13
Jun
2016

Datenschutz und IT-Recht

Preview Datenschutz-Grundverordnung Teil 1: „The honeymoon is over“ – Neue Höchstgrenzen für Bußgelder

Dr. Frank Bongers

Datenschutzfragen stehen für viele Unternehmen bisher nicht ganz oben auf der Prioritätenliste. Daran haben die bisher bestehenden Bußgeldandrohungen des Bundesdatenschutzgesetzes (BDSG) wenig geändert. Die Datenschutz-Grundverordnung (DS-GVO) setzt jedoch neue Maßstäbe. Das höchstmögliche Bußgeld für den einzelnen Datenschutzverstoß erhöht sich um ca. das 66-fache und kann bei Unternehmen mit einem hohen weltweiten Jahresumsatz sogar darüber hinausgehen. Mit diesem Blog-Beitrag beginnt eine Serie, mit der wir Sie über die wesentlichen Neuerungen der DS-GVO regelmäßig informieren werden.

Was gilt bisher?

Bereits bisher können Verstöße gegen die Vorschriften des BDSG mit empfindlichen Geldbußen geahndet werden. Für den Fall einer rechtswidrigen Datenverarbeitung kann das Bußgeld bis zu EUR 300.000,00 betragen. Das Gleiche gilt für zahlreiche weitere Fälle wie z. B. den Verstoß gegen Melde- und Benachrichtigungspflichten im Fall von Datenverlusten. Ein Katalog dieser Ordnungswidrigkeitstatbestände findet sich in § 43 Abs. 2 BDSG. Daneben gibt es einen weiteren Katalog von Ordnungswidrigkeitstatbeständen, dessen Verwirklichung mit einem Bußgeld von bis zu EUR 50.000,00 geahndet werden kann (§ 43 Abs.1 BDSG). Zu diesen Ordnungswidrigkeiten zählen z. B. die nicht rechtzeitige Bestellung eines betrieblichen Datenschutzbeauftragten oder die unzureichende Gestaltung eines Vertrages über Auftragsdatenverarbeitung. Die Geldbußen beider Kategorien sollen den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Sofern die vorgenannten Höchstbeträge dazu nicht ausreichen, können sie sogar überschritten werden.

Daneben kommen nach dem BDSG Freiheits- und Geldstrafen in Betracht. Strafbar ist z. B. eine vorsätzliche Datenschutzrechtsverletzung, die gegen Entgelt oder in der Absicht erfolgt, sich oder einen anderen zu bereichern. Das Gleiche gilt, wenn die Daten rechtswidrig verarbeitet werden, um einen anderen zu schädigen. In Betracht kommen dann Freiheitsstrafen bis zu zwei Jahren oder Geldstrafen.

Was bringt die Zukunft?

Die Datenschutz-Grundverordnung (DS-GVO) enthält neue Ordnungswidrigkeitstatbestände, die die Regelungen über Geldbußen nach dem BDSG verdrängen werden. In Bezug auf das Strafrecht bleibt es bei der Zuständigkeit der jeweiligen nationalen Gesetzgeber. Die Strafandrohung bzgl. Freiheits- und Geldstrafen wird also durch die DS-GVO nicht berührt.

Im Bereich der Geldbußen regelt Art. 83 DS-GVO wie das § 43 BDSG zwei Kategorien von Geldbußen. Wer gegen die in der DS-GVO niedergelegten Grundsätze der Datenverarbeitung verstößt und insbesondere Daten rechtswidrig verarbeitet oder wer z. B. die Rechte der Betroffenen (z. B. die Rechte auf Informationen, Auskunft oder Datenlöschung) verletzt, muss künftig mit einer Geldbuße bis zu EUR 20 Mio. oder – wenn der Verantwortliche ein Unternehmen ist – mit einer Geldbuße i. H. v. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres rechnen. Bei der Frage, ob sich das Bußgeld an der 20-Millionen-Grenze oder an dem Jahresumsatz orientiert, muss sich die Aufsichtsbehörde an dem Wert orientieren, der höher ist.

Auch in der zweiten Kategorie von Verstößen, die als weniger schwerwiegend angesehen werden, ist das Bußgeld potenziell immens. Es kann bis zu EUR 10 Mio. oder – wenn es sich um ein Unternehmen handelt – bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres betragen. In diese Kategorie fallen z. B. Verletzungen der datenschutzrechtlicher Vorschriften bei der Gestaltung von Auftragsverarbeitungen, das Nichtführen eines Verfahrensverzeichnisses oder die Implementierung unzureichender Datensicherungsmaßnahmen.

Nachdem bei den deutschen Aufsichtsbehörden zuletzt schon die Tendenz erkennbar war, von den Möglichkeiten, Rechtsverletzungen mit Bußgeldern zu ahnden, verstärkt Gebrauch zu machen, werden die Aufsichtsbehörden künftig nicht umhin kommen, insbesondere in Bezug auf die Höhe von Bußgeldern den neuen Höchstgrenzen Rechnung zu tragen.

In den Fällen, in denen die deutschen Aufsichtsbehörden bereits in der Vergangenheit den Höchstrahmen ausgenutzt haben, bedeutet dies, dass in vergleichbaren Fällen tatsächlich Bußgelder bis zu EUR 20 Mio zu erwarten sind. Aber auch weniger schwerwiegende Pflichtverletzungen werden im Rahmen der DS-GVO künftig entsprechend dem neuen Bußgeldrahmen härter sanktioniert werden.

Das bedeutet, dass die Unternehmen die Datenschutz-Compliance sicherstellen müssen, um das Unternehmen vor erheblichen Risiken zu schützen. Damit steigt auch das Risiko von Vorstandsmitgliedern, Geschäftsführern und sonstigen für den Datenschutz Verantwortlichen, persönlich zu haften. Sie können zum einen selbst Adressat von Bußgeldbescheiden werden. Zum anderen kommen Schadensersatzansprüche des in Anspruch genommenen Unternehmens gegenüber verantwortlichen Personen in Betracht.

Der potentielle Umfang dieser Schadensersatzansprüche steigt entsprechend dem gestiegenen Risiko des Unternehmens.

Siehe auch:

» zur Übersicht