DSGVO Strafen – hier droht Unternehmen Ärger

 In Gewerbliche Rechtsschutzversicherung

Welche DSGVO Strafen gibt es?

Die Datenschutz-Grundverordnung ( DSGVO ) legt Datenschutzgrundsätze fest, die EU-weit gelten. Insbesondere betrifft dies den Umgang mit personenbezogenen Daten, etwa von Kunden oder Beschäftigten. Generell sind alle Unternehmen, Personen und Instanzen betroffen, die mit personenbezogenen Daten arbeiten, etwa indem sie diese erheben oder verarbeiten. Viele Unternehmen sind im Moment unsicher und befürchten drakonische DSGVO Strafen aufgrund nicht korrekter oder unvollständiger Umsetzung dieser neuen Datenschutzbestimmungen.

Mögliche Beispiele, auf die sich die Regelungen und Auswirkungen der DSGVO erstrecken, sind die Betreiber von Videoüberwachungsmaßnahmen, Auftragsdatenverarbeiter, Verantwortliche, die Daten ins Ausland übermitteln oder die Betreiber von Webseiten

Wer gegen die Grundsätze der der Datenschutzgrundverordnung verstößt, muss mit Abmahnungen, Strafen und Geldbußen sowie Schadenersatzforderungen rechnen. Betroffenen Unternehmen und Institutionen drohen Bußgelder in Millionenhöhe.

Viele Unternehmen sind deshalb unsicher, ob ihre Abläufe und Handhabungen den Vorschriften der DSGVO entsprechen – kein Wunder, schließlich drohen kostspielige und potenziell rufschädigende Gerichtsverhandlungen. DSGVO Hilfen können wertvolle Unterstützung  leisten, um über alle Pflichten Bescheid zu wissen. Welche Strafen und Geldbußen aber drohen tatsächlich – und von wem können diese verhängt werden? Und wie können DSGVO Hilfen eingesetzt werden?

Mögliche Reaktionen der Aufsichtsbehörden auf Verstöße gegen die Datenschutz-Grundverordnung

Die Aufsichtsbehörden haben eine Reihe von möglichen Maßnahmen, mit denen sie auf Verstöße gegen die Bestimmungen der DSGVO reagieren können. Dazu zählen einerseits Bußgelder. Zusätzlich oder stattdessen ist es ihnen auch möglich, dem Verantwortlichen anzuordnen, den Verstoß zu beenden. Sie können den Firmen auch anordnen, die Art und Weise, in der diese personenbezogene Daten verarbeiten, so zu ändern, dass dies den Grundsätzen der DSGVO entspricht.

Widersetzt sich ein Betroffener den von der Datenschutzbehörde angeordneten Maßnahmen, kann die zuständige Aufsichtsbehörde auch die Datenverarbeitung verbieten – zeitweise oder dauerhaft. Auch Auftragsverarbeiter, die im Auftrag eines Unternehmens personenbezogene Daten verarbeiten, können auf diese Weise bei Verstößen belangt werden. Auch ihnen drohen Bußgelder.

Höhe der möglichen Strafen

Die maximalen Strafen, die bei Verstößen gegen die datenschutzrechtlichen Bestimmungen der DSGVO drohen, sind wesentlich höher als die Sanktionen, die das deutsche Bundesdatenschutzgesetz vorsieht. Dies hängt damit zusammen, dass die Strafen laut Artikel 83 DSGVO grundsätzlich wirksam, verhältnismäßig und abschreckend sein sollen.

So können besonders schwere Verstöße nach Artikel 83, Abs. 5 DSGVO mit einem Bußgeld von bis zu 20 Millionen Euro belegt werden. Geht der Verstoß von einem Unternehmen aus, ist es auch denkbar, dass alternativ bis zu vier Prozent des Jahresumsatzes gezahlt werden müssen. Da es sich hierbei um eine Maximalstrafe handelt, die eine abschreckende Wirkung haben soll, muss der Verantwortliche den höheren Betrag zahlen.

Auch bei weniger schweren Verstößen können hohe Geldstrafen auf die betroffenen Akteure zukommen. Laut Artikel 83, Abs. 4 DSGVO können Bußgelder von bis zu 10 Millionen Euro verhängt werden. Alternativ kann die Strafe zwei Prozent des Umsatzes des Vorjahres betragen, falls dies den höheren Betrag darstellt.

Wann handelt es sich laut DSGVO um ein Unternehmen?

Die Definition der Datenschutzgrundverordnung, wann es sich um ein Unternehmen handelt, ist relativ breit. Gemeint ist eine Einheit, die eine wirtschaftliche Tätigkeit ausübt. Es kommt dabei nicht auf ihre Rechtsform oder auf ihre Finanzierung an.

