Mit der kürzlich verabschiedeten EU-Datenschutzgrundverordnung (DSGVO) werden Sanktionen für Datenschutzverstöße drastisch erhöht und das bisher vermeintlich stumpfe Schwert, die Durchsetzung des Datenschutzrechts, plötzlich messerscharf. Unternehmen müssen sich jetzt auf Millionenbußgelder für Datenschutzverstöße einstellen.

1. Durchsetzung des Datenschutzrechts

Die Datenschutzaufsichtsbehörden sind primär für die Kontrolle und Durchsetzung des Datenschutzrecht zuständig und bleiben es auch. Die bisher in § 38 BDSG geregelten Kompetenzen zur Kontrolle verantwortlicher Stellen, Anordnung von Maßnahmen zur Einhaltung des Datenschutzrechts sowie zur Verhängung von Bußgeldern sind auch in Art. 58 DSGVO entsprechend vorgesehen (hierzu 2.). Daneben können die ordentlichen Gerichte Strafen für besonders schwere Datenschutzverstöße verhängen (hierzu 3.) und Private ihre Datenschutzrechte einschließlich Ansprüchen auf Schadensersatz zivilrechtlich durchsetzen (hierzu 4.).

2. Bußgelder für Datenschutzverletzungen

Bislang waren Bußgelder in Millionenhöhe absolute Ausnahmen in der aufsichtsbehördlichen Praxis. Spektakuläre Fälle der letzten Jahre waren die Verhängung von Bußgeldern in Höhe von € 1,46 Mio. gegen 35 Lidl Vertriebsgesellschaften, € 1,3 Mio. gegen die Debeka-Krankenversicherungsverein a.G. und € 1,12 Millionen gegen die Deutsche Bahn AG.

Mit der DSGVO könnten Bußgelder in solcher Höhe nun häufiger werden. Art. 83 Abs. 4-6 DSGVO erhöht den Bußgeldrahmen für Datenschutzverstöße drastisch und vereinheitlicht ihn europaweit. Art. 24 Datenschutzrichtlinie [PDF] auf der die aktuellen Datenschutzgesetze in den EU-Mitgliedsstaaten beruhen, hatte die Festlegung des Sanktionsrahmens noch den Mitgliedsstaaten überlassen. In der Folge gibt es stark divergierende Bußgeldobergrenzen. So sind in Österreich Bußgelder von € 25.000 möglich, in Frankreich € 150.000, in Spanien € 600.000 und im Vereinigten Königreich £ 500.000.

In Deutschland sind nach § 43 Abs. 3 S. 1 BDSG aktuell Bußgelder in Höhe von € 50.000 für Verstöße gemäß § 43 Abs. 1 S. 1 BDSG vorgesehen und € 300.000 für Verstöße gemäß § 43 Abs. 2 BDSG. Darüber hinausgehende Bußgelder setzen derzeit voraus, dass der Verantwortliche einen wirtschaftlichen Vorteil durch den Datenschutzverstoß erlangt. In Art. 83 Abs. 4 DSGVO ist jetzt ein Bußgeldrahmen von bis zu € 10 Mio. vorgesehen; gemäß Art. 83 Abs. 5 und 6 sogar bis zu € 20 Mio. oder 4% des weltweiten Jahresumsatzes.

Die Berechnung des Umsatzes knüpft dabei am Umsatz des Unternehmens im Sinn der Art. 101, 102 AEUV an (siehe DSGVO Erwägungsgrund 150); berücksichtigt werden also Umsätze der gesamten Unternehmensgruppe. Möglich sind daher sogar Milliardenbußgeld für Datenschutzverstöße. Die konkrete Bußgeldhöhe wird natürlich weiter von den Umständen des Einzelfalls abhängen und kann auch deutlich unter den Höchstgrenzen liegen. Kriterien für die Bemessung der Bußgeldhöhe sind gemäß Art. 83 Abs. 2 DSGVO:

  1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  5. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  6. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  7. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  8. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, falls solche Maßnahmen angeordnet wurden;
  9. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
  10. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

 

Aus Erwägungsgrund 150 folgt, dass zur einheitlichen Anwendung der Bemessungsgrundlagen das Kohärenzverfahren gemäß Art. 63 DSGVO angewendet werden soll; gleichzeitig sollen aber auch lokale Besonderheiten, wie das Einkommensniveau in dem Mitgliedstaat und die wirtschaftliche Lage der handelnden Personen berücksichtigt werden.

