Bußgelder wegen Nichteinhaltung der DSGVO: Schonfrist geht zu Ende

veröffentlicht am 31. Januar 2019

[Quelle: Handelsblatt online, 18. Januar 2019]

Die Datenschutzbehörden der Länder gehen von Belehrungen zu Bußgeldern über. Lt. Handelsblatt sind in 41 Fällen Bußgeldbescheide ergangen. Die Gesundheitsbranche ist dabei besonders im Fokus. Im Innenverhältnis droht für die gesetzlichen Vertreter bei Organisationsmängeln auch eine persönliche Schadensersatzpflicht.

Die Bußgeldandrohungen der seit Mai 2018 wirksamen Datenschutzgrundverordnung bedeuten für die Unternehmen der Gesundheits- und Sozialwirtschaft mittelfristig ernstzunehmende finanzielle Risiken. Nach Art. 83 Abs. 5 DSGVO drohen beispielsweise Geldbußen von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs u.a. bei Verstößen gegen die Grundsätze der Verarbeitung oder bei Missachtung der Betroffenenrechte. Für weniger schwere Verstöße wie beispielsweise datenschutzunfreundliche Voreinstellungen, kein vorliegendes Verarbeitungsverzeichnis, fehlende Vereinbarungen zur Auftragsverarbeitung oder fehlende Datenschutzfolgenabschätzungen werden in Art. 83  Abs. 4 DSGVO Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes angedroht.

Aus einer aktuellen Umfrage des Handelsblattes unter den Datenschutzaufsichtsbehörden geht hervor, dass bis Mitte Januar 2019 in Deutschland insgesamt offenbar in 41 Fällen Bußgelder wegen DSGVO-Verstößen verhängt wurden. Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, sagte dem Handelsblatt: „Für eine Übergangszeit habe ich mich dazu entschlossen, zurückhaltend mit dem Verhängen von Sanktionen zu sein. Manchmal können insoweit Bußgeldverfahren mehr hemmen als befördern. Auf meine Zurückhaltung sollten sich die öffentlichen Wettbewerbsunternehmen allerdings nicht vorbehaltlos verlassen.” Der Bayerische Landesbeauftragte für den Datenschutz habe bereits einige Kliniken bei erheblichen Verstößen gewarnt, dass sie im Wiederholungsfall eines Verstoßes mit Bußgeldern zu rechnen hätten, schreibt das Handelsblatt weiter.

Dass es allmählich wirklich ernst wird, belegen auch die Zahlen. Das Handelsblatt schreibt aktuell, dass derzeit allein beim Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) derzeit 85 Bußgeldverfahren nach der DSGVO anhängig seien.

Für Datenschutzverstöße gilt wie für alle Rechtsgebiete, dass die gesetzlichen Vertreter dafür verantwortlich sind, Maßnahmen zu ergreifen, um das rechtskonforme Verhalten der Organisation zu gewährleisten. Anderenfalls besteht der Verdacht auf ein sogenanntes Organisationsverschulden. Bei typischen bußgeldrelevanten Sachverhalten müssen Vorstände oder Geschäftsführer daher auch damit rechnen, dass sie durch den Träger der Einrichtung für ein verhängtes Bußgeld in Regress genommen werden. Dies kann beispielsweise ein fehlendes Verarbeitungsverzeichnis, fehlende Vereinbarungen zur Auftragsverarbeitung oder auch schwere organisatorische Mängel betreffen, also u.a. nicht erfolgte Mitarbeiterschulungen. Die Haftung trifft grundsätzlich auch diejenigen gesetzlichen Vertreter, die lediglich ehrenamtlich tätig sind, z.B. ehrenamtliche Vorstände eines e.V.