Als Unternehmen zur Verantwortung gezogen werden können nicht nur Firmen im eigentlichen Sinne, sondern auch andere Einheiten im juristischen Sinne, etwa ein Zusammenschluss mehrerer Personen. Auch ein Konzern kann bei Verstößen mit Sanktionen und Geldbußen belegt werden. Zur Bemessung des Strafmaßes wird der Gesamtumsatz herangezogen.

Wie kommen DSGVO Strafen zustande?

Es obliegt den EU-Mitgliedsstaaten, die Regelungen der Datenschutz-Grundverordnung in Bezug auf Geldbußen und Sanktionen festzulegen. Das nationale Recht und die damit einhergehenden rechtlichen Vorgaben werden angewendet, wenn gegen die Vorschriften der Datenschutzgrundverordnung verstoßen wird.

Ebenso ist es von der Entscheidung der nationalen Instanzen abhängig, ob die Vorschriften der DSGVO auch für Verstöße gelten, die von Behörden und öffentlichen Einrichtungen ausgehen.Die Datenschutz-Grundverordnung  macht hier keine konkreten Vorgaben.

Welche Bußgelder und Strafen im Fall eines Verstoßes verhängt werden, obliegt der Entscheidung der Aufsichtsbehörden. Sie legen die Sanktionen anhand eines Kriterienkatalogs fest.

Verstöße gegen DSGVO: Kriterien für die Verhängung von DSGVO Strafen

Wenn es um die Verhängung von Geldbußen oder eine Abmahnung wegen eines Verstoßes gegen die rechtlichen Regelungen der Datenschutz-Grundverordnung geht, haben die zuständigen Behörden einen gewissen Spielraum innerhalb der national festgelegten Regelungen. Insbesondere greifen sie bei der Festlegung von DSGVO Strafen auf einen Kriterienkatalog zurück, der in Artikel 83 DSGVO geregelt ist.

Zu den Kriterien für die Verhängung von DSGVO Strafen zählen:

  • Die Art, Schwere und Dauer des Verstoßes. Auch die Art, der Umfang und Zweck der Verarbeitung von personenbezogenen Daten, die Anzahl der Betroffenen und die Auswirkungen des Verstoßes auf diese spielen eine Rolle.
  • Vorsätzlichkeit und Fahrlässigkeit.
  • Die gegebenenfalls von den Verantwortlichen getroffenen Maßnahmen, um den Schaden zu begrenzen.
  • Der Grad der Verantwortung der Verantwortlichen oder des Auftragsverarbeiters. Auch getroffene technische und organisatorische Maßnahmen werden hierbei bedacht.
  • Etwaige Verstöße in der Vergangenheit.
  • Die Kooperation mit der Aufsichtsbehörde.
  • Die Art der personenbezogenen Daten, die von dem Verstoß betroffen sind.
  • Auf welche Weise der Verstoß bekannt geworden ist.
  • Ob der Verantwortliche von der Aufsichtsbehörde angeordnete Maßnahmen umsetzt.
  • Ob genehmigte Verhaltensregeln und Zertifizierungsverfahren eingehalten werden.
  • Ob mildernde oder erschwerende Umstände hinzukommen, etwa durch finanzielle Vorteile.

So hängen die rechtlichen Auswirkungen eines Verstoßes gegen die Datenschutzgrundverordnung und die Höhe der Bußgelder etwa davon ab, ob ein Vorsatz beim betroffenen Unternehmer oder dem Verantwortlichen erkennbar ist. Zu höheren Strafen führt es auch, wenn Verantwortliche auf eine Anordnung zur Anpassung ihrer Handlungsweisen nicht reagieren oder sie nicht ausreichend mit den Aufsichtsbehörden zusammenarbeiten. Betroffene Unternehmen sollten in entsprechenden Fällen DSGVO Hilfen in Anspruch nehmen, um rechtlich auf der sicheren Seite zu sein und Schaden zu vermeiden.

Wann werden Verstöße gegen die Vorgaben der Datenschutz-Grundverordnung verfolgt?

Verstöße gegen die Vorschriften der Datenschutzgrundverordnung werden zum einen dann verfolgt, wenn die Aufsichtsbehörden eine aktive Überprüfung vornehmen. Es kann andererseits auch passieren, dass Mitarbeiter, Geschäftspartner oder Kunden der Betroffenen den Verstoß gegen die rechtlichen Vorschriften bei der Aufsichtsbehörde melden. Nicht zuletzt können die Aufsichtsbehörden auch tätig werden, wenn der Verantwortliche durch Berichterstattung in der Presse auffällt.

