Die Frage nach Sanktionen im Datenschutz beschäftigt sowohl Arbeitgeber als auch Mitarbeiter. Schließlich war in der Vergangenheit von erheblichen Bußgeldern, die unter anderem für die Überwachung von Mitarbeitern und Kunden sowie aufgrund von Datenpannen verhängt worden sind, die Rede.
Sanktionen, Ordnungswidrigkeiten, Bußgelder, Geld- und Freiheitstrafen – Was ist darunter zu verstehen?
Mit dem Oberbegriff „Sanktionen“ sind die Rechtsfolgen bei Datenschutz-Verstößen gemeint, dabei fallen unter Sanktionen sowohl Ordnungswidrigkeiten als auch strafrechtlich relevante Verstöße. Des Weiteren ist auch bei arbeitsrechtlichen Folgen, wie der Abmahnung oder Kündigung, von Sanktionen die Rede.
Ordnungswidrigkeiten sind Verstöße gegen geltendes Recht, die in der Regel – anderes als Straftaten – mit einer Geldbuße (Bußgeld) bestraft werden. Im Bundesdatenschutzgesetz (BDSG) werden Ordnungswidrigkeiten und die damit verbundenen Bußgelder im § 43 BDSG erfasst, wobei Straftaten in § 44 BDSG erläutert werden. Straftaten werden mit einer Freiheitsstrafe oder eine Geldstrafte geahndet.
Mit welchen Sanktionen im Datenschutz gerechnet werden sollte
Unternehmen, Behörden, Vereine und Köperschaften müssen bei Bekanntwerden von Datenschutzverstößen nicht, wie auf dem Bild dargestellt, zur Strafe viele Male „Ich muss mich an den Datenschutz halten!“ schreiben, die möglichen Folgen sind natürlich weitaus schlimmer. So muss bei Verstößen mit hohen Bußgeldern oder sogar einer Geld- oder Freiheitsstrafe gerechnet werden.
Gemäß § 43 Abs. 3 Bundesdatenschutzgesetz (BDSG) können Ordnungswidrigkeiten aus § 43 Abs. 1 BDSG mit einer Geldbuße von bis zu 50.000 Euro und Ordnungswidrigkeiten aus § 43 Abs. 2 BDSG sogar mit einer Geldbuße bis zu 300.000 Euro bestraft werden, wobei die benannten Beträge überschritten werden können, wenn der wirtschaftliche Vorteil aus der Ordnungswidrigkeit höher ist als die Geldbuße.
Gemäß § 43 Abs. 1 BDSG handelt man ordnungswidrig, wenn unter anderem vorsätzlich oder fahrlässig
- der Meldepflicht nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig nachgegangen wird,
- die Bestellung des Datenschutzbeauftragten nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig erfolgt,
- die Erteilung eines Auftrags nicht richtig, nicht vollständig, nicht in der vorgegebenen Weise erfolgt oder vor Beginn der Datenverarbeitung keine Kontrolle der technischen und organisatorischen Maßnahmen stattfindet,
- auf ein Auskunftsersuchen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig reagiert wird.
Gemäß § 43 Abs. 2 BDSG handelt man ordnungswidrig, wenn unter anderem vorsätzlich oder fahrlässig
- personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben oder verarbeitet werden,
- der Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig gemacht wird,
- die Mitteilung bei einer Datenpanne nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.
Werden die in § 43 Abs. 2 BDSG benannten Ordnungswidrigkeiten gegen Entgelt oder in der Absicht, sich bzw. einen anderen zu bereichern oder zu schädigen, begangen, so handelt es sich um eine Straftat. Strafrechtlich relevante Verstöße können im Sinne des § 44 Abs. 1 BDSG mit einer Geldstrafe oder mit einer Freiheitsstrafe von bis zu zwei Jahren bestraft werden.
Des Weiteren sollten verantwortliche Stellen nicht außer Acht lassen, dass sie, gemäß § 7 BDSG zum Schadensersatz verpflichtet sind, wenn die unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung personenbezogener Daten dem Betroffenen einen Schaden zufügt. Kann sie allerdings beweisen, dass sie erforderliche Maßnahmen zur ordnungsgemäßen Erhebung, Verarbeitung und Nutzung getroffen hat, so haftet sie nicht. Es geht hierbei also um die Einhaltung der Sorgfaltspflichten.
Sanktionen im Datenschutz – Wieso Ordnungswidrigkeiten bereits mit Bußgeldern in Millionenhöhe gezahlt wurden
Zusätzlich sollte bei Sanktionen im Datenschutz beachtet werden, dass die benannten Bußgelder pro Vergehen verhängt werden und bei mehreren Vergehen die Bußgelder aufsummiert werden können. In der Folge kam es bereits zu Bußgelder in Millionenhöhe. Ist beispielsweise kein interner/externer Datenschutzbeauftragter bestellt und es wird nicht auf Auskunftsersuchen reagiert, so können direkt für beide Vergehen Sanktionen verhängt werden.
Wer haftet für Datenschutzverstöße?
Grundsätzlich können sowohl die Geschäftsführung bzw. der Vorstand als auch die Mitarbeiter einer verantwortlichen Stelle haften. Auch ein Haftungstatbestand des Datenschutzbeauftragten kann bei Vorsatz oder grober Fahrlässigkeit nicht ausgeschlossen werden.
Übernimmt zunächst zwar die Geschäftsführung die Gesamtverantwortung, so kann unter anderem die Verletzung des Datengeheimnisses gemäß § 5 BDSG für den Mitarbeiter zu arbeitsrechtlichen Konsequenzen (Abmahnung oder Kündigung), zu Bußgeldern oder zu strafrechtlichen Konsequenzen führen.
Die Hinwirkungspflicht verpflichtet den Datenschutzbeauftragten auf die Einhaltung des Datenschutzes hinzuwirken. Der Datenschutzbeauftragte kann somit keine Weisungen erteilen, wodurch in der Regel die verantwortliche Stelle die Verantwortung und Haftung trägt, allerdings ist die Haftung des Datenschutzbeauftragten, wie bereits erläutert, nicht vollumfänglich auszuschließen.
Welche Auswirkungen hat die EU-Datenschutzgrundverordnung auf die Sanktionen im Datenschutz?
Die im Mai 2016 verabschiedete EU-Datenschutzgrundverordnung (DSGVO), die nach einer zweijährigen Übergangsfrist 2018 wirkt und bis dahin schon – sofern nicht bereits geschehen – umgesetzt werden sollte, sieht neben weiteren Rechten für Betroffene höhere Sanktionen im Datenschutz vor.
Die Bußgelder werden mit der kommenden EU-DSGVO erheblich steigen und bis zu 20 Millionen oder vier Prozent des weltweiten Jahresumsatzes aus dem Vorjahr betragen, wobei bei Konzernen der Vorjahresumsatz des Konzerns als Grundlage genommen wird.
Neue strafrechtliche Konsequenzen sieht die EU-DSGVO nicht vor, allerdings bleibt abzuwarten, wie die Datenschutzgrundverordnung in den einzelnen Ländern umgesetzt wird. Artikel 84 der EU-DSGVO sieht vor, dass die Mitgliedsstaaten insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 EU-DSGVO unterliegen, andere Sanktionen festlegen. Auch hier laufen bereits die Verhandlungen zur Anpassung des Bundesdatenschutzgesetzes.
Fazit
Die Nichtbeachtung von Datenschutzvorschriften kann neben erheblichen Sanktionen im Datenschutz, die zukünftig aufgrund der EU-DSGVO höher ausfallen könnten, zu einem enormen Imageverlust führen.