0 Rechtsentwicklung
Rz. 1
Im Zusammenhang mit der Neufassung des SGB X v. 18.1.2001 (BGBl. I S. 130) wurde die Vorschrift neu bekanntgemacht. Sie wurde durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze v. 18.5.2001 (BGBl. I S. 904) inhaltlich überarbeitet und an die Stelle des bisherigen § 85 gesetzt und ist seit dem 23.5.2001 in Kraft.
Zum 25.5.2018 wurde § 85a durch Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften v. 17.7.2017 (BGBl. I S. 2541) an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung (DSGVO) v. 27.4.2016 (ABl. L 119/1) umfassend angepasst und wieder – wie bis zum 22.5.2001 – an die Stelle des bisherigen § 85 gesetzt.
1 Allgemeines
Rz. 2
§ 85a enthält seit dem 25.5.2018 keine eigene Aufzählung von Tatbeständen, die als Ordnungswidrigkeiten mit Bußgeld geahndet werden können (vgl. § 85a a. F.).
Die Verhängung von Bußgeld bei Verstößen gegen die Datenschutzbestimmungen wird seit dem 25.5.2018 abschließend unmittelbar durch Art. 83 DSGVO geregelt, so dass die bis dahin geltenden Bußgeldtatbestände im SGB wie auch im BDSG entfallen konnten.
2 Rechtspraxis
Rz. 3
§ 85a Abs. 1 enthält keinen eigenen Regelungsinhalt, sondern verweist nur auf § 41 BDSG und erreicht damit, dass das Gesetz über Ordnungswidrigkeiten und die allgemeinen Gesetze über das Strafverfahren, namentlich die Strafprozessordnung und das Gerichtsverfassungsgesetz auch auf Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO Anwendung finden (Rz. 6 bis 8).
Da Betriebs- und Geschäftsgeheimnisse in § 35 Abs. 4 SGB I den Sozialdaten gleichgestellt werden (vgl. die dortige Komm. Rz. 11 bis 13), gilt Art. 83 DSGVO für sie entsprechend.
Abs. 2 setzt das verfassungsrechtliche Verbot einer Selbstbezichtigung um (Rz. 15).
Abs. 3 nimmt Behörden und sonstige öffentliche Stellen von Bußgeldern aus (Rz. 16).
2.1 Verstöße nach Art. 83 DSGVO
Rz. 4
Laut Erwägungsgrund (EG) 150 DSGVO sollte jede Aufsichtsbehörde befugt sein Geldbußen zu verhängen, um "die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen".
Dem folgt Art. 83 Abs. 1 DSGVO, der im Interesse einer konsequenteren Durchsetzung der DSGVO jeder Aufsichtsbehörde die Verhängung von Geldbußen für Verstöße gegen Art. 83 Abs. 5 und 6 DSGVO ermöglicht.
Damit stehen der Aufsichtsbehörde, gemeint ist die nationale für die Kontrolle des Datenschutzes zuständige Behörde gemäß Art. 51 DSGVO, zusätzlich zu den geeigneten Maßnahmen nach der DSGVO oder anstelle solcher Maßnahmen (vgl. die Komm. zu § 81) weitere Sanktionsmöglichkeiten einschließlich der Verhängung von Geldbußen zur Verfügung.
Rz. 5
Das Bußgeld- und Strafverfahren selbst wird in der DSGVO nicht geregelt. An den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahrens wird festgehalten, da insbesondere Art. 83 Abs. 8 DSGVO ausdrücklich fordert, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen.
2.1.1 Verstöße i. S. v. Art. 83 Abs. 4 DSGVO
Rz. 6
Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 10 Mio. EUR verhängt:
- die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß Art. 8, 11, 25 bis 39, 42 und 43 DSGVO (vgl. die Komm. zu § 35 SGB I und die Komm. zu § 80);
- die Pflichten der Zertifizierungsstelle gemäß Art. 42 und 43 DSGVO (vgl. die Komm. zu § 78c);
- die Pflichten der Überwachungsstelle gemäß Art. 41 Abs. 4 DSGVO.
2.1.2 Verstöße i. S. v. Art. 83 Abs. 5 DSGVO
Rz. 7
Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 20 Mio. EUR verhängt:
- die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß Art. 5, 6, 7 und 9 DSGVO; Ausführungen hierzu finden sich in der Kommentierung zu § 35 SGB I und der Kommentierung zu § 67b;
- die Rechte der betroffenen Person gemäß Art. 12 bis 22 DSGVO, vgl. die Komm. zu §§ 82 bis 84;
- die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß Art. 44 bis 49 DSGVO (vgl. die Komm. zu § 77);
- alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Art. 85 bis 91 DSGVO) erlassen wurden (die Komm. zu § 75 enthält entsprechende Ausführungen zu Art. 89 DSGVO);
- Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DSGVO (vgl. die Komm. zu § 81).
2.1.3 Verstöße i. S. v. Art. 83 Abs. 6 DSGVO
Rz. 8
Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO (vgl. die Komm. zu § 81) werden Geldbußen von bis zu 20 Mio. EUR verhängt.
2.2 Anwendung von § 41 BDSG (§ 85a Abs. 1)
Rz. 9
Nach § 85a Abs. 1 gilt für Sozialdaten § 41 BDSG.
2.2.1 Anwendung der Vorschriften über das Bußgeld- und Strafverfahren
Rz. 10
Nach § 41 Abs. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 DSGVO (Rz. 6 bis 8) die Vorschriften des G...