Bußgelder und Sanktionen

Immer wieder ist von horrenden Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4% des globalen Umsatzes aus dem vorangegangenen Geschäftsjahr – je nachdem, welcher Betrag höher ist – zu lesen. Dabei darf man aber nicht außer Acht lassen, dass es sich um Höchstsummen handelt, die nur bei wirklich schweren Datenverstößen zum Tragen kommen. Das neue hohe Strafmaß soll bewusst machen, dass Verstöße gegen die Datenschutz-Grundverordnung zugleich auch Verstöße gegen die Grundrechte-Charta der Europäischen Union sind.

Sollte es tatsächlich in Ihrem Unternehmen zu einem schwerwiegenden Datenverstoß kommen, sollen die Sanktionen gemäß Art. 84 DSGVO zwar wirksam und abschreckend sein, aber sie müssen auch verhältnismäßig sein. Außer einem Bußgeld kann dies beispielsweise auch eine Gewinnabschöpfung, ein zeitlich begrenztes oder sogar endgültiges Verbot der Datenverarbeitung sein.

Der Kriterienkatalog zur Bemessung ist in Art. 83 Abs. 2 (a) bis (k) DSGVO geregelt:

• Art, Schwere und Dauer des Verstoßes
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
• getroffene Maßnahmen zur Minderung des entstandenen Schadens
• Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
• etwaige einschlägige frühere Verstöße
• Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
• Einhaltung früher angeordneter Maßnahmen
• Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
• jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste

Art. 84 DSGVO ist keine abschließende Regelung, sondern die Mitgliedsstaaten können weitere Strafvorschriften oder Sanktionen einführen. Verhängt werden Sanktionen oder Bußgelder in Deutschland von den deutschen Aufsichtsbehörden, bei internationalen Datentransfers von der federführenden Behörde gem. Art. 56, 60 DSGVO.

Noch ein sehr wichtiger und ggf. teurer Aspekt ist das Thema "Schmerzensgeld". Verbraucher – und dieser Begriff umfasst auch Arbeitnehmer – können Schadensersatzansprüche auch bei Nichtvermögensschäden geltend machen. Das ist neu und kann zu erheblichen wirtschaftlichen Risiken führen.

Gerne unterstützen wir Sie auch weiterhin mit unserer datenschutzrechtlichen Expertise und stehen Ihnen bei Umsetzungsfragen zur Seite.