Die Einführung der Europäischen Datenschutz-Grundverordnung sorgte in der Welt des Datenschutzes, bei Unternehmen, Betroffenen und eigentlich der gesamten europäischen Öffentlichkeit für großes Aufsehen. Die Folge ist eine gesteigerte Aufmerksamkeit auf das Thema Datenschutz innerhalb der Europäischen Union und in vielen anderen Ländern der Welt, aus denen Unternehmen auf dem europäischen Markt tätig sind. Aus deutscher Sicht waren die Gründe dafür nicht in erster Linie Änderungen das materiellen Datenschutzrechts durch die DSGVO, sondern die drohenden Bußgelder bei einem unrechtmäßigen Umgang mit personenbezogenen Daten.
Aber neben den Bußgeldern gibt es für verantwortliche Stellen und Auftragsverarbeiter noch weitere Risiken, seien dies andere behördliche Maßnahmen, Strafvorschriften oder mögliche Abmahnungen und Klagen. Dieser Blogbeitrag enthält einen groben Überblick über die Sanktionsmechanismen, welche die DSGVO und auch das deutsche Recht verantwortlichen Stellen und Auftragsverarbeitern gegenüber vorsehen und gibt Ihnen eine Orientierung bezüglich Ihrer Risiken bei der Verarbeitung von personenbezogenen Daten.
Behördliche Maßnahmen
Die Schärfe des Schwertes zur Durchsetzung datenschutzrechtlicher Regelungen zeigt sich im Besonderen durch den Bußgeldrahmen, auf den Datenschutzaufsichtsbehörden zurückgreifen können. Aus diesem Grund haben die Behörden eine hohe Bedeutung. Ihre Errichtung, Aufgaben, Befugnisse sind in Art. 51 ff. DSGVO normiert.
In Deutschland regelt jedes Bundesland die Datenschutzaufsicht selbst. Dabei werden private (nicht-öffentliche) Stellen sowie öffentliche Stellen des Landes durch ihre jeweilige(n) Landesbehörde(n) beaufsichtigt. Ein privates Unternehmen mit Sitz in Hamburg unterliegt demnach beispielsweise der Aufsicht durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit. Für öffentliche Stellen des Bundes sowie Telekommunikations- und Postdienstunternehmen wiederum ist der Bundesdatenschutzbeauftragte zuständig.
Diese zuständige Behörde kann auch entsprechende Maßnahmen ergreifen. Sie wird sich zudem regelmäßig mit den anderen deutschen Behörden in der Datenschutzkonferenz und im Weiteren im Europäischen Datenschutzausschuss über Auslegungen der DSGVO und Vorgehensweisen bei Kontrollmaßnahmen und Sanktionen abstimmen.
Aufsichtsbehörden haben gemäß Art. 58 DSGVO gegenüber Verantwortlichen und Auftragsverarbeitern insbesondere die folgenden Handlungsmöglichkeiten:
Untersuchungen
- Informationen anfordern, um ihre Überwachungsaufgaben zu erfüllen, also beispielsweise Fragebögen verschicken, Stellungnahmen verlangen.
- (Vor-Ort-)Überprüfungen durchführen, inklusive Zugang zu allen personenbezogenen Daten und Datenverarbeitungsanlagen.
Abhilfe
- Warnen (präventiv), dass geplante Prozesse und Datenverarbeitungen voraussichtlich gegen Datenschutzrecht verstoßen. Das kann der Fall sein, wenn die Behörde vor der Einführung konsultiert wurde oder eine geplante Verarbeitung bei einer Untersuchung festgestellt wird.
- Verwarnen, wenn eine Verarbeitung gegen Datenschutzrecht verstößt. Eine Verwarnung stellt dabei das mildere Mittel im Vergleich zu einem Bußgeld dar und kann als dessen Vorstufe angesehen werden.
- Anweisen, bestimmte Handlungen vorzunehmen, wie zum Beispiel Anträgen betroffener Personen zu folgen, Verarbeitungen anzupassen, Betroffenenbenachrichtigung bei Datenpannen nachzuholen.
- Datenverarbeitungen temporär oder insgesamt untersagen.
- Geldbußen verhängen.
Bußgeldrahmen und Orientierung
Artikel 83 der DSGVO legt den Bußgeldrahmen für Verstöße fest. Unterschieden wird zwischen „kleinem“ und „großem“ Bußgeld.
Bei konkreten Verstößen, beispielsweise gegen die Vorgaben der Auftragsverarbeitung, den Umgang mit Datenpannen, das Verzeichnis von Verarbeitungstätigkeiten oder die technisch-organisatorischen Maßnahmen, können Geldbußen bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag am Ende höher ist. Da hier der weltweite Konzernumsatz gemeint ist, kann das Bußgeld bei großen Konzernen die 10 Mio. Euro natürlich weit übersteigen.
Bei Verstößen gegen die Grundsätze der Datenverarbeitung (Art. 5 DSGVO), die Rechtsgrundlagen oder die Rechte Betroffener können die Bußgelder sogar doppelt so hoch ausfallen, also bis zu 20 Mio. Euro oder 4% des weltweiten Konzernumsatzes.
