Die neue Datenschutzgrundverordnung enthält Bestimmungen für Geldbußen (Art. 83 DSGVO) und Bestimmungen für das Recht auf Schadensersatz (Art. 82 DSGVO). Sie werden ergänzt durch Regelungen des BDSG-neu (§ 42 BDSG-neu/Strafvorschriften und § 43 BDSG-neu/Bußgeldvorschriften).
Bußgelder
Die EU-DSGVO sieht eine maximale Geldbuße von bis zu 20 Mill. Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahres vor; je nachdem, welcher Wert der höhere ist. Es gilt der Jahresumsatz des gesamten Unternehmens, nicht der der einzelnen juristischen Person.
Bußgeldbemessung
Zur Bemessung des Bußgeldes gibt es einen Katalog mit Kriterien in Art. 83 Abs. 2 (a) bis (k) DSGVO. Entscheidend sind:
- Art, Schwere und Dauer des Verstoßes
- Vorsätzlichkeit oder Fahrlässigkeit
- die vorgenommenen Maßnahmen zur Minderung des entstandenen Schadens
- Verantwortungsgrad unter Berücksichtigung aller getroffenen Maßnahmen
- etwaige einschlägige frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere Selbstanzeige
- Einhaltung früher angeordneter Maßnahmen
- Einhaltung genehmigter Verhaltensregeln
- alle anderen Umstände des Einzelfalles (u.a. finanzielle Vorteile)
Schadenersatzpflicht
Wenn eine betroffene Person durch unzulässige oder unrichtige Datenerhebung, Verarbeitung oder Nutzung einen Schaden erleidet, ist das Unternehmen/Kanzlei schadensersatzpflichtig. Das kann auch ein immaterieller Schaden (z.B. Rufschädigung) sein.
Eine Exkulpierung ist nur möglich, wenn durch einen Dienstleister nachweisen werden kann, dass das Unternehmen/Kanzlei für den Verstoß nicht verantwortlich ist.
Unternehmen/Kanzlei und Dienstleister der Auftragsdatenverarbeitung haften dabei gesamtschuldnerisch.
Hinweis: Gegenüber kleinen Unternehmen wie einer Kanzlei kommen Geldbußen in Millionenhöhe selbstverständlich nicht in Betracht. Doch auch sie müssen bei ernsthaften Verstößen mit Geldbußen in vier- oder fünfstelliger Höhe rechnen. Denn Geldbußen müssen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein (Art. 83 Abs. 1 DS-GVO).
Konsequenzen für Kanzleimitarbeiter
Strafrechtlich relevante Verstöße gegen den Datenschutz werden mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Antragsberechtigt ist nicht nur der Betroffene, sondern auch die Aufsichtsbehörde und das Unternehmen.
Auch für den verantwortlichen Mitarbeiter bestehen unter Umständen gegenüber seinem Arbeitgeber Schadensersatzpflichten, wenn er sich nicht an seine Pflichten zur Beachtung des Datenschutzes gehalten hat. Verstöße gegen den Datenschutz können für den Mitarbeiter darüber hinaus auch arbeitsrechtliche Konsequenzen von der Abmahnung bis zur Kündigung haben.
