EU-Datenschutzgrundverordnung: Dramatische Sanktionen?

Die EU-Datenschutzgrundverordnung gilt ab dem 25.05.2018. Von einigen Autoren wird dieses Datum und die damit verbundenen rechtlichen Folgen als „Fallbeil-Effekt“ beschrieben. Derzeit läuft die Übergangsfrist, ab dem 25.05.2018 tritt die EU-Datenschutzgrundverordnung über Nacht vollständig in Kraft und ist sofort ohne weiteren „Anlauf“ von allen Unternehmen und Behörden anzuwenden. Insoweit treffen die europäische Regelungen sowohl Behörden als auch Unternehmen wie ein „Fallbeil“.

Bisher sah das Bundesdatenschutzgesetz bei Verstößen relativ geringe Bußgelder vor. Bei der Nichteinhaltung datenschutzrechtlicher Formvorschriften gab es einen Bußgeldrahmen bis zu 50.000,00 € (§ 43 Abs. 1 BDSG). Bei materiell-rechtlichen Datenschutzverstößen war ein Bußgeldrahmen von bis zu 300.000,00 € in § 43 Abs. 2 BDSG festgelegt. Auch Geld- und Freiheitsstrafen von bis zu einem Jahr waren möglich, wenn ein datenschutzrechtliches Fehlverhalten gegen Entgelt oder in Bereicherungs- beziehungsweise Schädigungsabsicht begangen wurde.

Bisher ist in der Praxis allerdings zu beobachten, dass die Aufsichtsbehörden Bußgelder nur sehr zurückhaltend anwenden. Einige Landesdatenschutzbehörden verhängen Bußgelder im Jahr unter einem Gesamtbetrag von 20.000,00 €. Dies ist auch der Grund, warum viele Behörden und auch Unternehmen die Datenschutzvorschriften ignorieren. Die Wahrscheinlichkeit, dass ein Datenschutzverstoß zu einem wahrnehmbaren und finanziell bedrohlichem Bußgeld führt, ist in einigen Bundesländern äußerst gering.

Dieses Phänomen hat auch die EU gesehen und in Art. 83 der EU-Datenschutzgrundverordnung andere Regelungen vorgesehen. In Art. 83 Abs. 1 DS-GVO heißt es, dass jede Aufsichtsbehörde bei der Verhängung von Geldbußen im Einzelfall darauf achten muss, dass ein Geldbuße wirksam, verhältnismäßig und abschreckend ist. Es steht tatsächlich der Begriff „abschreckend“ in den gesetzlichen Regelungen. Hier ist zu erwarten, dass sich die bisherige Bußgeldpraxis ab Mai 2018 heftig verändert. Dies auch noch unter einem anderen Gesichtspunkt.

In Art. 83 Abs. 4 ist bei Verstößen gegen verschiedene Artikel der DS-GVO ein Bußgeld von bis zu 10.000.000,00 € oder im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres als Bußgeld möglich. Sicherlich ist dies eine Obergrenze, die nicht in jedem Fall, möglicherweise auch nur in wenigen Fällen ausgeschöpft wird. Mit der Ansage, dass Geldbußen aber „abschreckend“ sein sollen und in Verbindung mit dem erheblich erhöhten Bußgeldrahmen ist zu erwarten, dass die Aufsichtsbehörden deutlich höhere Bußgelder festlegen.

Auch ein anderer Gesichtspunkt dürfte eine Erhöhung des Bußgeldes erwarten lassen: Einige Landesdatenschutzbeauftragte und Aufsichtsbehörden sind äußerst unzufrieden über die politische Unterstützung und klagen über mangelnde Ausstattung sowie stellenweise eine politische Ignoranz ihrer Arbeit. Hier hat sich in den vergangenen Jahren eine Menge Frust aufgestaut. Mithilfe der neuen gesetzlichen Regelungen der DS-GVO haben die Datenschutzaufsichtsbehörden eine Möglichkeit, auch für eine öffentliche und damit auch politische Wahrnehmung zu sorgen. In internen Diskussionen wird erörtert, ob mithilfe von Bußgeldern auf die stellenweise äußerst schlechte personelle und finanzielle Ausstattung der Aufsichtsbehörden verbessert werden kann. Dies unabhängig davon, dass die DS-GVO auch den Gesetzgeber ausdrücklich auffordert, die Aufsichtsbehörden entsprechend den neuen Anforderungen auszustatten.

Wird gegen die Grundsätze für die Verarbeitung, gegen die Bedingungen gegen die Einwilligung oder gegen die Rechte von betroffenen Personen verstoßen, sieht die DS-GVO Bußgelder bis zu 20.000.000,00 € oder im Falle eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres als Obergrenze vor.

Für Behörden enthält die Regelung eine böse Überraschung. Bisher sahen die Landesdatenschutzgesetze nur relativ geringe Bußgelder vor, die ebenfalls kaum genutzt oder ausgeschöpft worden sind. Auch gegenüber den Behörden gilt die Aufforderung, dass das Bußgeld zukünftig „abschreckend“ sein soll. Damit werden auch die Behörden zukünftig mit Bußgeldern konfrontiert. Wie sich dies auf die behördeninterne Zusammenarbeit und Struktur auswirkt, lässt sich derzeit nur erahnen.

Insgesamt ist also festzustellen, dass die neuen Sanktionen sicherlich zu einer Veränderung der bisherigen Datenschutzlandschaft führen werden. Vor kurzem formulierte ein Autor die zusammenfassende Aussage, dass zukünftig datenschutzrechtliche „Schlampereien“ teuer werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*