Entwurf konkretisiert persönliche Haftung bei Datenschutzverstößen

gesetz 16
Fachbeitrag

Groß war der Schreck, als bekannt wurde, dass künftig nach der Datenschutz-Grundverordnung (DSGVO) die Datenschutzverletzungen mit Bußgelder bis zur Höhe von 20 Mio. Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden können. Der uns vorliegende Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) regelt nunmehr, dass die Höhe des Bußgeldes für Datenschutzverstöße in Deutschland nach dem neuen Allgemeinen Bundesdatenschutzgesetz (ABDSG) auf 300.000 EUR beschränkt werden soll. Für wen gilt diese Beschränkung?

Allgemeines Bundesdatenschutzgesetz (ABDSG)

Der Entwurf des DSAnpUG-EU sieht den Erlass eines Allgemeinen Bundesdatenschutzgesetzes (ABDSG) in Deutschland vor, das für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen gilt. Sowohl die DSGVO als auch das ABDSG bringen Änderungen im Datenschutzrecht mit sich, auch im Bereich Sanktionen. In unserem Blog haben wir die Bußgeldvorschriften der DSGVO bereits ausführlich dargestellt. In diesem Artikel werden wir daher nur auf die Änderungen eingehen, welche sich nach einem ersten Entwurf des ABDSG in Deutschland ergeben könnten, um eine allgemeine Diskussion der Öffentlichkeit zu diesem Vorschlag zu fördern.

Sanktionen nach dem DSGVO

Die Vorschriften zu Sanktionen sind in der DSGVO in Art. 83 und Art. 84 geregelt. Diese Vorschriften gelten für

  • Unternehmen mit Sitz in der EU;
  • Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten.

Die DSGVO enthält keine Regelungen zur Verantwortlichkeit von natürlichen Personen bei Datenschutzverstößen, wie dies nach dem BDSG aktuell noch der Fall ist. Ebenso fehlen in der DSGVO die Regelungen zum Bußgeldverfahren an sich. Die Begründung zum ABDSG besagt, dass es in Deutschland bei den bisherigen Grundzügen des datenschutzrechtlichen Bußgeldverfahrens bleiben soll.

Beschränkung der Bußgeldhöhe in Deutschland auf 300.000 Euro?

Laut dem Entwurf zum ABDSG soll in Deutschland nun unter anderem folgende Regelung eigenführt werden (§ 42 Absatz 1 ABDSG):

(1) Ordnungswidrig handelt, wer in Ausübung seiner Tätigkeit für den Verantwortlichen oder Auftragsverarbeiter vorsätzlich oder fahrlässig gegen Artikel 83 Absatz 4, 5 oder 6 der Verordnung (EU) 2016/679 [Red. DSGVO] verstößt. § 8 und §§ 10 bis 16 des Gesetzes über Ordnungswidrigkeiten finden Anwendung. Die Ordnungswidrigkeit kann im Fall des Satzes 1 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden.

Durch diese Regelung könnte zunächst der Eindruck geweckt werden, dass in Deutschland künftig die Höhe der Bußgelder bei Datenschutzverstößen allgemein auf 300.000 Euro beschränkt werden soll.

Beschränkung gilt nur für natürliche Personen

Die Erwägungsgründe zu § 42 Abs. 1 ABDSG beziehen sich auf die Eröffnungsklausel in Art. 84 Abs. 1 DSGVO:

Absatz 1 greift die bisher geltende Rechtslage auf, nach der Geldbußen auch gegenüber Mitarbeitern öffentlicher Stellen oder nicht-öffentlicher Stellen möglich waren. Die Öffnungsklausel hierfür bietet Art. 84 Absatz 1 der Verordnung (EU) 2016/679 [Red. DSGVO]: Danach legen die Mitgliedstaaten „insbesondere für Verstöße, die keiner Geldbuße gemäß Art. 83 unterliegen“, Vorschriften über Sanktionen fest. Verstöße durch Mitarbeiter unterliegen keiner Geldbuße gemäß Art. 83 DSGVO, da dieser nur Verantwortliche und Auftragsverarbeiter erfasst. (…) Die Mögliche Bußgeldhöhe wird in Absatz 1 Satz 3 entsprechend § 43 Absatz 1 Satz 3 a.E. BDSG auf bis zu dreihunderttausend EUR beschränkt.

Damit ist klargestellt, dass

  • die Bußgeldtatbestände nach Art. 83 Abs. 4, 5 oder 6 DSGVO auch für die natürlichen Personen, die sich bei einem vom Unternehmen begangenen Datenschutzverstoß beteiligt haben, gelten sollen (z.B. Geschäftsführer, Vorstand, Datenschutzbeauftragter, etc.) und
  • die Beschränkung von 300.000 EUR sich nur auf diese natürlichen Personen bezieht.

Für Unternehmen sollen bezüglich der Höhe des Bußgeldes weiterhin die Bußgeldregelungen der DSGVO gelten.

8 Kommentare zu diesem Beitrag

  1. Es geht um Datenschutzbeauftragte der Länder. Haften die auch bei Untätigkeit? Wo finde ich etwas darüber, es geht um die Zeit vor 2010.
    Danke
    MfG

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.