Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, welche Strafen/Bußgelder und andere behördliche Konsequenzen bei Verstößen gegen die Datenschutzgrundverordnung zu erwarten sind.

Der Maßnahmenkatalog bei Datenschutzverstößen bleibt im Wesentlichen unverändert. Das heißt, die Konsequenzen bei Datenschutzverstößen sind ihrer Art nach dieselben wie bisher. Dazu gehören behördenseitig – zusätzlich oder anstelle von Bußgeldern und Strafen (hierzu weiter unten) – insbesondere Unterlassungsansprüche, Untersuchungsbefugnisse sowie weitere Anordnungen von Datenschutzbehörden (Erteilung von Auskünften, Untersagung bestimmter Vorgänge, Vorgaben zu bestimmtem Vorgehen, etc.). Ziel der Verordnung ist es, dass die Datenschutzbehörden in Zukunft insbesondere von ihren Untersuchungsbefugnissen zunehmend Gebrauch machen. Ob die Datenschutzbehörden bei
Verstößen direkt zu Bußgeldern greifen, bleibt abzuwarten. Wahrscheinlicher ist es wohl (jedenfalls in Deutschland), dass die Datenschutzbehörden (außer bei gravierenden Fällen) zunächst von diesen Möglichkeiten Gebrauch machen, insbesondere um den (vermeintlichen) Verstoß aufzuklären, bevor sie ein Bußgeld verhängen.

a. Wer kann von möglichen Bußgeldern betroffen sein?

Die verantwortliche Stelle und der Auftragsdatenverarbeiter (neu!), soweit die Verordnung für ihn gilt und er für Einhaltung der Verordnung verantwortlich ist (siehe hierzu oben Frage 3).

b. Höhe:

Muss ich direkt mit einem Bußgeld in Höhe von 4 Prozent des Jahresumsatzes rechnen? Wovon hängt die Höhe der Strafe ab? Wie auch nach dem Bundesdatenschutzgesetz gibt es zwei qualitative Klassen von Verstößen. Die mildere Vorschrift erlaubt die Verhängung von Bußgeldern bis zu 10 Mio. EUR oder 2 Prozent des gesamten, weltweiten Umsatzes, je nachdem, was höher  ist. Die in dieser Vorschrift aufgeführten Verstöße betreffen überwiegend Vorschriften, welche nicht die Zulässigkeit der Datenverarbeitung regeln, z.B. die Gebote Datenschutz durch Technik und Datenschutz durch Voreinstellungen sowie die Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen. Die zweite, strengere Vorschrift sanktioniert hingegen überwiegend Verstöße gegen Vorschriften, welche die Zulässigkeit der Datenverarbeitung regeln, insbesondere die Erlaubnistatbestände sowie Datentransfers und berechtigt zur Verhängung von Bußgeldern bis zu 20 Mio. EUR oder 4 Prozent des gesamten, weltweiten Umsatzes, je nachdem, was höher ist.
Die Höhe des Bußgelds ist im Einzelfall zu bestimmen; sie soll „wirksam, verhältnismäßig und abschreckend“ sein. Anhaltspunkte zur Bestimmung der Höhe des Bußgelds sind insbesondere: Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Anzahl der von der Bearbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; die zur Minderung des Schadens getroffenen Maßnahmen; etwaige einschlägige, frühere Verstöße; das Maß der Zusammenarbeit mit der Aufsichtsbehörde; auf welche Weise die Aufsichtsbehörde Kenntnis vom Verstoß erlangt hat, z.B. ob sich freiwillig gemeldet wurde.
Insgesamt muss abgewartet werden, wie die Aufsichtsbehörden (und ggf. die Gerichte) mit den Bußgeldtatbeständen in Zukunft umgehen. Es ist davon auszugehen, dass es hier (zumindest in den ersten Jahren) erhebliche Unterschiede zwischen verschiedenen Aufsichtsbehörden gibt. Im Ergebnis bedeutet die neue Rechtslage aber eindeutig eine „Aufforderung“ an die Aufsichtsbehörden strenger vorzugehen. Erklärtes Ziel ist es, durch (dem Kartellrecht ähnliche) harte Strafen Unternehmen anzuhalten, den Datenschutz ernster zu nehmen und Verstöße zu vermeiden.