Für mehrfache Verstöße können grundsätzlich auch mehrfach Bußgelder verhängt werden; eine wichtige Ausnahme und damit eine effektive Haftungsbegrenzung ergibt sich jedoch aus Art. 83 Abs. 3 DSGVO: Wenn ein Bußgeld wegen gleichen oder miteinander verbundenen Verstößen verhängt wird, dann ist der Betrag des insgesamt zu verhängenden Bußgeldes auf den Betrag für den schwerwiegendsten Verstoß begrenzt.

3. Strafen für Datenschutzverletzungen

Die DSGVO enthält keine neuen Straftatbestände im Zusammenhang mit der Verarbeitung personenbezogener Daten. Art. 84 Abs. 1 DSGVO und Erwägungsgrund 149 enthalten die Klarstellung, dass Mitgliedstaaten eigenverantwortlich Regelungen des Datenschutzstrafrechts treffen können und sollen. Inhaltlich entspricht das der Vorgängerregelung in Art. 24 Datenschutzrichtlinie [PDF].

Aktuell ist das Datenschutzstrafrecht in § 44 BDSG sowie in den Landesdatenschutzgesetzen geregelt. Auf letztere soll an dieser Stelle jedoch nicht eingegangen werden. § 44 BDSG verweist auf die Bußgeldtatbestände gemäß § 43 BDSG und stellt deren Verwirklichung unter Strafe, wenn der Täter in der Absicht handelt, „sich oder einen anderen zu bereichern oder einen anderen zu schädigen“.

Angesichts dieser weiten Formulierung sollte man annehmen, dass bei Datenschutzverstößen im geschäftlichen Betrieb häufig auch datenschutzrechtliche Straftatbestände erfüllt sind. Diese scheinen jedoch offenbar nicht im Fokus der Staatsanwaltschaften zu stehen – soweit ersichtlich gibt es in der Geschichte des deutschen Datenschutzstrafrechts bisher erst ein Urteil.

Die Datenschutzordnungswidrigkeiten in § 43 Abs. 1 und 3 BDSG werden mit Inkrafttreten der DSGVO im Mai 2018 durch Datenschutzordnungswidrigkeitstatbestände gemäß Art.83 DSGVO abgelöst. Die Anknüpfung in § 44 BDSG macht dann keinen Sinn mehr. Der deutsche Gesetzgeber ist daher gefordert, das Datenschutzstrafrecht bis zum Inkrafttreten der DSGVO wieder mit Inhalt zu füllen.

Dass der deutsche Gesetzgeber eine Regelung zum Datenschutzstrafrecht treffen wird, ist anzunehmen – wie jedoch offen. Naheliegend wäre, ein § 44 BDSG entsprechende Regelung in einem Gesetz zur Umsetzung der Gesetzgebungszuständigkeiten nach der DSGVO aufzunehmen, auf den Katalog der Ordnungswidrigkeiten gemäß Art. 83 DSGVO zu verweisen und deren Verwirklichung unter qualifizierenden Umständen unter Strafe zu stellen. Aber auch alternative Gestaltungen sind denkbar.

Schadensersatz für Datenschutzverletzungen

Art. 82 Abs. 1 DSGVO enthält eine Anspruchsgrundlage zum Ersatz materieller und immaterieller Schäden für Datenschutzverletzungen. Dieser Anspruch richtet sich gegen den Verantwortlichen und schreibt insoweit die geltende Rechtslage gemäß § 7 BDSG bzw. Art. 23 Abs. 1 Datenschutzrichtlinie [PDF] fort. Darüber hinaus ergibt sich – anders als bisher gemäß § 7 BDSG – aus Art. 82 Abs. 1 DSGVO auch ein Direktanspruch gegen den Auftragsverarbeiter.

Voraussetzung für einen Anspruch ist nach bisheriger und neuer Rechtslage die adäquat-kausale Verletzung des Datenschutzrechts und die Verursachung eines Schadens. Neu (in der Sache jedoch nur deklaratorisch) ist der allgemeine gesetzliche Anspruch auf Ersatz immateriellen Schadens. Dieser ergibt sich bisher für öffentliche Stellen aus § 253 Abs. 1 BGB i.V.m. § 8 Abs. 2 BDSG und für nicht öffentliche Stellen aus § 253 Abs. 1 BGB i.V.m. der Grundrechtsgewährleistung aus Art. 1 Abs. 1 und Art. 2 Abs. 1 GG.

