu Bußgeldern und Sanktionen, die wir in unserem Artikel „Datenschutz-Grundverordnung: Bußgelder und Sanktionen Teil 2“ vorgestellt haben, ermächtigt Art. 84 Abs. 1 DSGVO die Mitgliedstaaten zusätzlich, „andere Sanktionen“ für Verstöße gegen die Verordnung festzulegen.

Die Regelungen des BDSG (neu) im Einzelnen

Kapitel 5 des BDSG (neu) „Sanktionen“ enthält ergänzende und flankierende Regelungen hinsichtlich datenschutzrechtlicher Verstöße.

§ 41 BDSG (neu) – Anwendung der Vorschriften über das Bußgeld- und Strafverfahren

Die DSGVO selbst regelt das Straf- und Bußgeldverfahren nicht. Sie sieht in Art. 83 Abs. 8 DSGVO  vor, dass die Mitgliedstaaten angemessene Verfahrensgarantien festlegen. § 41 BDSG (neu) legt den verfahrensrechtlichen Rahmen von Bußgeld-und Strafverfahren fest.

Nach § 41 Abs. 1 BDSG (neu) ist bei Verstößen gegen Artikel 83 Absatz 4 bis 6 DSGVO grundsätzlich das Gesetz über Ordnungswidrigkeiten (OWiG) anwendbar (soweit gesetzlich nichts anderes bestimmt wird).

Für Verfahren wegen eines Verstoßes nach Artikel 83 Absatz 4 bis 6 der Verordnung gelten (soweit gesetzlich nichts anderes bestimmt) nach § 41 Abs. 2 BDSG (neu) die Vorschriften des Gesetzes über Ordnungswidrigkeiten und der allgemeinen Gesetze über das Strafverfahren entsprechend.

§ 42 BDSG (neu) – Strafvorschriften

Art. 84 Abs. 1 DSGVO ermöglicht den Mitgliedstaaten, „andere Sanktionen“ für Verstöße gegen die Verordnung festzulegen.

„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“

§ 42 BDSG (neu) macht hiervon Gebrauch, indem die Norm strafrechtliche Sanktionen für bestimmte Verhaltensweisen vorsieht.

Nach § 42 BDSG Abs. 1 BDSG (neu) wird jemand, der gewerbsmäßig, wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht, ohne hierzu berechtigt zu sein, mit bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe bestraft.

Nach § 42 Abs. 2 BDSG (neu) wird jemand mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe bestraft, wenn er personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

Diese Taten werden gem. § 42 Abs. 3 BDSG (neu) jedoch nur auf Antrag verfolgt.

§ 43 BDSG (neu) – Bußgeldvorschriften

§ 43 BDSG setzt ergänzende Bußgeldvorschriften bei Verstößen gegen § 30 BDSG (neu) fest und richtet sich gegen Stellen, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung verarbeiten.

Die Vorschrift entspricht den Bußgeldtatbeständen des aktuell in Kraft befindlichen § 43 Abs. 1 Nr. 7a und b BDSG, die der Umsetzung des Art. 9 der Verbraucherkreditrichtlinie 2008/48/EG dienen. Der bisherige Bußgeldrahmen von bis zu 50.000 Euro wird in § 43 Abs. 2 BDSG (neu) beibehalten.

DSGVO und nationale Regelungen

Die Datenschutz-Grundverordnung sieht an verschiedenen Stellen Öffnungsklauseln vor, die dem nationalen Gesetzgeber eigene Regelungen ermöglichen, beispielsweise im Bereich des Beschäftigtendatenschutzes oder bei der Benennung des Datenschutzbeauftragten. Um in diesem Zusammenspiel der Normen den Überblick zu behalten, wenden Sie sich am besten an Ihren Datenschutzbeauftragten. Er wird Ihnen helfen, sich trotz des komplexen Normengefüges zurecht zu finden.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. Findet sich nun allein im §42 BDSG neu eine „Möglichkeit“ auch Mitarbeiter des Verantwortlichen oder des Auftragverarbeiters zu bestrafen? Und auch nur, wenn sich diese wiederum gewerblich an personenbezogenen Daten vergreifen. Zumindest erst dann, wenn man die Absicht nachweisen kann, dass er die Daten zum Schaden eines anderen oder zur Bereicherung für sich oder eines anderen verarbeitet hat? Ansonsten sehe ich keine gesetzliche Vorschrift mehr, den Mitarbeiter betreffend.
    Dies finde ich wichtig für die Anpassung meiner Schulungsunterlagen.

    • Die DSGVO richtet sich im Wesentlichen gegen Unternehmen und verfolgt den Ansatz, dass Unternehmen i.d.R. für Verstöße durch Fehlverhalten ihrer Mitarbeiter haften. Es ist demnach Sache des Unternehmens, im Rahmen seiner betrieblichen Organisation dafür zu sorgen, dass datenschutzrechtliche Verstöße unterbleiben. Dabei wird es dem nationalen Gesetzgeber offen gelassen, andere Sanktionen für datenschutzrechtliche Verstöße festzulegen. Dies betrifft insbesondere die Androhung strafrechtlicher Konsequenzen. Allerdings bedeutet dies nicht, dass datenschutzrechtliche Verstöße durch natürliche Personen nicht sanktioniert werden.

      Im Strafrecht gibt es zahlreiche Normen, die datenschutzrechtliche Verstöße sanktionieren (bspw., §§ 201, 203, 206, 303 a StGB oder § 17 UWG). Unbeschadet dessen besteht die Möglichkeit einer zivilrechtlichen Haftung. Auch gibt es in der DSGVO Anhaltspunkte dafür, dass zumindest die Verhängung von Bußgeldern nach Art. 83 Abs. 5 DSGVO sich gegen jedermann (also auch natürliche Personen richten kann (vgl. Erwägungsgrund 148). Inwieweit Mitarbeiter im Rahmen der Mitarbeiter-Haftung im Innenverhältnis regresspflichtig sind, wird sich im Rahmen der Rechtsprechung noch zeigen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.