Dieser Artikel gibt einen komprimierten Überblick über die Bußgelder und sonstige Sanktionen, die Sie bei Nichteinhaltung der Vorschriften treffen können.
Der Inhalt im Überblick
- Wo stehen die Regelungen zu Sanktionen in der DSGVO?
- Wer wird von den Regelungen erfasst?
- Der Begriff „Unternehmen“ im Vergleich
- Welche Bußgelder können auf ein Unternehmen zukommen?
- Wie wird das Bußgeld bemessen?
- Welche Bemessungskriterien beinhaltet der Katalog des Art. 83?
- Welche sonstigen Sanktionen können auf ein Unternehmen zukommen?
- Ist das eine abschließende Regelung?
- Wer verhängt Sanktionen und Bußgelder?
- Wie kommt ein ahndungswürdiger Sachverhalt ans Licht?
- Wie kann man vorbeugen?
Wo stehen die Regelungen zu Sanktionen in der DSGVO?
Die Vorschriften zu Sanktionen sind in den Artikel 83 und 84 zu finden. Strafrechtliche Sanktionen sollen von den einzelnen Mitgliedsstaaten selber festgelegt werden.
Wer wird von den Regelungen erfasst?
Unabhängig davon, ob sie ihre Leistungen entgeltlich oder unentgeltlich erbringen:
- Unternehmen mit Sitz in der EU
- Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten
Der Begriff „Unternehmen“ im Vergleich
Unternehmen im Sinne des BDSG
Ein Unternehmen im Sinne des BDSG ist eine einzelne juristische Person, z. B. eine GmbH. Die jeweilige juristische Person bzw. Personengesellschaft wird als eigenständige verantwortliche Stelle angesehen. Auch bei Unternehmensgruppen wird nicht der Konzern als solcher als Unternehmen und damit verantwortliche Stelle angesehen, sondern jede einzelne Konzerngesellschaft für sich. Es gibt kein Konzernprivileg, aber auch keine Konzernhaftung.
Unternehmen im Sinne der EU-DSGVO
Bei Bußgeldern gilt zukünftig der Begriff des Unternehmens i.S.d. Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Nach der ständigen Rechtsprechung des EuGH ist der weite, funktionale Unternehmensbegriff:
- Ein Unternehmen ist jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen i.S.e. Rechtssubjekts, sondern aus mehreren, natürlichen oder juristischen Personen bestehen.
- Vergleichbar mit dem Unternehmensbegriffs des europäischen Kartellrechts.
Es wird also nicht mehr am Rechtssubjekt angeknüpft, sondern am Marktverhalten der wirtschaftlichen Einheit insgesamt. Damit kann ein ganzer Konzern als ein Unternehmen behandelt werden. Der gesamte Konzernumsatz bildet dann den für die Berechnung eines Bußgelds maßgeblichen Unternehmensumsatz.
Welche Bußgelder können auf ein Unternehmen zukommen?
Bußgeldvorschrift nach dem BDSG
Derzeit sind nach § 43 BDSG Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die strafrechtlichen Sanktionen sind aktuell in § 44 BDSG geregelt.
Bußgeldvorschrift nach der EU-DSGVO
Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist. Hier ist der oben genannte Unternehmensbegriff von Bedeutung: Es gilt der Jahresumsatz des gesamten Konzerns, nicht der der einzelnen juristischen Person.
Wie wird das Bußgeld bemessen?
Die Sanktionen sollen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße gegen die Verordnung zugleich Verletzungen der Grundrechtecharta der Europäischen Union sind. Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Zur Bemessung der Sanktion gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 (a) bis (k) DSGVO.
Welche Bemessungskriterien beinhaltet der Katalog des Art. 83?
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- die getroffenen Maßnahmen zur Minderung des entstandenen Schadens
- Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- etwaige einschlägige frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
- Einhaltung früher angeordneter Maßnahmen
- Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
- jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste
Welche sonstigen Sanktionen können auf ein Unternehmen zukommen?
