Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

In diesem Beitrag setzen wir uns mit dem Kapitel VIII der Datenschutz-Grundverordnung (DSGVO) auseinander, worin die für Betroffene in Betracht kommenden Rechtsbehelfe sowie der Sanktions- und Haftungsumfang festgelegt werden.

Bisherige Gesetzeslage

Die Kenntnis und Einhaltung datenschutzrechtlicher Vorschriften ist essentiell, um als Unternehmer Vertrauen bei der Belegschaft zu schaffen und deren Persönlichkeitsrechte zu wahren. Ebenfalls gilt es, das Unternehmen vor aufsichtsrechtlichen Bußgeldern oder strafrechtlichen Sanktionen zu schützen. Bisher sind dafür die Sanktionsvorschriften des Bundesdatenschutzgesetzes (BDSG) maßgeblich. Danach können die Aufsichtsbehörden einen Bußgeldrahmen bis zu 50.000 € für die Nichteinhaltung datenschutzrechtlicher Formvorschriften (§ 43 Abs. 1 BDSG) sowie bis zu 300.000 € für materiell-rechtliche Datenschutzverstöße (§ 43 Abs. 2 BDSG) ausschöpfen. Außerdem sieht § 44 Abs. 1 BDSG für Handlungen, die gegen Entgelt oder in Bereicherungs- bzw. Schädigungsabsicht begangen werden, Geld- oder Freiheitsstrafe von bis zu einem Jahr vor.

Die Praxis zeigt, dass die Höchstgrenzen der vorgesehenen Bußgelder durch die Aufsichtsbehörden bisher noch nicht ausgereizt wurden. Ebenso wenig ist bekannt, dass Gerichte Freiheitsstrafen wegen Datenschutzverstößen verhängt hätten. Ferner haben Betroffene bisher keinerlei wirkliche Handhabe, die Aufsichtsbehörden dahingehend in die Pflicht zu nehmen, dass diese etwa bei einem Datenlöschungs- oder Berichtigungsbegehren auch innerhalb eines bestimmten Zeitraumes tätig werden (wir berichteten). Schließlich ist auch der für Betroffene vorgesehene direkte Anspruch gegen den Verletzer auf materiellen Schadensersatz aus § 7 BDSG bisher lediglich Inhalt weniger Gerichtsverfahren gewesen. Dies wohl auch vor dem Hintergrund, dass ein materieller Schaden bei einem Datenschutzverstoß häufig nur schwer bezifferbar und ein teures Klageverfahren daher relativ unsicher bleibt.

Veränderungen durch die Datenschutz-Grundverordnung

Wird nun durch die DSGVO alles besser? Können Betroffene ihre Rechte nun endlich einfach, wirksam und zügig durchsetzen? Und werden vor allem die großen Datenkraken wie Google und Co. endlich durch das aufsichtsrechtliche bzw. gerichtliche  „Lasso“ eingefangen und erhalten bei Verstößen solche Sanktionen, die sie wirklich empfindlich treffen? Fragen, die wohl erst beantwortet werden können, nachdem die Verordnung in Kraft getreten ist und sich zeigt, wie die Vorschriften in der Praxis angenommen bzw. umgesetzt werden. Die am 04.05.2016 im EU-Amtsblatt veröffentliche Endfassung der DSGVO vom 27.04.2016 lässt zumindest erkennen, dass einigen dieser Fragen Beachtung geschenkt und Antwortmöglichkeiten aufzeigt werden. Im Einzelnen:

Konkret normierte Rechtsbehelfe – mehr Rechtsschutz für Betroffene?

Wenn Betroffene der Ansicht sind, dass die Verarbeitung sie betreffender personenbezogener Daten unzulässig sei, haben sie gemäß Art. 77 Abs. 1 DSGVO das Recht, entweder Beschwerde bei der Aufsichtsbehörde ihres Mitgliedsstaates, ihres Aufenthaltsortes, ihres Arbeitsplatzes oder des Ortes des Verstoßes zu erheben. Ausweislich des Erwägungsgrundes Nr. 141, der die Verordnung insoweit konkretisiert, soll jede Aufsichtsbehörde dabei Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulares. Damit wird den Betroffenen zuerkannt, dass sie ihre Beschwerde in einer ihnen vertrauten Sprache und in der Nähe ihres Lebensmittelpunktes verfassen und einreichen können.

Die Aufsichtsbehörde wird ferner gemäß Art. 77 Abs. 2 DSGVO dazu verpflichtet, den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs gegen die Aufsichtsbehörde zu unterrichten. Außerdem ist es den Betroffenen gemäß Art. 78 Abs. 2 DSGVO nun möglich, das Gericht anzurufen, wenn die Aufsichtsbehörde sich nicht mit der Beschwerde befasst oder nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der erhobenen Beschwerde informiert.