Die Vorgaben der Datenschutzgrundverordnung sehen vor, dass Verantwortliche Datenpannen innerhalb von 72 Stunden an die Aufsichtebehörden melden müssen. Insofern drohen eine Abmahnung oder Bußgelder auch bei Selbstanzeige der betroffenen Unternehmer oder anderen Personen. Vor solchen Schritten sind DSGVO Hilfen sinnvoll.

Von welchen Behörden können DSGVO Strafen erwartet werden?

Verantwortliche, die einen Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung zu verzeichnen haben, können ins Visier der zuständigen Aufsichtsbehörden geraten. Dies betrifft Unternehmer, deren Firma in der Europäischen Union ansässig ist. Auch Unternehmer, die personenbezogene Daten erheben, die in der EU lebende Personen betreffen, müssen bei einem Verstoß mit einer Abmahnung oder Geldbußen sowie gegebenenfalls weiteren DSGVO Strafen rechnen.

Firmen, die als Auftragsverarbeiter im Auftrag eines Unternehmens Daten verarbeiten, können bei einem Verstoß gegen die Regelungen der Datenschutz-Grundverordnung ebenfalls mit DSGVO Strafen sanktioniert werden.

Zuständig sind zunächst die Datenschutzbehörden der Bundesländer ( in Nordrhein-Westfalen ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit ). Diese werden tätig, wenn sie eigeninitiativ Betroffene überprüfen oder durch Dritte auf mögliche Verstöße gegen die rechtlichen Vorgaben der Datenschutz-Grundverordnung aufmerksam gemacht werden.

Beinhaltet die Tätigkeit der Betroffenen einen internationalen Datenaustausch, ist die federführende Behörde gemäß den Artikeln 56 und 60 DSGVO zuständig.

DSGVO Strafen bei einem Verstoß drohen auch durch weitere Akteure

Nicht nur die eigentlich zuständigen Aufsichtsbehörden können tätig werden, wenn es zu Verstößen gegen die Regelungen und Pflichten der DSGVO kommt. Auch Verbände haben grundsätzlich ein Klagerecht. Es ist ihnen erlaubt, Unternehmer und andere Verantwortliche bei einem Verstoß zur Rechenschaft zu ziehen. Sie dürfen eine Abmahnung aussprechen. Auch der Klageweg steht ihnen prinzipiell offen.

Werden Verbände aufgrund eines Verstoßes gegen die rechtlichen Bestimmungen der DSGVO aktiv, müssen gegebenenfalls auch die zuständigen Behörden handeln. Ein Zwang, Ermittlungen aufzunehmen, besteht für sie, wenn es aufgrund der Verletzung von datenschutzrechtlichen Pflichten zu einem Prozess kommt.

Eine Klage können auch natürliche Personen einreichen, wenn die ihre Rechte bei einem Verstoß gegen die DSGVO-Bestimmungen verletzt sehen. Die möglichen Auswirkungen für die betroffenen Unternehmen erstrecken sich insbesondere auf Zahlungen von Schadenersatz. Dies kann drohen, wenn den Betroffenen materieller oder immaterieller Schaden durch die Verstöße entstanden ist. DSGVO Hilfen helfen, dies zu verhindern.

Welche Behörden verhängen welche DSGVO Strafen?

DSGVO Strafen, etwa Bußgelder, aber auch eine Abmahnung, können von unterschiedlichen Instanzen verhängt werden. Insbesondere zählt diese Aufgabe zu den Pflichten der Aufsichtsbehörden in nationaler ( oder lokaler ) Zuständigkeit sowie der federführenden Aufsichtsbehörde.

Laut den Bestimmungen der DSGVO ist die Datenschutzbehörde für DSGVO Strafen wie Geldbußen zuständig, in deren Zuständigkeitsbereich sich die Hauptniederlassung des betroffenen Unternehmern oder Auftragsverarbeiters befindet. Handelt es sich um einen grenzüberschreitenden Vorgang, legt die federführende Datenschutzbehörde das weitere Vorgehen fest oder verhängt selbst Bußgelder.

Die Zuständigkeit der federführenden Aufsichtsbehörde ergibt sich aus dem sogenannten One-Stop-Shop-Prinzip ( OSS ), das bei DSGVO Strafen gilt. Geldbußen und weitere Sanktionen werden demnach bei grenzüberschreitender Datenverarbeitung nicht von mehreren grundsätzlich zuständigen Behörden eigenständig verhängt, sondern durch die übergeordnete Behörde verhängt. Die federführende Aufsichtsbehörde ist bei drohenden DSGVO Strafen der zentrale Ansprechpartner von Betroffenen.

