Sanktionen in der DSGVO: Möglichkeiten und Durchsetzung

PrintMailRate-it

zuletzt aktualisiert am 22. Mai 2019


Mit der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) wurde der Bußgeldrahmen für Verstöße im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) signifikant erweitert. War bisher die Verhängung einer Geldbuße von max. 300.000 Euro möglich, so können nun Geldbußen im Fall von Art. 83 Abs. 4 DSGVO von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden – je nachdem, welcher Betrag höher ist.


 




Dabei ist der Unternehmensbegriff der DSGVO weit gehalten und nimmt auf den kartellrechtlichen Unternehmensausdruck Bezug. Ein Unternehmen ist demnach jede eine wirtschaftliche Tätigkeit ausübende Einheit, was dazu führt, dass Geldbußen nicht nur gegen die datenschutzwidrig handelnde Gesellschaft verhängt werden können, sondern auch auf den Konzern ausgedehnt werden können. Das hat zur Folge, dass, auch wenn der Verstoß von einer rechtlich selbstständigen Tochtergesellschaft begangen wurde, es möglich ist, der Muttergesellschaft eine Geldbuße aufzuerlegen.


Die Aufsichtsbehörden und ihre Aufgaben

Angesichts des hohen Bußgeldrahmens kommt den Datenschutzbehörden eine große Bedeutung zu. Alle Mitgliedsstaaten haben gemäß Art. 51 DSGVO unabhängige Aufsichtsbehörden einzurichten, deren Aufgaben in Art. 57 DSGVO definiert werden. Insbesondere sind sie zuständig für die Anwendung der Verordnung und deren Durchsetzung.

Die DSGVO regelt darüber hinaus auch die Zusammenarbeit und Abstimmung der nationalen Aufsichts­behörden. Dadurch soll die einheitliche Anwendung und in der Folge eine höhere Rechtssicherheit erreicht werden. Allerdings kann es gerade bei grenzüberschreitenden Verfahren zu einer nicht unerheblichen Verzögerung führen.


Befugnisse der Datenschutzbehörden

Grundsätzlich haben Datenschutzbehörden gegenüber Unternehmen vielfältige Kompetenzen. Ein umfang­reiches Auskunftsrecht ergibt sich aus Art. 58 Abs. 1 lit. a DSGVO und § 40 Abs. 4 S. 1 BDSG, das in der Praxis u.a. durch die Versendung von Fragebögen umgesetzt wird.

Während Unternehmen verpflichtet sind, Auskunftsersuchen von Datenschutzbehörden zu beantworten, ist die Durchsetzung der Sanktionen in der DSGVO nicht näher geregelt und unterliegt damit weiterhin dem jeweiligen nationalen Recht. In Deutschland richtet sie sich somit nach dem Verwaltungsvollstreckungs­gesetz, das für diese Fälle verschiedene Zwangsmittel wie die Verhängung von Zwangsgeldern vorsieht.

Die Aufsichtsbehörden können auch gegenüber Behörden Anordnungen erlassen, um bspw. eine rechts­widrige Datenverarbeitung zu unterbinden oder die Löschung personenbezogener Daten zu erwirken. Dadurch werden – was im deutschen Verwaltungsrecht ungewöhnlich ist – hoheitliche Maßnahmen einer Behörde gegenüber anderen Behörden desselben Verwaltungsträgers ermöglicht.


Bußgeldpraxis der Behörden

Die Datenschutzbehörden haben begonnen, die DSGVO-Umsetzung durch die Unternehmen zu prüfen und verhängen seit Beginn des Jahres 2019 regelmäßig Bußgelder.

Wie durch die Datenschutzbehörden auf eine Anfrage der Wirtschaftszeitung „Handelsblatt” mitgeteilt wurde, handelte es sich neben Fällen wie dem eines sozialen Netzwerks, das die Passwörter seiner Nutzer unverschlüsselt gespeichert hatte, häufig um Fälle, in denen besonders sensible personenbezogene Daten wie Gesundheitsdaten betroffen waren.

Die Bemessung der Höhe des Bußgeldes obliegt der Aufsichtsbehörde, die gehalten ist, eine „wirksame, verhältnismäßige und abschreckende” Entscheidung zu fällen. Dabei gibt die DSGVO im Hinblick auf die Bemessung der Bußgeldhöhe in Art. 83 Abs. 2 lit. a) bis k) DSGVO selbst Bemessungskriterien vor, die bei einer solchen Entscheidung verpflichtend zu berücksichtigen sind.