Einheitlich in Art. 79 Abs. 1 DSGVO normiert ist nunmehr auch das direkte Klagerecht für Betroffene gegen die für die Verarbeitung Verantwortlichen oder gegen deren Auftragsverarbeiter. Klagen kann danach, wer der Ansicht ist, dass seine personenbezogenen Daten nicht im Einklang mit der Verordnung verarbeitet wurden. Betroffene haben hier die Wahl, ihre Klage am Ort einer Niederlassung der datenverarbeitenden Stelle zu erheben oder an ihrem eigenen Aufenthaltsort. Das Spektrum der Klagemöglichkeiten reicht von Schadensersatz-, Unterlassungs-, und Feststellungsklagen bis hin zu Klagen auf Auskunft, Berichtigung oder Löschung von Datensätzen. Neu ist insoweit, dass auch Auftragsverarbeiter direkt in die Pflicht genommen werden können; bisher konnte zumindest im Außenverhältnis ausschließlich die für die Datenverarbeitung verantwortliche Stelle rechtlich belangt werden.

Gemäß Art. 80 Abs. 1 DSGVO ist es den Betroffenen möglich, sich für die Rechtsdurchsetzung entsprechender Einrichtungen, Organisationen oder Vereinigungen zu bedienen und diese zu beauftragen, in ihrem Namen Beschwerde oder Klage zu erheben. Außerdem können die Mitgliedsstaaten festlegen, dass diese Einrichtungen, Organisationen oder Vereinigungen, auch unabhängig von einem Auftrag der Betroffenen, in deren Mitgliedsstaat das Recht bekommen, selbständig und im eigenen Namen Beschwerde einzulegen oder zu klagen, wenn ihrer Ansicht nach durch unzulässige Datenverarbeitung Betroffenenrechte verletzt worden seien. Dem vermeintlich „kleinen“ Bürger wird somit zumindest ansatzweise die Möglichkeit gegeben, auf Augenhöhe gegen das häufig übermächtig erscheinende datenverarbeitende Unternehmen zu prozessieren. Wer genau jedoch mit „Einrichtungen, Organisationen und Vereinigungen“ gemeint ist, bleibt bisher unklar. Naheliegend ist hier, dass diese den in § 3 des Unterlassungsklagengesetz (UKlaG) genannten Stellen ähneln müssen.

Ein weiterer Anreiz für eine zukünftig gesteigerte Klagefreudigkeit Betroffener könnte ferner sein, dass der in Art. 82 Abs. 1 normierte Schadensersatzanspruch ausdrücklich nicht nur – wie bisher gemäß § 7 BDSG für nicht-öffentliche Stellen vorgesehen – den materiellen Schaden erfasst, sondern um den immateriellen Schaden erweitert wird. Fraglich ist hier, inwieweit und vor allem in welcher Höhe ein solcher immaterieller Schaden von den Gerichten zugesprochen wird. Hilfreich könnte etwa eine durch die Rechtsprechung zu entwickelnde Kasuistik mit dazu korrespondierenden Pauschalbeträgen sein, wie etwa im Bereich des Urheber- und Lizenzrechts.

Sensiblere Sanktionstatbestände

Eine maßgebliche Änderung zum derzeit geltenden BDSG ist sicherlich der erweiterte Sanktionsrahmen der DSGVO. So können gemäß Art. 83 Abs. 4 DSGVO bei Verstößen gegen

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 und 43;

b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Gemäß Art. 83 Abs. 5 DSGVO können bei Verstößen gegen

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz

sogar Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Ferner legt Erwägungsgrund 150 der DSGVO klar fest, dass bei der Auferlegung von Geldbußen auf den Unternehmensbegriff der Artikel 101, 102 AEUV (Vertrag über die Arbeitsweise der EU), also auf die gesamte wirtschaftliche Tätigkeit und somit den Konzerngesamtumsatz abzustellen ist.

