VERSTÖSSE GEGEN DEN DATENSCHUTz
Was ist eine Datenschutzverletzung? Umgangssprachlich wird eine Datenschutzverletzung auch „Datenpanne“ genannt und unterliegt definierten Melde- und Anzeigepflichten.
Eine Datenschutzverletzung wird definiert im Art. 33 DS-GVO und Art. 4 Nr. 12 DS-GVO.
Datenschutz und Auskunftspflicht
Die datenschutzrechtlichen Regelungen setzen an vielen Stellen Auskunftspflichten der verantwortlichen Stelle und auch des betrieblichen Datenschutzbeauftragten gegenüber Aufsichtsbehörden fest. Die verschärfte europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, spezifiziert diese Auskunftspflichten weiter. Nicht nur dass Versäumnisse zukünftig mit empfindlich hohen Bußgeldern geahndet werden; ein ordnungsgemäß umgesetzter Datenschutz setzt zudem voraus, dass jederzeit Auskunft erteilt werden kann.
Seit Mai 2018: Verschärfte Sanktionen & konsequente Behörden
Die EU-Datenschutzgrundverordnung erweitert die Aufgabenbereiche der Aufsichtsbehörden nochmals erheblich und verschärft zudem Sanktionen bei Versäumnissen. Mit bis zu 20 Millionen Euro Bußgeld oder einer umsatzabhängigen Bußgeldvariante können sich Unternehmen Fehlleistungen im Datenschutz nicht leisten. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU Bußgelder in dreistelliger Millionenhöhe (Euro) verhängt. Und auch wenn die innerdeutschen Bußgelder (noch) nicht ganz so hoch ausgefallen sind: EU-weit ist ein konsequentes Vorgehen der Datenschutzaufsichtsbehörden zu beobachten. Insofern ist die Übertragung der entsprechenden Aufgaben an einen zuverlässigen und fachlich versierten Dienstleister eine optimale Lösung, um den Auskunftspflichten ihren Schrecken im betrieblichen Alltag zu nehmen.
Drei Fakten zur Datenschutzverletzung
- Enorme Imageschäden, hohe Bußgelder oder gar Schadensersatz – bei Datenschutzverletzungen drohen Unternehmen empfindliche Sanktionen.
- Die DS-GVO sieht bei einer Datenschutzverletzung Bußgelder bis zu 20 Mio. Euro oder aber bis zu 4 Prozent des weltweiten Jahresumsatzes vor.
- Unter gewissen Umständen besteht eine Meldepflicht von Datenschutzverstößen bei der zuständigen Aufsichtsbehörde.
Wie hoch sind die Bußgelder bei einem Datenschutzverstoß?
Die DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirtschafteten Jahresumsatzes im vorangegangenen Geschäftsjahr. Angewendet wird der Wert, der höher ist.
Art. 83 Abs. 24 DSGVO gibt einen entsprechenden Katalog von Bemessungskriterien vor, die für die Verhängung einer Geldbuße gelten sollen.
Berücksichtigt werden dabei unter anderem:
- Art, Schwere und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- jegliche getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortung im Hinblick auf die technischen und organisatorischen Maßnahmen
- frühere Verstöße gegen Datenschutzrecht
- Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde
- Kategorien der durch den Verstoß betroffenen Daten
- Art und Weise, wie der Verstoß bekannt gemacht wurde (insbesondere Selbstanzeige)
- die Einhaltung früher angeordneter Maßnahmen
Die Datenschutzbehörden haben also einen erheblichen Ermessensspielraum in der Bewertung. Wie hoch Bußgelder und Sanktionen tatsächlich ausfallen, kann somit stark variieren.
Bußgeldkatalog Datenschutz – weitere Sanktionen möglich
Der Bußgeldkatalog im Datenschutz, wie ihn die DSGVO festlegt, ist nicht abschließend. Die einzelnen Mitgliedstaaten der Europäischen Union legen nach Art. 84 DSGVO andere Sanktionen für Verstöße gegen die Verordnung fest. Dabei gibt die DSGVO nur vor, dass diese wirksam, verhältnismäßig und abschreckend sein müssen. Zuständig für die Verhängung von Bußgeldern ist die entsprechende Aufsichtsbehörde im Hoheitsgebiet des einzelnen Mitgliedstaates.
Neben Bußgeldern drohen Unternehmen bei Datenschutzverletzungen unter Umständen auch andere Anordnungen durch die Aufsichtsbehörde, beispielsweise eine vorübergehende oder endgültige Beschränkung oder ein Verbot der Verarbeitung von Daten. Abgesehen von gesetzlichen Sanktionsvorschriften können ein Unternehmen bei Datenverlust selbstverständlich auch Schadensersatzansprüche von geschädigten Personen treffen. Ein Datenschutzverstoß kann dabei schnell zur Zahlungspflicht erheblicher Summen führen. Unter Umständen kann eine Durchgriffshaftung eine Vollstreckung in das Privatvermögen des Geschäftsführers zur Folge haben. Eine möglicherweise bestehende Versicherung greift dabei bei Gesetzesverstößen nicht.
Den Datenschutz ernst nehmen
Der mit der DSGVO eingeführte Rahmen von Geldbußen hat einen abschreckenden Charakter. Die Bußgelder können sich existenzbedrohend auswirken, was für Unternehmen bedeutet, dass sie in Zukunft noch mehr an der Einhaltung datenschutzrechtlicher Vorschriften arbeiten sollten. Die gesetzliche Bewertung von Verstößen gegen den Datenschutz hat sich damit endgültig aus dem Bereich „Kavaliersdelikt“ verabschiedet.