Die DSGVO gibt darüber hinaus auch einen Orientierungsrahmen für die Behörden, wie die Höhe der Bußgelder bemessen werden soll. Bußgelder sollen einzelfallbezogen und verhältnismäßig aber natürlich auch wirksam und abschreckend sein. Einbezogen werden gemäß Art. 83 Abs. 2 DSGVO beispielsweise die Art und Schwere des Verstoßes sowie gegebenenfalls bereits getroffene Maßnahmen, betroffene Datenkategorien, der Grad der Verantwortung, Vorsatz oder Fahrlässigkeit, frühere Verstöße sowie natürlich auch Transparenz und Kooperationsbereitschaft in der Aufklärung durch die Behörde.
Tipp: Wir pflegen eine laufend aktualisierte Übersicht über in der EU verhängte Bußgelder in unserem Bußgeldradar, welcher gut als Orientierung genutzt werden kann.
Strafvorschriften
Mit der Öffnungsklausel in Art. 84 DSGVO hat die DSGVO hat den Mitgliedsstaaten die Möglichkeiten gegeben, Regelungen zu weiteren Sanktionen zu erlassen. Dies hat der deutsche Gesetzgeber auch genutzt und in das BDSG unter anderem die Strafvorschriften des § 43 BDSG aufgenommen.
Demnach drohen Personen zwei Jahre Freiheits- oder eine Geldstrafe, wenn nicht-öffentliche personenbezogene Daten unrechtmäßig verarbeitet werden und das gegen ein Entgelt oder mit Bereicherungs- bzw. Schädigungsabsicht geschieht.
Drei Jahre Freiheits- oder eine Geldstrafe drohen beim wissentlichen, unberechtigten und gewerbsmäßigen Handel mit nicht-öffentlichen Daten eines großen Personenkreises.
Zivilrechtliche Abmahnungen und Verbandsklagen
Auch von Seiten der Mitbewerber:innen sind Verantwortliche oder Auftragsverarbeiter bei unrechtmäßiger Datenverarbeitung gewissen Risiken ausgesetzt. Es gibt mehrere Gerichtsurteile (z.B. hier), wonach Verstöße gegen die DSGVO zivilrechtlich abgemahnt werden können. Die abgemahnten Verstöße müssen demnach gleichzeitig einen Wettbewerbsverstoß nach UWG darstellen, also sogenannte „Marktverhaltensregeln“ verletzen. Das können in der Praxis zum Beispiel Fälle falscher oder fehlender Datenschutzinformationen aber auch tatsächliche Fälle unrechtmäßiger Datenverarbeitung auf Websites sein.
Nach einer Änderung des Unterlassungsklagengesetz (UKlaG) und zuletzt eines Urteils des EuGH können auch Verbraucherschutzverbände eigeninitiativ Datenschutzverstöße abmahnen und Datenverarbeitende verklagen.
Klagen Betroffener auf Schadensersatz
Die Betroffenen selbst können Verantwortliche oder Auftragsverarbeiter für Verstöße gegen die DSGVO verklagen. Wenn beispielsweise Daten ohne Rechtsgrundlage verarbeitet werden oder eine Auskunft unzureichend erteilt wird, kann das gerichtlich verhindert bzw. durchgesetzt werden.
Zusätzlich kann es für Betroffene einen Schadensersatzanspruch gemäß Art. 82 DSGVO geben, wenn aufgrund von Datenschutzverstößen ein tatsächlicher materieller oder immaterieller Schaden entstanden ist. Immer häufiger ist inzwischen von Fällen zu lesen, bei denen Betroffenen von Gerichten immaterielle Schäden zugestanden werden. Orientiert wird sich dabei zum einen an dem Katalog möglicher immaterieller Schäden aus ErwG. 75 DSGVO, zum anderen genügt aber teilweise bereits ein Kontrollverlust der Daten und ein individuelles Unwohlsein der Betroffenen, wie im Fall Google Fonts. Es ist somit nicht davon auszugehen, dass es Bagatellgrenzen für die Gewährung von Schadensersatz gibt. Selbst einfache Verstöße können einen solchen begründen.
Nun werden diese immateriellen Schäden – gerade im Vergleich zu möglichen Bußgeldern – im Einzelfall eher gering ausfallen. Wenn aber von einer Vielzahl an Betroffenen ausgegangen wird, denen allen ein solcher Schadensersatz für einen einzelnen Verstoß zusteht, können die Risiken exorbitant ansteigen. Dabei werden Möglichkeiten der kollektiven Rechtsdurchsetzung, wie bereits heute mit einer Muster-Feststellungsklage oder in naher Zukunft mit der EU-Verbandsklage, erst noch wichtiger werden. Letztere könnte die Grundlage von Sammelklagen wegen DSGVO-Verstößen schaffen.
Fazit
Natürlich gibt es neben oder parallel zu den im Artikel beschriebenen, vor allem wirtschaftlichen Risiken noch immaterielle Risiken. Dabei kann es sich zum Beispiel um negative Berichterstattung und Vertrauens- oder Imageverluste handeln, welche teilweise noch schwerer wiegen könnten. Das dargelegte Risiko vermindern sie mit einem guten Datenschutzmanagement und funktionierenden Prozessen. Ein Datenschutzbeauftragter trägt zusätzlich dazu bei, Daten rechtskonform zu verarbeiten und die Risiken im Blick zu behalten, da Verarbeitungen überwacht werden und beratend zur Seite gestanden werden kann. Sollten Sie Unterstützung brauchen, kontaktieren Sie uns gern!
Philipp Lehmann ist Wirtschaftsjurist (LL.M) und Senior Legal Consultant bei der Datenschutzkanzlei am Standort Köln.