Dies hört sich zunächst so an, als dass es den großen Unternehmen nun endlich „an den Kragen geht“. Relativiert wird dieser zunächst drakonisch anmutende Sanktionsrahmen jedoch durch die in Art. 83 Abs. 1,2 DSGVO normierten Bedingungen für die Bestimmung der Geldbuße im Einzelfall. Aufsichtsbehörden sollen die Geldbußen danach für jeden Einzelfall so festsetzen, dass sie gemäß Art. 83 Abs. 1 DSGVO „wirksam, verhältnismäßig und abschreckend“ sind. Zur Auslegung dieser unbestimmten Rechtsbegriffe soll jeweils gemäß  Art. 83 Abs. 2 DSGVO berücksichtigt werden:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, falls solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Es ist daher zu erwarten, dass Exculpationsmöglichkeiten wie die vorherige Zertifizierung nach Art. 42 DSGVO oder die Einhaltung von Verhaltensregeln nach Art. 40 DSGVO dazu führen werden, dass der Sanktionsrahmen auch weiterhin selten ausgeschöpft wird. Dafür müssten schon nahezu sämtliche „Auslegungshilfen“ des Art. 83 Abs. 2 DSGVO gegen das jeweilige Unternehmen sprechen. Trotzdem bietet der Bußgeldkatalog zumindest die Möglichkeit, den „Datenkraken“ im Zweifelsfall empfindlich zuzusetzen. Die Rechtsprechung sollte hier bei der jeweiligen Bußgeldbemessung im Einzelfall maßvoll abwägen und insbesondere die Größe des Unternehmens und deren Leistungsfähigkeit im Hinblick auf die Umsetzung eines angemessenen Datenschutz- und Datensicherheitskonzepts berücksichtigen. Es sollte z.B. klar sein, dass bei Google höhere Standards anzusetzen sind als bei einem kleinen Einzelhändler mit wenigen Angestellten und entsprechend geringerem Datenaufkommen.

Öffnungsklauseln

Gemäß Art 83 Abs. 7 DSGVO obliegt es den Mitgliedstaaten selbst, ob und in welcher Höhe diese für ihre eigenen Behörden oder öffentlichen Einrichtungen Bußgelder verhängen. Interessant wird hier sein, wie ein etwaiges Sanktionierungsverfahren tatsächlich ausgestaltet wird, d.h. wer etwa die Behördenbußgelder festsetzt und letztlich „eintreibt“. Außerdem bleibt die Frage, ob nicht in vielen Fällen einfach nur eine „Umbuchung“ zwischen den Behörden stattfände.

Schließlich bietet Art. 84 Abs. 1 DSGVO die Möglichkeit, dass Mitgliedstaaten für solche Verstöße, die keiner in Art. 83 DSGVO genannten Geldbuße unterliegen, alle erforderlichen Maßnahmen festlegen, um deren Durchführung bzw. Sanktionierung zu gewährleisten. Auch die Mitgliedstaaten haben sich jedoch nach den Auslegungskriterien „wirksam, verhältnismäßig und abschreckend“ zu richten.

Fazit

Die im Rahmen der DSGVO festgesetzten Rechtsbehelfe und Sanktionen stellen eine begrüßenswerte Verschärfung der geltenden nationalen Normen dar. Außerdem bieten sie genug Auslegungsspielraum für die Rechtsprechung, die allgemeinen Kriterien „wirksam, verhältnismäßig und abschreckend“ in jedem Einzelfall entsprechend zur Unternehmensgröße und Schwere des Verstoßes zu würdigen. Wichtig ist hier, dass zukünftig auch der gesamte Gesetzesrahmen ausgenutzt wird.

Begrüßenswert ist weiterhin, dass Betroffene die Wahl haben, ihre Beschwerden entweder bei einer naheliegenden Behörde oder einem Gericht, ggf. auch mit Unterstützung einer entsprechenden Organisation, geltend zu machen. Sollte die angerufene Behörde dabei nicht innerhalb von drei Monaten tätig werden, kann außerdem ein Gericht die „Untätigkeit“ überprüfen. Ferner können Betroffene einen immateriellen Schadensersatzanspruch in Geld beanspruchen. Eines häufig sehr schwer zu beziffernden materiellen Schadens bedarf es somit nicht mehr. Gleichwohl muss es möglich sein, die Höhe des (ebenfalls schwer bezifferbaren) immateriellen Schadens in das Ermessen des jeweiligen Gerichts zu stellen, welches diesen regelmäßig und in angemessener Höhe zuspricht.

Auch wenn viele Bereiche der DSGVO nach diesseitiger Ansicht gar nicht oder nur teilweise zu Ende gedacht wurden, erscheinen zumindest die gefassten Rechtsbehelfe und Sanktionstatbestände lobenswert. Ziel muss es sein, diese aktiv anzunehmen und die allgemein herrschende Zurückhaltung bei der Geltendmachung von Datenschutzverstößen ein Stück weit umzukehren.

Weitere Beiträge zur DSGVO in unserem Blog.

| | | , , ,