Diese Regelung soll verhindern, dass mehrere potenziell zuständige Behörden unterschiedliche DSGVO Strafen verhängen. Nichtsdestotrotz sind übergeordnete Behörden bei der Entscheidung über DSGVO Strafen eingebunden.

Wie entscheidet sich, wer bei DSGVO Strafen zuständig ist?

Geht es um die Auswirkungen bei der Verletzung von datenschutzrechtlichen Pflichten, ist zunächst einmal die Datenschutzbehörde zuständig, die die ursprüngliche Beschwerde erhalten hat oder die eigenständig auf den betreffenden Vorfall aufmerksam geworden ist. Dies gilt allerdings nur, wenn die Pflichtverletzung ausschließlich in ihrer Zuständigkeit liegt. Das kann der Fall sein, wenn der Verstoß nur eine bestimmte Niederlassung eines Unternehmens betrifft oder betroffene Personen, deren Rechte verletzt wurden, ausschließlich in ihrem Bereich ansässig sind.

Es zählt zu den Pflichten der Aufsichtsbehörde, die federführende Aufsichtsbehörde über den Misstand in Kenntnis zu setzen. Diese muss entscheiden, ob sie selbst für die Verhängung von DSGVO Strafen tätig wird oder ob sie den Fall in die Zuständigkeit der untergeordneten Behörde zurückverweist, damit diese über mögliche Bußgelder selbst entscheidet.

Andererseits muss bei möglichen DSGVO Strafen jede nationale Datenschutzbehörde informiert werden, die von der Datenpanne betroffen ist – etwa, weil natürliche Personen aus ihrem Zuständigkeitsbereich von den Auswirkungen des Vorfalls betroffen sind. Eine Koordination, welche Behörde zur Verhängung möglicher Bußgelder tätig wird, muss dann vorgenommen werden.

Ist ein betroffenes Unternehmen nicht in der EU ansässig, ist keine Abstimmung erforderlich. DSGVO Strafen wie Bußgelder verhängt dann die national oder lokal zuständige Datenschutzbehörde. Informationen bietet auch der Internetauftritt der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Welche DSGVO Hilfen gibt es?

Die Regelungen der Datenschutz-Grundverordnung sind äußerst komplex. Ohne externe DSGVO Hilfen kann es für Unternehmer und andere Verantwortliche schwierig werden, die rechtlichen Vorgaben einzuhalten. Verstoßen sie hingegen gegen die Vorschriften der DSGVO, riskieren sie unter Umständen hohe DSGVO Strafen, Bußgelder oder eine Abmahnung. Handelt es sich um ein in der Öffentlichkeit bekanntes Unternehmen, geht mit Verstößen gegen den Datenschutz häufig auch ein Imageschaden einher. DSGVO Hilfen können dabei helfen, solche Fälle zu vermeiden.

Um sicherzustellen, dass sie die Vorschriften und Pflichten einhalten, die von der Datenschutzgrundverodnung ausgehen, ist es für Verantwortliche sinnvoll, DSGVO Hilfen von Experten in Anspruch zu nehmen.

Zu den Optionen, die DSGVO Hilfen bieten, zählt etwa eine grundsätzliche datenschutzrechtliche Beratung. Anbieter von DSGVO Hilfen können auch Compliance-Audits durchführen. Auch bei der rechtlich korrekten Dokumentation von Daten, deren Verarbeitung sowie von Datenflüssen sind professionelle DSGVO Hilfen sinnvoll.

Hilft eine Firmenrechtsschutzversicherung gegen DSGVO Strafen?

Unternehmer sollten in jedem Fall die Vertragsinhalte ihrer gewerblichen Rechtsschutzversicherung überprüfen. Ein möglicher Vorwurf der Datenschutzbehörde könnte sein, Kunden- oder Mitarbeiterdaten nicht ordnungsgemäß gegen fremden Zugriff geschützt zu haben. Gegen diesen behördlichen Vorwurf kann sich der Unternehmer dann mit einem versierten Strafverteidiger zur Wehr setzen.

Im Versicherungsumfang der Rechtsschutzpolice sollte aus diesem Grund auch der sog. Datenrechtsschutz enthalten sein.

www.gewerbe-profi.de

Mirko Bubig

Recent Posts

Leave a Comment

Erweiterter Strafrechtsschutz. Bei Vorsatzvergehen ist schnelles Handeln durch einen Fachanwalt erforderlich.Branchenbuch Abzocke