nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
Digitalisierung - Datenschutz

Millionenbußen bei Verstößen gegen die EU-Datenschutzgrundverordnung

Personenbezogene Daten unterliegen dem allgemeinen Persönlichkeitsrecht eines jeden Menschen. Deren besondere Schutzwürdigkeit hebt die Europäische Union mit der Umsetzung einer gemeinsamen Rechtsgrundlage hervor, der Datenschutz-Grundverordnung (DSGVO). Diese ist mit Wirkung zum 25. Mai 2018 für alle öffentlichen und nicht öffentlichen Stellen der Mitgliedstaaten verbindlich. Auch für die deutsche Industrie und Wirtschaft drohen ab diesem Zeitpunkt im Falle eines Verstoßes Bußgelder in Millionenhöhe.

Die Androhung empfindlich hoher Geldbußen in der DSGVO soll auf die Verantwortlichen in Industrie und Wirtschaft ganz explizit abschreckend wirken. Artikel 83 DSGVO beinhaltet sowohl die zur Feststellung der Bußgeldhöhe benötigten Bewertungsgrundsätze als auch die im Rahmen diverser Verstöße anzuwendenden Bußgeldsätze.

Nach welchen Kriterien werden Verstöße bewertet?

Zuständig für die Verhängung und Festlegung der Sanktionen im Falle einer Zuwiderhandlung sind die einzelnen Aufsichtsbehörden. Artikel 83 Absatz 2 DSGVO gibt diesen einzelne Aspekte vor, die bei der Bewertung zu berücksichtigen sind.

Neben den ergriffenen Maßnahmen zur Schadensminderung, der Zusammenarbeit mit der Aufsichtsbehörde, der Tragweite sowie der Art des Verstoßes ist hierbei auch von Bedeutung, ob der Verantwortliche diesen vorsätzlich oder fahrlässig beging. Vorangegangene datenschutzrechtliche Verstöße können darüber hinaus erschwerend wirken.

Zudem ist die Art der betroffenen personenbezogenen Daten von Bedeutung. Vor allem besondere Arten personenbezogener Daten dürfen grundsätzlich nicht verarbeitet werden. Hierunter fallen alle Daten über rassische und ethnische Herkunft, politische, religiöse, philosophische Anschauungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben und sexueller Orientierung sowie genetische und biometrische Daten.

Die DSGVO schließt die Liste der zu berücksichtigenden erschwerenden und mildernden Umstände nicht ab, sondern lässt grundsätzlich auch die Würdigung weiterer Aspekte zu. Die Aufsichtsbehörden haben somit einen größeren Spielraum.

Welche Sanktionen sieht die DSGVO vor?

Artikel 83 DSGVO legt unterschiedliche Bußgeldsätze fest, die bei verschiedenen Verstößen anzusetzen sind. Diese gelten auch für Unternehmen aller Wirtschaftszweige, die personenbezogene Daten - also auch Kundendaten - verarbeiten.

Unterschieden werden dabei zwei Höchstmaße, denen verschiedene Tatbestände beigeordnet sind.

Eine Geldbuße bis 10 Millionen Euro bzw. bei Unternehmen bis 2 % des weltweiten Jahresumsatzes - zu wählen ist am Ende der höhere Wert - droht z. B. in folgenden Fällen (Artikel 83, Absatz 4, DSGVO):
- Bei der Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren wurde keine Einwilligung der Sorgeberechtigten eingeholt.
- Es wurden nur ungeeignete technische und organisatorische Maßnahmen für die sichere Datenverarbeitung getroffen.
- Die Verantwortlichen führen kein vorschriftsmäßiges Verzeichnis über die Verarbeitungstätigkeit.
- Es erfolgte eine verspätete, unvollständige oder unrichtige Meldung eines intern zur Kenntnis genommenen Datenschutzverstoßes an die Aufsichtbehörde und/oder den Betroffenen.
- Trotz Verpflichtung wurde kein Datenschutzbeauftragter bestellt.

Ein Bußgeld bis 20 Millionen Euro bzw. bei Unternehmen bis 4 % des weltweiten Jahresumsatzes - auch hier entscheidet der höhere Betrag - kann z. B. in folgenden Fällen angesetzt werden:
- Die für die Datenverarbeitung geltenden Grundsätze wurden nicht eingehalten. Hierzu zählen u. a. Zweckbindung, Zweckmäßigkeit, Datensparsamkeit sowie Transparenz.
- Die Datenverarbeitung war nicht rechtmäßig, wie z. B. bei fehlender Einwilligung oder fehlender gesetzlicher Berechtigung.
- Der Betroffene hat in die Datenverarbeitung nicht ausdrücklich und aktiv eingewilligt, obwohl es der Einwilligung bedarf.
- Es wurden verbotswidrig besondere Arten personenbezogener Daten verarbeitet.
- Die Rechte der Betroffenen wurden nicht oder nicht angemessen berücksichtigt (u. a. Auskunftsrecht, Recht auf Berichtigung, Löschung oder Sperrung, Widerspruchsrecht).

Abschreckung ist das Ziel!

Das wesentliche Ziel können derart hohe Sanktionen gewiss bei vielen Unternehmen in Industrie und Wirtschaft erreichen: Die Abschreckung und Furcht vor zum Teil auch die Geschäftszahlen beeinflussenden Geldbußen wird für eine gewissenhaftere Umsetzung der DSGVO sorgen.

Weitere Informationen zum Thema Datenschutz im Internet finden Sie unter: Datenschutz.org

Christian Ruthe

Berufsverband der Rechtsjournalisten e.V.

info@datenschutz.org

DIN EN ISO 9001:2015

Zum ISO 9001:2015 Special

Prozesswelt

Serie zum Thema Prozesse, veröffentlicht von QM-Experten deutscher Unternehmen gemeinsam mit der N5 GmbH und der Fachzeitschrift QZ

Zur Prozesswelt