- Gewinnabschöpfung
- Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2, z.B. Rüge; Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen; zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung.
Ist das eine abschließende Regelung?
Nein, es obliegt gemäß Art. 84 den Mitgliedsstaaten, weitere Strafvorschriften und strafrechtliche Sanktionen einzuführen. Sie müssen lediglich „wirksam, verhältnismäßig und abschreckend“ sein. In dem Bereich wird dann nationales Recht gelten.
Des Weiteren enthält die DSGVO eine Öffnungsklausel bezüglich der Frage, ob Bußgelder auch für Behörden oder öffentliche Einrichtungen verhängt werden können. Dies wird vollständig in die Verantwortung der Mitgliedstaaten gelegt, ohne dass die DSGVO einen Rahmen vorgeben würde.
Wer verhängt Sanktionen und Bußgelder?
Gemäß Art. 55 ist grundsätzlich jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig, d.h. in Deutschland sind die deutschen Aufsichtsbehörden zuständig. Es gibt aber noch die federführende Behörde gemäß Art. 56, 60 bei internationalen Datentransfers.
Wie kommt ein ahndungswürdiger Sachverhalt ans Licht?
- durch proaktive Überprüfungstätigkeit der Aufsichtsbehörden
- durch einen unzufriedenen Mitarbeiter, der sich bei der Aufsichtsbehörde beschwert
- durch Kunden oder potentielle Kunden, die eine Meldung bei der Aufsichtsbehörde machen
- durch Selbstanzeige des Unternehmens
- durch die Presse im Allgemeinen, insbesondere auch Investigativjournalismus
Wie kann man vorbeugen?
Ein Unternehmen sollte sich professionell datenschutzrechtlich beraten lassen und regelmäßige Compliance-Audits durchführen. Datenbestand, Datenflüsse und Datenverarbeitungsprozesse sollten dokumentiert werden.
Wir weisen darauf hin, dass die Endversion der Grundverordnung bislang nicht veröffentlicht wurde und sich deshalb auch noch Änderungen an dem hier zitierten Gesetzestext ergeben können.
Wie kommen Sie auf:
„die Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr“
Dies ist in dem Entwurf der EU-DSGVO nicht zu lesen. Dort ist weiterhin von bis zu 300.000€ die Rede.
Siehe Allgemeine Bedingungen für die Verhängung von Geldbußen Art. 83 Abs. 5 DSGVO
„Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr; je nachdem, welcher Wert der höhere ist.“ Welche Wert ist hier entscheidend? Sind die 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Konzerns > als 20.000.000 Euro, ist die Geldbuße auf max. 20.000.000 Euro beschränkt?
Nein, der höhere Wert wird angesetzt.
Erscheint dies nicht problematisch, wenn man bedenkt, dass somit kleinere Unternehmen härter bestraft werden können? Große Unternehmen können mit maximal 4% bestraft werden (da dieser stets der höhere Wert sein wird), während kleinere Unternehmen mit höheren Strafen belegt werden können, die offensichtlich größer als 4% des Jahresumsatzes sein können (ansonsten macht diese Formulierung mM keinen Sinn; allgemein denke ich hier muss ein Fehler vorliegen, denn eine solche Wortwahl in juristischen Texten soll ja immer eine Deckelung darstellen. Regel Nr 1 ist, dass man, wenn es um Fairness geht, niemals eine Deckelung mit einem prozentualen und einem fixen Wert machen sollte, schon gar nicht, wenn auch noch dem größeren Vorrang gegeben wird). Man muss sicher hier nicht weiters erläutern, worauf ich hinaus möchte.
Wie sieht die rechtliche Haftungsseite für Dienstleister aus, die als externer Datenschutzverantwortlicher für ihre Kunden agieren. Wie sollten diese abgesichert sein, z. B. durch eine Rechtschutz- oder Haftpflichtversicherung. Besonders in dem Fall, wenn sie als Personengesellschaft firmieren und somit mit ihrem gesamten privaten Vermögen haften.
