Gastbeitrag von Lisa Helmstetter, angestellte Rechtsanwältin bei Müller, Altmeyer und Partner Rechtsanwälte -
Ende 2019 wurde das bis jetzt höchste DSGVO-Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen verhängt. Im europaweiten Vergleich sind die in Deutschland verhängten Bußgelder jedoch eher im unteren Bereich anzusiedeln. Zum Beispiel wurde in Frankreich ein Bußgeld in Höhe von 50 Millionen Euro gegen Google und in Großbritannien ein Bußgeld von umgerechnet ca. 183 Millionen Euro gegen die Fluggesellschaft British Airways verhängt. Seit Geltung der europäischen Datenschutzgrundverordnung werden Verstöße immer häufiger geahndet. Wurde in der Vergangenheit noch zurückhaltend mit der Verhängung von Bußgeldern nach Art. 83 DSGVO umgegangen, so greifen Behörden und Gerichte europaweit nun immer häufiger zu diesem Mittel. Wenn Du die Gefahr eines Bußgeldes für Dein Unternehmen vermeiden möchtest, ist es wichtig, die folgenden Informationen beachten.
Verstoß gegen die Datenschutzgrundverordnung (DSGVO)
Die mit der DSGVO auf europäischer Ebene durchgesetzten Regeln hinsichtlich des Datenschutzes sind aus deutscher Sicht nicht gänzlich unbekannt. Bereits vor Geltung der DSGVO gab es in Deutschland Gesetze, die dem Schutz personenbezogener Daten dienten und zum Teil weiterhin neben der DGSVO gelten.
In diesen Normen sind überall Pflichten enthalten, die von den verantwortlichen Stellen wie zum Beispiel Unternehmen, Behörden oder Vereine eingehalten werden müssen. Soweit die betroffenen verantwortlichen Stellen ihre Pflichten nicht erfüllen, liegt ein Verstoß gegen Datenschutzregeln vor.
Beispielsweise ergeben sich aus Art. 12 ff DSGVO bestimmte Informationspflichten hinsichtlich der Datenschutzerklärungen, die die Verantwortlichen gegenüber den betroffenen Personen erfüllen müssen. Verstöße gegen diese Informationspflichten bei Unternehmen, die einen Online-Shop betreiben, fallen besonders auf, da diese auf der Webseite veröffentlicht werden müssen. Nachdem die Umsetzungsfrist für die DSGVO bereits im Mai 2018 ablief, müssen sich nun alle gegen etwaige Verstöße wappnen, um Sanktionen zu vermeiden.
Welche Strafen drohen bei einem Verstoß?
Die Höhe des im Einzelfall verhängten Bußgeldes wird von der jeweiligen Datenschutzbehörde festgelegt. Der Spielraum, den die Behörden dabei haben, ist sehr hoch.
Konnten nach dem alten Bundesdatenschutzgesetz höchstens Bußgelder in Höhe von 300.000 € verhängt werden, so sind bei bestimmten in Art. 83 Abs. 4 DSGVO festgelegten Verstößen, Bußgelder von bis zu 10.000.000 € fällig oder im Falle von Unternehmen bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Bei anderen Verstößen erlaubt Art. 83 Abs. 5 DSGVO sogar die doppelte Bußgeldhöhe von bis zu 20.000.000 € oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Bei Amazon und Google mit Jahresumsätzen von 280 Milliarden US-Dollar und 160 Milliarden US-Dollar sind die möglichen Geldbußen um ein Deutliches höher als die ansonsten festgelegte Grenze von 20 Millionen Euro. Von dieser Regelung hat auch die französische Datenschutzbehörde CNIL Gebrauch gemacht, als sie im Januar 2019 gegen Google wegen Verstößen gegen die DSGVO ein Bußgeld in Höhe von 50 Millionen Euro verhängte.
In welcher Höhe letztendlich ein Bußgeld verhängt wird, hängt von mehreren Faktoren ab:
- Wie schwer war der Verstoß gegen Datenschutzgesetze und wie lange hielt er an?
- Gab es einen oder mehrere Verstöße?
- Handelt es sich um einen Wiederholungstäter?
- Welcher Schaden ist entstanden?
- Wie viele Personen sind von dem Verstoß betroffen?
- Wurde absichtlich gehandelt und welche Maßnahmen wurden ergriffen, um den Schaden einzudämmen?
- Wurde der Verstoß verschleiert oder war das Unternehmen hinsichtlich der Ermittlung kooperativ?
- Gab es andere mildernde Umstände?
Solltest Du selbst gegen die DSGVO verstoßen, ist es empfehlenswert, kooperativ zu bleiben und Schadensbegrenzung zu betreiben.
Wo und wie wird ein Verstoß gemeldet?
Datenschutzverstöße können, in manchen Fällen müssen sie auf verschiedene Weise gemeldet werden.
