DSGVO – Bußgelder und Sanktionen

Wir geben hier einen komprimierten Überblick über die Thematik DSGVO – Bußgelder und Sanktionen, die Sie bei Nichteinhaltung der Vorschriften treffen kann.

Wo sind die Regelungen zu Sanktionen in der DSGVO zu finden?

Die Vorschriften zu Sanktionen stehen in den Artikel 83 und 84. Der europäische Gesetzgeber überlässt die Regelung der strafrechtlichen Sanktionen den einzelnen Mitgliedsstaaten.

Wer wird von den Regelungen erfasst?

Wer erfasst wird, ist völlig unabhängig davon, ob Sie ihre Leistungen entgeltlich oder unentgeltlich erbringen. Erfasst werden:

  • Unternehmen mit Sitz in der EU
  • Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten

Vergleich des Unternehmensbegriffs in BDSG und DSGVO

Ein Unternehmen im Sinne des BDSG ist eine einzelne juristische Person, z. B. eine GmbH. Die verantwortliche Stelle ist die jeweilige juristische Person bzw. Personengesellschaft. Auch bei Unternehmensgruppen wird nicht der Konzern an sich als Unternehmen bzw. verantwortliche Stelle angesehen, sondern es wird jede einzelne Konzerngesellschaft beurteilt. Es gibt kein Privileg für Konzerne. Ebenso gibt es aber auch keine Konzernhaftung.

Im Gegensatz dazu richtig sich bei Bußgeldern zukünftig der Begriff des Unternehmens nach Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Es gilt der weite, funktionale Unternehmensbegriff:

  • Ein Unternehmen ist jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von der Rechtsform sowie der Art und Weise ihrer Finanzierung. Diese wirtschaftliche Einheit kann dabei nicht nur aus einem einzelnen Unternehmen, sondern aus mehreren, natürlichen oder juristischen Personen bestehen.
  • Anlehnung an den Unternehmensbegriff des europäischen Kartellrechts.

Angeknüpft wird am Marktverhalten der wirtschaftlichen Einheit. Damit besteht die Möglichkeit, einen ganzen Konzern als ein Unternehmen zu behandeln. Der gesamte Konzernumsatz bildet dann die Grundlage für die Berechnung des Bußgelds über den maßgeblichen Unternehmensumsatz.

Wie sehen die Bußgelder der Zukunft aus?

Nach § 43 BDSG sind Bußgelder von bis zu 300.000 Euro pro Einzelfall möglich. Die strafrechtlichen Sanktionen sind aktuell in § 44 BDSG geregelt.

Bei der DSGVO werden andere Bußgelder berechnet. Die maximale Geldbuße beträgt bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Es richtet sich danach, welcher Wert der höhere Wert ist. Die Berechnung ergibt sich aus dem oben genannten Unternehmensbegriff: Es gilt der Jahresumsatz des gesamten Konzerns.

Worauf achtet die Behörde?

Die Sanktionen sollen vor Verstößen abschrecken und das Bewusstsein dafür schärfen, dass Verstöße schärfer sanktioniert werden als bisher. Gemäß Art 84 DSGVO müssen die Sanktionen wirksam, verhältnismäßig und abschreckend sein. Als Grundlage der Bemessung der Sanktion dient der Katalog mit Kriterien in Art. 83 Abs. 2 (a) bis (k) DSGVO.

Bemessungskriterien des Katalogs des Art. 83?

  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • die getroffenen Maßnahmen zur Minderung des  entstandenen Schadens
  • Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
  • Art und Weise, wie die Aufsichtsbehörde vom Verstoß Kenntnis erhielt, insbesondere Selbstanzeige
  • Einhaltung früher angeordneter Maßnahmen
  • Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangten finanzielle Vorteile oder vermiedene Verluste

Gibt es weitere Sanktionsmöglichkeiten?

Zum Einen gibt es die Gewinnabschöpfung und zum anderen können durch die Behörde Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2, z.B. Rüge erteilt werden. Diese sollte dann die Anweisung beinhalten, die Datenverarbeitung den gesetzlichen Vorgaben anzugleichen.

Dafür kann die Behörde sogar zeitlich sofort ein begrenztes oder endgültiges Verbot der Datenverarbeitung aussprechen.

Dürfen die nationalen Behörden höhere Strafen einführen?

Die nationalen Behörden dürfen das Strafmaß selbst bestimmen. Die DSGVO gibt dabei vor, dass diese Strafen „wirksam, verhältnismäßig und abschreckend“ sein müssen.

Durch eine Öffnungsklausel bezüglich der Frage, ob sie Bußgelder auch für Behörden oder öffentliche Einrichtungen verhängen, dürfen die Mitgliedsstaaten nun selber entscheiden. Die Verantwortung liegt hier bei den Mitgliedstaaten. Es gibt keine rechtlichen Vorgaben durch die DSGVO.

Wer verhängt in DSGVO – Bußgelder und Sanktionen?

Gemäß Art. 55 ist grundsätzlich jede nationale Aufsichtsbehörde für den eigenen Mitgliedstaat zuständig. Es gibt allerdings noch die Ausnahme für internationale Datentransfers nach Art. 56, 60.

Kann die Behörde auch auf Sie aufmerksam werden?

Die Behörde kann Aufmerksamkeit erhalten durch…

  • einen unzufriedenen Mitarbeiter, der sich zum Beispiel nach seinem Arbeitsplatzwechsel bei der Aufsichtsbehörde beschwert
  • unzufriedene Kunden oder potentielle Kunden, die eine Meldung bei der Aufsichtsbehörde machen
  • eigenständiges Tätigwerden der Behörde
  • die Presse im Allgemeinen
  • Selbstanzeige des Unternehmens

Wie kann man dem entgehen?

Ein Unternehmen benötigt einen Datenschutzbeauftragten und muss regelmäßige Audits durchführen. Es sollten Dokumentationen zu den Datenbeständen, Datenflüssen und Datenverarbeitungsprozessen des Unternehmens vorliegen.