Grundsätzlich ist für die Einhaltung der Gesetze das Unternehmen als verantwortliche Stelle oder Auftragsverarbeiter verantwortlich.
Möglich ist jedoch auch eine persönliche Haftung des Datenschutzbeauftragten bei Nichtbeachtung der Regelungen der DSGVO durch das Unternehmen; er kann jedenfalls in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Den tatsächlichen Umfang der Haftung werden die zuständigen Aufsichtsbehörden und Gerichte beurteilen müssen.
In jedem Fall ist eine gute Versicherung dringend anzuraten. Zum Umfang und der Art der Versicherung kann Ihnen ein kompetenter Versicherungsvertreter bzw. –makler Auskunft geben.
Sehen Sie zu diesem Thema auch unsere Artikel Datenschutz-Grundverordnung (DSGVO) – Datenschutzbeauftragter und Datenschutz-Grundverordnung: Aufgaben des Datenschutzbeauftragten
Na fein, da ist ja dem Denuziantentum Tür und Tor geöffnet… Da mal einen kleinen Verstoss zu finden, wird bei der Komplexität des Ganzen sicherlich kein Problem werden. Ein Gesetz gemacht von Juristen für Juristen. Aber sicher nicht für den Otto Normalverbraucher. Gratuliere! Wir schießen uns ins Knie!
Wenn ich jetzt sehe wie sich die Rechtsanwälte eine Goldene Nase verdienen mit dem Verkauf von den Regelungen.. unfassbar.. Ganz neu Firmen verdienen sich dumm und dämlich mit dubiosen Klauseln die kein Mensch versteht.. Ja das ist wirklich schlimm….
Spätesten ab 25.05. werden die Korken knallen und der neue Porsche kann schon mal eingeplant werden. Eine ganz neue Geschäftsidee für Kanzleien und Rechsanwälte, die eine neue Ära der Abmahnungen und unendlicher Gewinnmaximierung auf dem Rücken des Klein- und Mittelstandes bis zu Vereinen und selbst jedem Blumenladen eröffnet!
Gratulation, darauf hat die Welt gewartet… nicht das ein solcher Schwachsinn auch nur im Ansatz echte Kriminelle im Internet abhalten würde oder auch nur unseren Staat vor dem Einsatz von Datenspionage bis Manipulation (siehe Staatstrojaner) oder ganzer Daten und IT Spionage (inkl. amerikanischer Datenspionage) auch nur im geringsten abhalten würde!
Ich bin in einer kleinen Firma in Teilzeit angestellt und mein Chef möchte, dass ich eine Datenschutzerklärung unterschreibe, in der ich (!) bei Verstößen mit bis zu 20 Mio. Euro hafte, ohne Aussicht auf Insolvenztilgung, einzige alternative Freiheitsstrafe. Auch wenn das -wie mein Chef sagt- alles nur rein theoretisch ist und nie eintreffen wird, hätte ich es ja doch unterschrieben. Ich finde das ziemlich übertrieben und frage mich, ob das so rechtens ist, wie mein Chef behauptet oder ob er sich vielleicht doch vertan hat?
Muss ich das wirklich unterschreiben? Muss ich mir jetzt wirklich selber kostenpflichtig einen Anwalt nehmen, um verbindliche Informationen dazu zu bekommen?
Übertragung der Haftung nach DSGVO auf den Arbeitnehmer?
Hallo, ich hätte eine Frage ist es auch Datenschutzverstoß, wenn man von einer Versicherung gekündigt wurde diese am Telefon der Ehefrau vom Versicherungsnehmer mitgeteilt wurde obwohl keine Vollmacht vorliegt und wo könnte ich was darüber schriftlich herbekommen oder kann mich jemand aufklären?