Wird in einem Unternehmen ein Datenschutzverstoß festgestellt, so beginnt nach Art. 33 Abs. 1 DSGVO eine 72-stündige Frist zu laufen, in der der bekanntgewordene Verstoß vom Datenschutzverantwortlichen des Unternehmens der zuständigen Aufsichtsbehörde gemeldet werden muss.
Wird der Verstoß zunächst einem anderen Mitarbeiter als dem Verantwortlichen bekannt, so ist er gemäß Art. 33 Abs. 2 DSGVO verpflichtet, dies dem Verantwortlichen unverzüglich anzuzeigen.
Neben der Meldung des Datenschutzverstoßes gegenüber der Behörde ist es in den Fällen des Art. 34 Abs. 1 DSGVO erforderlich, dass die Verletzung auch gegenüber der betroffenen Person unverzüglich gemeldet wird.
Will eine von einem Datenschutzverstoß betroffene Person einen solchen Vorfall melden, kann sie sich entweder an den Verantwortlichen des Unternehmens oder an die zuständige Aufsichtsbehörde wenden.
Strafschadensersatz wegen DSGVO-Verstöße
Neben drohenden Bußgeldern bei Verstößen gegen den Datenschutz droht dem Unternehmen weiterhin nach Art. 82 Abs. 1 DSGVO Strafschadensersatz.
Deutsche Gerichte waren in der Vergangenheit eher zurückhaltend mit der Verurteilung eines Strafschadensersatzes aufgrund von DSGVO-Verstößen. Dies hat sich zwischenzeitlich jedoch geändert. Entscheidend bei der Beurteilung einer Schadensersatzpflicht nach Art. 82 Abs. 1 DSGVO sind die Voraussetzungen, die an einen ersatzfähigen Nichtvermögensschaden gestellt werden. Hier unterscheiden sich die Ansichten in Rechtsprechung und Literatur erheblich.
Zum einen wird vertreten, dass ein Schaden erst ab Überschreiten einer Erheblichkeitsschwelle angenommen werden kann. Wesentlich häufiger erkennen die Gerichte das Vorliegen eines Schadens nunmehr bereits in der Persönlichkeitsrechtsverletzung, die durch eine unzulässige Verarbeitung personenbezogener Daten hervorgerufen wird.
Hinsichtlich der Höhe des Schadensersatzes nehmen außerdem immer mehr Gerichte an, dass die Summe eine abschreckende Wirkung haben soll. So auch das ArbG Düsseldorf in seiner Entscheidung vom 05.03.2020 (Ca 6557/18, NZA-RR 2020, 409):
“Die betroffene Person soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten (EG 146). Verstöße müssen effektiv sanktioniert werden, damit die DS-GVO wirken kann, was vor allem durch Schadensersatz in abschreckender Höhe erreicht wird“
Da es sich bei den bisherigen Entscheidungen in Bezug auf Art. 82 Abs. 1 DSGVO weitgehend um erstinstanzliche Urteile handelt, gibt es für die Instanzgerichte durchaus die Möglichkeit, diese Entscheidungen zu korrigieren.
Checkliste zum Vermeiden von Datenschutzverstößen
Wenn Du Bußgelder nach dem Bundesdatenschutzgesetz-neu und der DSGVO vermeiden willst, solltest Du Dich an die Vorgaben der Gesetze hinsichtlich des Umgangs mit personenbezogenen Daten halten.
Wichtig sind insbesondere folgende Schritte:
- Sämtliche Prozesse im Unternehmen müssen nach der DSGVO ausgerichtet sein.
- Bei Einwilligungsbedürftigen Datenverarbeitungen sollte immer die Einwilligung der betroffenen Personen vorher eingeholt sein.
- Bei Vorliegen eines Datenschutzverstoßes sollte dieser schnellstmöglich gemeldet werden und der Schaden eingegrenzt werden.
- Bei Unsicherheiten in Bezug auf einzelne Aspekte der Datenschutzbestimmungen sollte immer ein Datenschutzbeauftragter oder ein Anwalt hinzugezogen werden, soweit nicht sowieso ein Datenschutzbeauftragter notwendig ist.
Auch wenn die Umsetzung der DSGVO weiterhin viele Fragen aufwirft, ist ein sicherer Umgang mit personenbezogenen Daten unumgänglich. Die Umsetzungsfrist zur DSGVO ist seit knapp 2 Jahren abgelaufen, daher folgen die Behörden hinsichtlich auftretender Verstöße nicht mehr dem Prinzip „Gnade vor Recht“.
Wenn Du immer noch mit der Umsetzung haderst, solltest Du Dich an den Rechtsanwalt oder Datenschutzbeauftragten Deines Vertrauens wenden, um Sanktionen zu vermeiden.
.webp)