Voraussetzung eines Schadensersatzanspruchs gegen den Verantwortlichen ist, dass dieser gegen seine Pflichten nach der DSGVO verstoßen hat; Voraussetzung für einen Anspruch gegen den Auftragsverarbeiter, dass dieser gegen seine vertraglichen Pflichten gegenüber dem Verantwortlichen oder explizit in der DSGVO geregelte Auftragsverarbeiterpflichten verstoßen hat. In beiden Fällen wird der Pflichtverstoß vermutet. Gemäß Art. 82 Abs. 3 können sich Verantwortlicher und Auftragsverarbeiter jedoch exkulpieren. wenn sie nachweisen, dass sie nicht gegen ihre Pflichten verstoßen haben. Diese unscheinbare Regelung könnte erhebliche Auswirkungen haben. Sie erleichtert nämlich die Anspruchsbegründung für Betroffene erheblich; es ist also mit einer Zunahme von datenschutzrechtlichen Schadensersatzbegehren und -klagen zu rechnen.

Art. 82 Abs. 4 und 5 DSGVO enthalten Regelungen zur Gesamtschuld und zum internen Ausgleich bei der Verursachung des Schadens durch mehrere Verantwortliche bzw. Auftragsverarbeiter. Inhaltlich entsprechen sie den Regelungen zur Gesamtschuld in §§ 421 und 430 BGB. Bei der gemeinsamen Schadensverursachung kann der Betroffene den gesamten Schaden von einem Verursacher verlangen; dieser kann dann intern Regress bei den anderen Verursachern nehmen.

Wie bisher kann ein Anspruch auf Schadensersatz wegen der Verletzung des Datenschutzrechts natürlich alternativ auch auf andere (zivilrechtliche) Anspruchsgrundlagen gestützt werden, etwa § 823 Abs. 2 BGB i.V.m. der verletzten Norm der DSGVO.

Fazit und Praxisempfehlung

Die Regelungen zu Datenschutzordnungswidrigkeiten und -strafen sowie zum Schadensersatz entwickeln das europäische Datenschutzrecht fort ohne es zu revolutionieren.

Wie bisher können Datenschutzaufsichtsbehörden Datenschutzverstöße mit Bußgeldern sanktionieren. Für Unternehmen entscheidend ist dabei die drastische Erhöhung des Bußgeldrahmens auf € 20 Mio. und darüber hinaus. Diese Neuerung sollten sie für ihrer Compliance- und Risikomanagement-Strategie berücksichtigen und in gute Datenschutz-Compliance investieren.

Ob sich das Datenschutzstrafrecht ändert liegt in der Hand des deutschen Gesetzgebers – wesentliche inhaltliche Änderungen sind hier nicht ausgeschlossen aber wohl auch nicht zu erwarten. Für Unternehmen ist das Thema angesichts geringer Aufmerksamkeit der Staatsanwaltschaften noch nicht im Compliance-Fokus – auf einen ewigen Dornröschenschlaf des Datenschutzstrafrechts vertrauen sollte man trotzdem nicht.

Neu im Datenschutz-Schadensrecht der DSGVO sind der Direktanspruch des Betroffenen auf gegen den Auftragsverarbeiter und die Beweislastumkehr für Datenschutzverletzungen. Dies könnte zur vermehrten Anspruchstellung und Klagen führen. Unternehmen sollten sich darauf einstellen, indem Sie ihre Prozesse zur Verarbeitung personenbezogener Daten und ihre Datenschutz-Organisation gut dokumentieren, um sich jedenfalls gegen unbegründete Ansprüche angemessen verteidigen zu können.

Andere Beiträge in dieser Serie:

1. Teil der Serie: EU-Datenschutzgrundverordnung – Neue Serie

3. Teil der Serie: Grundsätze zur Datenverarbeitung, Einwilligung und Erlaubnistatbestände

4. Teil der Serie: Auftragsdatenverarbeitung und internationaler Datenverkehr