Wer kontrolliert die Einhaltung der DSGVO?
Unter der DSGVO kommt den unabhängigen, staatlichen Aufsichtsbehörden eine wichtige Rolle zu. Nach Art. 51 DSGVO ist jeder Mitgliedsstaat verpflichtet, eine oder mehrere unabhängige Behörden für die Anwendung und Überwachung der DSGVO zu schaffen. In Deutschland sind dies die unabhängigen Datenschutzbeauftragten der Länder sowie die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Diese Behörden sollen einerseits die Einhaltung datenschutzrechtlicher Vorgaben kontrollieren und ggf. sanktionieren, andererseits vor allem aber auch Orientierungshilfe bei der Implementierung der Vorgaben und eine Anlaufstelle für Betroffene bieten.
Grundsätzlich gilt für die Aufsichtsbehörden eine territoriale Zuständigkeit, womit jede Aufsichtsbehörde im jeweiligen Hoheitsgebiet ihres Mitgliedsstaates zuständig ist. Die zuständige Aufsichtsbehörde für ein Unternehmen richtet sich dabei europaweit nach dem Sitz bzw. der Niederlassung des Verantwortlichen. Bei grenzüberschreitenden Datenverarbeitungen kann die Aufsichtsbehörde des Landes, in dem die Hauptniederlassung liegt, die zuständige „federführende“ Behörde sein (Art. 56 DSVGO). Dies hat für Unternehmen den Vorteil, dass sie sich nicht mit mehreren Aufsichtsbehörden koordinieren müssen, sondern sich stets an die federführende Behörde wenden können.
Welche Folgen haben Verstöße gegen die DSGVO?
Eine wichtige besonders praxisrelevante Neuerung der DSGVO liegt in den verschärften Sanktionsmöglichkeiten bei Verstößen gegen die datenschutzrechtlichen Vorgaben. So verfügen die Aufsichtsbehörden neben weitreichenden Untersuchungs- und Abhilfebefugnissen nach Art. 58 DSGVO auch über die Möglichkeit, Bußgelder zu verhängen. Die Höhe des Bußgelds wird dabei von der Aufsichtsbehörde bestimmt. Gesetzlich ist vorgeschrieben, dass das verhängte Bußgeld wirksam, verhältnismäßig und abschreckend sein muss. Der Bußgeldrahmen ist dabei stark gestiegen: Für die in Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße können Bußgelder von bis zu 20 Millionen Euro oder – im Fall eines Unternehmens – bis zu 4 % des gesamten weltweiten Jahresumsatzes verhängt werden. Bei Verstößen von geringerem Ausmaß, die in Art. 83 Abs. 4 DSGVO bestimmt sind, können Geldbußen von bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Jahresumsatzes verhängt werden. Diese Sanktionsandrohung wird gerade bei großen Unternehmen deshalb umso wichtiger, weil der EuGH den Begriff des „Unternehmens“ hier weit versteht: Bei Konzernen kann daher nicht der weltweite Jahresumsatz der konkreten Unternehmenseinheit, sondern vielmehr der gesamte Konzernumsatz die Berechnungsgrundlage darstellen.
Welche Höhe das Bußgeld genau hat, wird durch die zuständige Aufsichtsbehörde unter Berücksichtigung einiger gesetzlich vorgeschriebener Kriterien bemessen. So spielt etwa eine Rolle, ob der Verstoß vorsätzlich begangen wurde, ob rechtzeitig Maßnahmen zur Schadensminimierung getroffen wurden und ob bzw. wie der Verantwortliche mit der Aufsichtsbehörde kooperiert hat. Im Mai 2022 hat der Europäische Datenschutzausschuss (EDSA) Leitlinien für die Berechnung von Geldbußen angenommen. Diese Leitlinien enthalten auch einheitliche Ausgangspunkte für die Berechnung einer Geldbuße, wobei vor allem drei Kriterien herangezogen werden: Art (Kategorie) des Verstoßes, Schwere des Verstoßes und Umsatz des Unternehmens.
Neben den Bußgeldbestimmungen der DSGVO ist insbesondere zu beachten, dass der Verantwortliche nach Art. 82 DSGVO dem Betroffenen für immaterielle Schäden (sprich Nichtvermögensschäden, bspw. Schmerzensgeld) und materielle Schäden (sprich Vermögensschäden) haftet, die aus dem Verstoß gegen die DSGVO entstehen. Der Vorschrift kommt in der Praxis zunehmend eine erhebliche Bedeutung zu, da sie grundsätzlich für jeden Verstoß gegen DSGVO-Normen Schadensersatz gewährt und damit in zahlreichen Fallkonstellationen Anwendung findet. Unter welchen konkreten Voraussetzungen Betroffene Schadensersatz fordern können, steht insbesondere bei immateriellen Schäden in der Diskussion. Uneinig sind sich deutsche und europäische Gerichte aktuell darüber, ob der Kläger für eine Entschädigungszahlung einen Schaden erlitten haben muss oder ob bereits ein Verstoß gegen die DSGVO für einen Schadensersatzanspruch genügt. Einige Gerichte gehen von einer Erheblichkeitsschwelle für den Ersatz immaterieller Schäden aus, die bagatellartige Verletzungen der DSGVO-Vorgaben ausschließt. Zudem ist umstritten, ob der Verantwortliche von der Schadensersatzpflicht befreit ist, wenn ihn kein Verschulden trifft. Ein klärendes Urteil des EuGH zu diesen Fragen steht bislang aus. Auch die Höhe der gewährten Schadensersatzsummen variiert stark und reicht bis in den vierstelligen Euro-Bereich. Ein erhöhtes Haftungsrisiko für Verantwortliche ergibt sich zudem dadurch, dass Datenpannen häufig eine Vielzahl an Personen betreffen und Schadensersatz vermehrt in Form von Massenklagen geltend gemacht wird.
Ergänzend legen die §§ 41 ff. BDSG bei Verstößen nach Art. 83 Abs. 4 bis 6 DSGVO einen Straf- und Bußgeldrahmen fest, wonach wissentliche unberechtigte Weitergaben personenbezogener Daten zu Freiheitsstrafen bis zu drei Jahren oder Geldstrafen führen können.