Auswirkungen auf die Bußgeldhöhe haben insbesondere:
  • die Art und Weise wie  der Verstoß der Aufsichtsbehörde bekannt wurde (etwa durch Mitteilung des verantwortlichen Unternehmens),
  • die Zusammenarbeit des Unternehmens mit der Aufsichtsbehörde zur Abhilfe eines Verstoßes sowie
  • die Reduzierung der möglichen Folgen und Minderung eines entstandenen Schadens für die Betroffenen.


Daneben kann es nach der Rechtsprechung des Bundesgerichtshofs auch bedeutsam sein, ob ein Compliance-Managementsystem (also in dem Unternehmen eingerichtete Maßnahmen), vorhanden sind, die präventiv darauf hinwirken, Rechtsverletzungen aus der Sphäre des Unternehmens zu verhindern.
Eine besondere Rolle kommt dabei insbesondere den vorab zur Vermeidung von Verstößen getroffenen technischen und organisatorischen Maßnahmen zu. Denn gemäß Art. 24 Abs. 1 DSGVO hat der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken geeignete technische und organisatorische Maßnahmen umzusetzen, um präventive Maßnahme bezüglich Verstößen gegen den Datenschutz zu treffen.

Neben den Geldbußen der DSGVO enthält das neue BDSG ergänzende Regelungen bei datenschutz­rechtlichen Verstößen. Als solche Sanktion wurde bspw. in § 42 BDSG eine Strafvorschrift festgelegt, die u.a. den gewerbsmäßigen Handel mit personenbezogenen Daten unter Freiheitsstrafe bis zu drei Jahren oder Geldstrafe stellt.

In der Praxis können Aufsichtsbehörden bei kleinen, unwissentlich begangenen Datenschutzverstößen von Bußgeldern absehen. Damit orientieren sich die Behörden an dem Erwägungsgrund 148 des Gesetzgebers zur DSGVO, wonach von der Verhängung eines Bußgelds im Fall eines geringfügigen Verstoßes oder dann, wenn die Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bedeuten würde, abgesehen werden kann.


Rechtsunsicherheiten in der Praxis

Die Frage nach dem Zusammenwirken mit der Aufsichtsbehörde zur Aufdeckung bzw. Behebung eines Verstoßes gegen das Datenschutzrecht ist für die betroffenen Unternehmen ein schmaler Grat. Denn während auf der einen Seite die Zusammenarbeit mit den Datenschutzbehörden gesucht werden muss und Anfragen kooperativ bearbeitet werden sollten, müssen eventuelle Auskünfte aus Haftungsgründen wohlbedacht sein.

So kann es in Fällen, in denen Selbstbelastung droht, sinnvoller sein, die Auskunft auf Fragen zu verweigern, die den Auskunftspflichtigen selbst der Gefahr der strafgerichtlichen Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würden. Ein entsprechendes Auskunftsverweigerungsrecht für diese Fälle ergibt sich gesetzlich aus § 40 Abs. 4 S.2 BDSG.

Wird ein Bußgeld erteilt, haben die Unternehmen die Möglichkeit, Rechtsmittel einzulegen. Die DSGVO sieht keinen eigenen Rechtsbehelf vor, sodass die bundesdeutschen Regelungen Anwendung finden, die eine gerichtliche Kontrolle der Entscheidung der Datenschutzbehörde ermöglichen.


Da sich eine Rechtspraxis beim neuen Datenschutzrecht erst noch entwickeln muss, ist für Unternehmen die Frage, welche Rechtsposition die Datenschutzbehörde oder ein Gericht einnehmen wird, schwer absehbar und damit in vielen Fällen mit Rechtsunsicherheit behaftet. Einschlägige Urteile zur DSGVO und höchstrichterliche Rechtsprechung, die für Rechtsklarheit sorgen können, gibt es bislang kaum.

Für Unternehmen bedeutet das in der Praxis einen hohen Aufwand bei der Beschäftigung mit dem Thema Datenschutz und Rechtsunsicherheiten auf vieler Art.

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu