Österreich: Neues EU-Datenschutzrecht: Sanktionen und Haftung

Die neue europäische Datenschutzgrundverordnung (DSGVO) sieht erhebliche Sanktionen vor, um den Datenschutz innerhalb der EU zu harmonisieren und ein einheitliches Schutzniveau sicherzustellen. Neben der Ahndung einzelner Datenschutzverletzungen sollen Sanktionen auch abschreckend für andere Unternehmen wirken.

Hoheitliche Maßnahmen

Hoheitliche Maßnahmen können in Geldbußen oder Abhilfemaßnahmen bestehen, wie die Beschränkung oder das Verbot einer Verarbeitung; die Berichtigung oder Löschung von personenbezogenen Daten oder das Verbot eines Datentransfers in Nicht-EU/EWR Länder. Anstatt dessen oder zusätzlich zu Abhilfemaßnahmen können auch Geldbußen verlangt werden. Bei der Entscheidung über die Festsetzung und die Höhe der Geldbuße haben die Aufsichtsbehörden die Art, Schwere und Dauer der Datenschutzverletzung, den Zweck der Datenverarbeitung, die Anzahl der betroffenen Personen, den Schadensumfang, das Verschulden, die eingesetzten Mittel zur Risikovorbeugung oder -begrenzung, die Haftung des Verantwortlichen, die angewandten technischen und organisatorischen Maßnahmen und andere erschwerende oder mildernde Umstände zu berücksichtigen.

In kleineren Fällen mit geringem Risiko für die Betroffenen kann die Sanktion in einer bloßen Warnung oder einem Verweis ohne Festsetzung einer Geldbuße bestehen. Schwerwiegendere Datenschutzverletzungen werden in zwei Kategorien unterteilt: Solche der ersten Kategorie können mit Geldbußen bis zu EUR 10.000.000,00 oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens in Bezug auf das vorangegangene Geschäftsjahr (je nachdem, welcher der Beträge höher ist), in der zweiten Kategorie mit bis zu EUR 20.000.000,00 oder bis zu 4 % des Jahresumsatzes (siehe oben) festgesetzt werden. Verstöße der ersten Kategorie sind unter anderem: Nichteinhaltung der Prinzipien von Privacy by Design oder by Default, fehlende Dokumentation von Verarbeitungstätigkeiten, fehlende Zusammenarbeit mit der Aufsichtsbehörde, keine Unterrichtung über Datenschutzverstöße oder Unterlassung der Durchführung einer Datenschutz-Folgenabschätzung. Die zweite Kategorie beinhaltet insbesondere Verletzungen bezüglich Einwilligungen, besonders schutzwürdiger Daten, Informationspflichten, der Übertragung von personenbezogenen Daten in Nicht-EU/EWR-Länder, der Datenverarbeitung im Zusammenhang mit Anstellungsverhältnissen oder der Nichteinhaltung von Anweisungen der Aufsichtsbehörde.

Die finanziellen Kapazitäten eines Unternehmens werden bei Geldbußen nicht berücksichtigt und es wird von den Aufsichtsbehörden erwartet, dass sie ihr Vorgehen miteinander abstimmen und Geldbußen ähnlicher Höhe für vergleichbare Datenschutzverstöße innerhalb der EU bestimmen. Insbesondere kleinere Unternehmen sollten sich dessen bewusst sein, weil ihnen eine erhebliche Geldbuße ihr Geschäft kosten kann.

Zivil und strafrechtliche Sanktionen

Betroffene können vor den Zivilgerichten Ersatz ihres materiellen und immateriellen Schadens von den Verantwortlichen und/oder Datenverarbeitern verlangen. Letztere können eine Haftung durch den Nachweis vermeiden, dass sie den Schaden nicht verursacht haben. Gemäß Art. 80 sind auch Verbraucherschutzverbänden berechtigt, Beschwerden im Namen der Betroffenen einzureichen. Datenschutzverletzungen können auch strafrechtliche Folgen haben: Art. 84 und Erwägungsgrund 149 ermöglichen es den Mitgliedstaaten, ihre Strafgesetze im eigenen Ermessen anzupassen.

Wer haftet?

Neben dem Verantwortlichen kann auch der Datenverarbeiter für Datenschutzverletzungen, die er allein oder zusammen mit dem Verantwortlichen begangen hat haftbar sein. Gegenüber Datenschutzbeauftragten können keine hoheitlichen Maßnahmen ergehen. Nichtsdestotrotz können sie haftbar gegenüber dem Verantwortlichen oder Datenverarbeiter sein, soweit sie einen unzutreffenden Rat erteilt haben.

Bei weiteren Fragen stehen unsere KollegInnen der jeweiligen Standorte jederzeit gerne zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“