Sanktionen unter der DSGVO

Derzeit wird die Einhaltung des Datenschutzrechts von vielen Unternehmen stiefmütterlich behandelt, da die Sanktionsgefahren gering sind. Bald jedoch wird die EU-Datenschutzgrundverordnung (DSGVO) erheblich höhere Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Konzernjahresumsatzes als bislang vorsehen. Es ist davon auszugehen, dass die Datenschutzaufsichtsbehörden strenger als bislang vorgehen und deutlich höhere Bußgelder verhängen werden. Da die DSGVO deutlich weitergehende Transparenzpflichten sowie Dokumentationspflichten vorsieht, ist das Entdeckungsrisiko bei Nichteinhaltung der Gesetze deutlich höher als derzeit.

Allerdings gehen die Sanktionsmöglichkeiten bei Datenschutzverstößen weit hinaus über die Verhängung von Bußgeldern. Das neue Gesetz sieht noch verschiedene andere Maßnahmen vor, die für Unternehmen zu einer finanziellen Bedrohung werden können. Diese sollen nachfolgend geschildert werden.

Selbstkontrolle der Datenschutz-Umsetzung

Um die Einhaltung der datenschutzrechtlichen Vorgaben zu überprüfen und eine Standortbestimmung bei der Umsetzung der DSGVO im Unternehmen vorzunehmen, haben die Aufsichtsbehörden inzwischen interessante Dokumente veröffentlicht. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat kürzlich einen Fragebogen an 150 Unternehmen versandt, in dem der aktuelle Stand der DSGVO-Umsetzung abgefragt wird (zur Pressemitteilung hier). Der dort eingesetzte Fragebogen – der in ähnlichem Umfang demnächst vermutlich von anderen Aufsichtsbehörden abgefragt werden wird – bietet einen hilfreichen Überblick über die Anforderungen, die künftig an die Datenschutzorganisation eines jeden Unternehmens gestellt werden. Sie können anhand dieses Fragebogens eine Selbstprüfung vornehmen, wie der aktuelle Stand der Umsetzung bei Ihnen derzeit ist. Sollten bei Ihnen noch Punkte offen sein, stehen wir Ihnen natürlich gerne zur Verfügung.

Mögliche Sanktionen bei Nichteinhaltung der DSGVO

  • Abmahnung von Verbraucherschutzverbänden: Art. 80 Abs. 2 DSGVO können nationale Gesetzgeber vorsehen, dass den Verbraucherschutzverbänden (bspw. der Verbraucherschutzzentrale Bundesverband, VZBV) die Rechte eingeräumt werden, Datenschutzverstöße zu verfolgen. In Deutschland ist dies bereits durch das Unterlassungsklagegesetz (UKlaG) geschehen, so dass Abmahnungen durch die Verbraucherschutzverbände bei Nichteinhaltung der datenschutzrechtlichen Anforderungen drohen.
  • Abmahnungen von „Datenschutzvereinen“: 80 Abs. 1 DSGVO sieht vor, dass jeder privatrechtlich organisierte eingetragene Verein, der laut Satzung die Verfolgung von Datenschutzverstößen zur Aufgabe hat, Unternehmen abmahnen kann. Pate für diese Regelung stand die von Max Schrems gegründete Gruppe „Europe vs. Facebook“, die sich als Bürgerrechtler für die Durchsetzung des europäischen Datenschutzniveaus einsetzen. Angesichts der weitreichenden Formulierung der DSGVO ist allerdings zu befürchten, dass sich künftig „Datenschutzabmahnvereine“ gründen werden, die mit Anwaltskanzleien zusammenarbeiten, um Kosten bei Datenschutzverstößen zu generieren. Da das Entdeckungsrisiko deutlich höher als bislang ist, droht ein neues Abmahnunwesen, dem durch eine saubere Aufstellung des Datenschutzauftritts nach Außen entgegengewirkt werden kann.
  • Abmahnungen und Schmerzensgeldforderungen durch Betroffene: Betroffenen wird weitergehend und einfacher als bislang gem. Art. 79, 82 DSGVO ermöglicht, selbst Abmahnungen zur Unterlassung von Datenschutzverstößen und der Einforderung von Schmerzensgeld bei Verstößen zu ermöglichen. Aufgrund der von Verbraucherschutz- und Bürgerrechtsverbänden beworbenen DSGVO besteht auch hier ein höheres Risiko, dass deutlich mehr Bürger ihre Rechte wahrnehmen möchten.
  • Erweiterte Rechte der Datenschutzaufsichtsbehörden: Neben der Verhängung der Bußgelder von bis zu 4 % des weltweiten Konzernjahresumsatzes sieht Art. 58 DSGVO erweiterte Rechte und Befugnisse der Datenschutzbehörden vor. So besteht ein deutlich höheres Risiko als bislang, dass bspw. Auskunftsersuchen durch die Aufsichtsbehörde abgefragt und so Datenschutzverstöße festgestellt werden. Daher ist eine saubere Dokumentation der Umsetzung des Datenschutzes notwendig.
  • Betriebsräte: Die betriebsverfassungsrechtlichen Befugnisse der Betriebsräte bleiben unverändert. Art. 88 DSGVO ermöglicht weitgehend eigenständige nationale Regelungen zur Verarbeitung von Beschäftigtendaten. Auch künftig können Betriebsräte also die rechtmäßige Verarbeitung von Beschäftigtendaten überprüfen.

Verstöße gegen datenschutzrechtliche Vorgaben bedeuten künftig deutlich höhere Risiken. Bußgelder sind nur ein kleiner Teil der Sanktionsmöglichkeiten, die die DSGVO vorsieht. Aufgrund deutlich erweiterter Dokumentationsverpflichtungen sind Verstöße gegen Datenschutzrecht deutlich besser erkennbar als bislang – man kann von einer Beweislastumkehr sprechen, da im Zweifel das Unternehmen nachweisen muss, rechtskonform zu arbeiten. Insofern drohen Unternehmen deutlich mehr Risiken, da auch Verbraucherschutzverbände und privatrechtlich organisierte Vereine deutlich weitergehend als bislang Datenschutzverstöße verfolgen können. Es ist daher umso wichtiger, die Grundlagen der DSGVO zeitnah umzusetzen.

Ihr Ansprechpartner: Dr. Matthias Lachenmann, Datenschutzbeauftragter (UDISzert), Tel.: 0228-90248070; E-Mail: