Kategorie: datenschutzticker.live

Themenreihe datenschutzrechtliche Sanktionen – Teil 1: Gesetzliche Grundlagen

20. September 2019

In diesem Beitrag geht es um die gesetzlichen Grundlagen für die Verhängung von Sanktionen. Wie in jedem rechtlich relevanten Bereich können auch im Datenschutzrecht Rechtsverstöße mit Sanktionen geahndet werden. Dies galt bereits vor Inkrafttreten der EU-Datenschutzgrund-verordnung (DSGVO) am 25. Mai des vergangenen Jahres. Im Zuge der Einführung des EU-weit geltenden Datenschutzrechts wurden die Sanktionen vereinheitlicht, den nationalen Gesetzgebern aber weiterhin die Möglichkeit eingeräumt, darüberhinausgehende Regelungen zu erlassen.

Sanktionen auf Grundlage der DSGVO

Die DSGVO enthält zunächst Regelungen zu geldwerten Sanktionen (Art. 82-84 DSGVO). Daneben hat der Betroffene die Möglichkeit, eine Beschwerde bei der Aufsichtsbehörde zu erheben (Art. 77 DSGVO) oder Rechtsbehelfen gegen die Aufsichtsbehörde (Art. 78 DSGVO) bzw. den Verantwortlichen oder Auftragsverarbeiter (Art. 79 DSGVO) einzulegen.

Ausgehend von Art. 82 DSGVO haften grundsätzlich alle an der Verarbeitung beteiligte Parteien dem Betroffenen auf Ersatz materieller sowie immaterieller Schäden. Einzige Ausnahme ist insoweit die gelungene Entlastung nach Art. 82 Abs. 3 DSGVO. Diese Norm soll also nicht strafen, sondern den erlittenen Schaden in Geld ausgleichen und ist dementsprechend in dem Verhältnis von Betroffenen zum (Auftrags-)Verarbeiter anzuwenden.

Korrelierend dazu normiert Art. 83 DSGVO Voraussetzung und Höhe einer durch die Behörden verhängten Geldbuße. Hier wird nicht der Betroffene entschädigt, sondern die Aufsichtsbehörde spricht eine Strafe gegen den (Auftrags-)Verarbeiter wegen eines Fehlverhaltens aus, die nicht den eingetretenen Schaden beim Betroffenen ausgleichen, sondern Sanktionswirkung haben soll.

Konkret enthält Art. 83 Absatz 2 DSGVO Parameter, die bei der Verhängung einer Geldstrafe zu berücksichtigen sind. Jede Sanktion ist eine Einzelfallentscheidung bei der unter anderem Art, Schwere und Dauer des Verstoßes, Maßnahmen zur Minderung des Schadens und Grad der Verantwortlichkeit berücksichtigt werden. Als Geldbuße können maximal 20 000 000 EUR, oder im Fall eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhangen werden. Sanktionsbewehrte Verstöße sind unter anderem:

  • Verletzung der Verarbeitungsgrundsätze des Art. 5 DSGVO,
  • Verstöße gegen die Rechte der betroffenen Personen, Art. 12-23 DSGVO,
  • Internationale Datentransfers ohne rechtliche Grundlage, Art. 44-50 DSGVO und
  • Compliance-Verstöße, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen.

Insgesamt ist festzustellen, dass nur sehr wenige Verstöße gegen materiell-rechtliche Pflichten bußgeldbefreit sind, was die Relevanz datenschutzrechtlicher Compliance immens erhöht. Mithin ist ein gutes, den gesetzlichen Voraussetzungen entsprechendes, Datenschutzmanagement unverzichtbar.

Sanktionen auf Grundlage des Bundesdatenschutzgesetzes

Art. 84 DSGVO ermächtigt den nationalen Gesetzgeber Sanktionen für Verstöße gegen die DSGVO in nationalen Gesetzen festzulegen. Diese Möglichkeit hat der deutsche Gesetzgeber im Bundesdatenschutzgesetzes (BDSG) wahrgenommen.

Zunächst eröffnet § 41 BDSG die Anwendbarkeit der Vorschriften über das Bußgeld- und Strafverfahren. So sind sowohl das Ordnungswidrig-keitengsetz (OWiG) als auch die Strafprozessordnung (StPO) sowie das Gerichtsverfassungsgesetz (GVG) im Zusammenhang mit datenschutzrechtlichen Verstößen anwendbar.

Überdies erweitert das BDSG die Haftung auf den Einzelnen, sodass neben Bußgeldern die gegen Unternehmen verhängt werden können auch Geld- bzw. Freiheitsstrafen in Betracht kommen. Konkret wird die berechtigungslose, gewerbsmäßige Weitergabe von Daten an eine große Zahl von Personen sowie die berechtigungslose Verarbeitung von Daten mit Bereicherungs- bzw. Schädigungsabsicht bestraft. Das Strafmaß ist von Geldstrafe bis zur Freiheitsstrafe von zwei Jahren (§ 42 BDSG). § 43 BDSG formuliert sodann die bußgeldbewehrten Ordnungswidrigkeiten die bei Verstößen gegen § 30 BDSG vorliegen können.

Ausblick auf weitere Themen

In der nächsten Woche geht es um Sanktionen die seit Einführung der DSGVO und der Anpassung des BDSG, in Deutschland verhängt wurden.

Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.

Themenreihe datenschutzrechtliche Sanktionen – Ankündigung

30. August 2019

Wie Sie vielleicht bereits wissen geht datenschutzticker.de am 30.10.2019 live. Nach mehr als acht erfolgreichen Jahren und über 2.000 Blogbeiträgen ist es aus unserer Perspektive Zeit, eine Plattform für Kommunikation und Austausch zu schaffen. Aus diesem Grund wollen wir aus der digitalen in die analoge Welt vordringen und dem datenschutzticker.de ein Gesicht geben:

datenschutzticker.live bietet Behörden und Unternehmen am 30.10.2019 unter dem Motto „industry meets authority“ tiefere Einblicke in die Arbeit von Unternehmens-Datenschutzbeauftragten und Datenschutzbehörden. Außerdem soll ein Austausch zwischen den Beteiligten ermöglicht werden.

Wir freuen uns auf den Bundesbeauftragten für Datenschutz und Informationsfreiheit, Herrn Prof. Ulrich Kelber sowie die Landesdatenschutzbeauftragten für Hessen, Herrn Prof. Michael Ronellenfitsch und Sachsen-Anhalt, Herrn Dr. Harald von Bose! Zudem werden Unternehmensvertreter über ihre tägliche Arbeit mit datenschutzrechtlichem Bezug referieren.

Diese hochkarätigen Redner werden Ihnen einen Einblick in ihre Arbeit geben und darüber hinaus auch (überwiegend) an einer Podiumsdiskussion teilnehmen, sodass ein Austausch mit Ihnen möglich ist. Im Rahmen der Podiumsdiskussion möchten wir Ihnen die Möglichkeit geben, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Zur Vorbereitung auf die Veranstaltung – sowie Ihrer allgemeinen Information – wird in den nächsten Wochen eine vertiefte Auseinandersetzung mit dem Thema datenschutzrechtliche Sanktionen im Rahmen einer Themenreihe auf datenschutzticker.de stattfinden.

Der erste Beitrag dieser Reihe wird am 20.09.19 erscheinen und Sie über die gesetzlichen Grundlagen der EU-Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes informieren.

Wir freuen uns, Ihnen dieses Thema näher zu bringen und Sie beim datenschutzticker.live kennenzulernen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.