Zum Inhalt springen

VERSTÖSSE GEGEN DEN DATENSCHUTz

Was ist eine Datenschutzverletzung? Umgangssprachlich wird eine Datenschutzver­letzung auch „Datenpanne“ genannt und unterliegt definierten Melde- und Anzeigepflichten.
Eine Datenschutzverletzung wird definiert im Art. 33 DS-GVO und Art. 4 Nr. 12 DS-GVO.

Datenschutz und Auskunftspflicht

Die datenschutzrechtlichen Regelungen setzen an vielen Stellen Auskunftspflichten der verantwortlichen Stelle und auch des betrieblichen Datenschutzbeauftragten gegenüber Aufsichtsbehörden fest. Die verschärfte europäische Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist, spezifiziert diese Auskunftspflichten weiter. Nicht nur dass Versäumnisse zukünftig mit empfindlich hohen Bußgeldern geahndet werden; ein ordnungsgemäß umgesetzter Datenschutz setzt zudem voraus, dass jederzeit Auskunft erteilt werden kann.

Seit Mai 2018: Verschärfte Sanktionen & konsequente Behörden

Die EU-Datenschutzgrundverordnung erweitert die Aufgabenbereiche der Aufsichtsbehörden nochmals erheblich und verschärft zudem Sanktionen bei Versäumnissen. Mit bis zu 20 Millionen Euro Bußgeld oder einer umsatzabhängigen Bußgeldvariante können sich Unternehmen Fehlleistungen im Datenschutz nicht leisten. Seit dem Inkrafttreten der DSGVO im Mai 2018 wurden in der EU Bußgelder in dreistelliger Millionenhöhe (Euro) verhängt. Und auch wenn die innerdeutschen Bußgelder (noch) nicht ganz so hoch ausgefallen sind: EU-weit ist ein konsequentes Vorgehen der Datenschutzaufsichtsbehörden zu beobachten. Insofern ist die Übertragung der entsprechenden Aufgaben an einen zuverlässigen und fachlich versierten Dienstleister eine optimale Lösung, um den Auskunftspflichten ihren Schrecken im betrieblichen Alltag zu nehmen.

Drei Fakten zur ­Datenschutz­verletzung

  • Enorme Imageschäden, hohe Bußgelder oder gar Schadensersatz – bei Datenschutzverletzungen drohen Unternehmen empfindliche Sanktionen.
  • Die DS-GVO sieht bei einer Datenschutzverletzung Bußgelder bis zu 20 Mio. Euro oder aber bis zu 4 Prozent des weltweiten Jahresumsatzes vor.
  • Unter gewissen Umständen besteht eine Meldepflicht von Datenschutz­verstößen bei der zuständigen Aufsichtsbehörde.

Wie hoch sind die Bußgelder bei einem Datenschutzverstoß?

Die DSGVO droht mit einer Geldbuße von bis zu 20 Millionen EUR oder bis zu 4 % des weltweit erwirt­schafteten Jahresumsatzes im vorangegangenen Geschäftsjahr. Angewendet wird der Wert, der höher ist.

Art. 83 Abs. 24 DSGVO gibt einen entsprechenden Katalog von Bemessungskriterien vor, die für die Ver­hängung einer Geldbuße gelten sollen.

Berücksichtigt werden dabei unter anderem:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsatz oder Fahrlässigkeit
  • jegliche getroffenen Maßnahmen zur Minderung des den betroffenen Personen ­entstandenen ­Schadens
  • Grad der Verantwortung im Hinblick auf die technischen und organisatorischen ­Maßnahmen
  • frühere Verstöße gegen Datenschutzrecht
  • Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde
  • Kategorien der durch den Verstoß betroffenen Daten
  • Art und Weise, wie der Verstoß bekannt gemacht wurde (insbesondere Selbstanzeige)
  • die Einhaltung früher angeordneter Maßnahmen

Die Datenschutzbehörden haben also einen erheblichen Ermessensspielraum in der Bewertung. Wie hoch Bußgelder und Sanktionen tatsächlich ausfallen, kann somit stark variieren.

Bußgeldkatalog Datenschutz – weitere Sanktionen möglich

Der Bußgeldkatalog im Datenschutz, wie ihn die DSGVO festlegt, ist nicht abschließend. Die einzelnen Mitgliedstaaten der Europäischen Union legen nach Art. 84 DSGVO andere Sanktionen für Verstöße gegen die Verordnung fest. Dabei gibt die DSGVO nur vor, dass diese wirksam, verhältnismäßig und abschreckend sein müssen. Zuständig für die Verhängung von Bußgeldern ist die entsprechende Aufsichtsbehörde im ­Hoheitsgebiet des einzelnen Mitgliedstaates.

Neben Bußgeldern drohen Unternehmen bei Datenschutzverletzungen unter Umständen auch andere An­ordnungen durch die Aufsichtsbehörde, beispielsweise eine vorübergehende oder endgültige Beschränkung oder ein Verbot der Verarbeitung von Daten. Abgesehen von gesetzlichen Sanktionsvorschriften können ein Unternehmen bei Datenverlust selbstverständlich auch Schadensersatzansprüche von geschädigten Personen treffen. Ein Datenschutzverstoß kann dabei schnell zur Zahlungspflicht erheblicher Summen führen. Unter Umständen kann eine Durchgriffshaftung eine Vollstreckung in das Privatvermögen des Geschäftsführers zur Folge haben. Eine möglicherweise bestehende Versicherung greift dabei bei Gesetzesverstößen nicht.

Den Datenschutz ernst nehmen

Der mit der DSGVO eingeführte Rahmen von Geldbußen hat einen abschreckenden Charakter. Die Bußgelder können sich existenzbedrohend auswirken, was für Unternehmen bedeutet, dass sie in Zukunft noch mehr an der Einhaltung datenschutzrechtlicher Vorschriften arbeiten sollten. Die gesetzliche Bewertung von Verstößen gegen den Datenschutz hat sich damit endgültig aus dem Bereich „Kavaliersdelikt“ verabschiedet.