Dass in der EU-Datenschutz-Grundverordnung (DSGVO) drastisch höhere Bußgelder vorgesehen sind, als im bisherigen Datenschutzrecht, hat mittlerweile wohl jedes Unternehmen gehört. Was aber bedeuten die neuen Bußgeldvorschriften in der DSGVO für die Praxis? Worauf müssen sich Unternehmen konkret einstellen? Während vieles davon abhängt, wie die Datenschutz-Aufsichtsbehörden tatsächlich sanktionieren, können wir einige gut begründete Thesen bereits jetzt aufstellen.
Bußgelder werden Pflicht
Datenschutzverstöße müssen künftig geahndet werden (Art. 83 DSGVO). Es steht also nicht mehr im Ermessen der Aufsichtsbehörden, ob ein Verstoß „bestraft“ wird; lediglich über die Höhe des zu verhängenden Bußgeldes ist noch eine Entscheidung möglich. Die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen.
Bußgelder werden höher
Das „durchschnittlich“ verhängte Bußgeld wird deutlich steigen. Bisher endete der Regelrahmen für Bußgelder bei 50.000 Euro, in Ausnahmefällen bei 300.000 Euro. In der DSGVO ist das Regelbußgeld nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Mio. Euro bzw. 2 % als Ausnahme für einige konkret bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO).
Mit welchen Strafen müssen Unternehmen demnach künftig rechnen? Aktuell liegen durchschnittliche Bußgelder in Deutschland bei 10.000 bis 15.000 Euro, wie die Aufsichtsbehörden selbst mitteilen. Die Aufsichtsbehörden verlangen also etwa 20 bis 25 % der möglichen Maximalstrafe. Bei gleicher Praxis müssten durchschnittliche Bußgelder unter der DSGVO bei 4 bis 5 Mio. Euro liegen.
Zu solch drastischen Strafgeldern wird es vermutlich nicht kommen. Aber es ist klar, dass die Bußen steigen – und so ist es vom Gesetzgeber auch eindeutig beabsichtigt. Wie die Aufsichtsbehörden künftig ahnden, wird man abwarten müssen. Auf einer aktuellen Veranstaltung äußerte sich jedoch ein Landesbeauftragter für Datenschutz beispielhaft zu Fehlern bei der Bestellung des Datenschutzbeauftragten: Bei nicht korrekter Bestellung ist offenbar künftig mit 300.000 Euro Bußgeld zu rechnen!
Bußgelder werden häufiger verhängt
Die Aufsichtsbehörden werden künftig häufiger von Datenschutzverletzungen erfahren, denn diese sind unter der DSGVO grundsätzlich innerhalb von 72 Stunden meldepflichtig! Da die Aufsichtsbehörden ahnden müssen (siehe oben), werden sie häufiger Bußgelder verhängen.
Hinzu kommt, dass das öffentliche Bewusstsein, ein Recht auf Datenschutz zu haben, deutlich gestiegen ist. Beschwerden bei den Aufsichtsbehörden nehmen bereits seit einiger Zeit zu. Eine solche Beschwerde bei einer Behörde – die jedem möglich ist – ist zudem ein einfaches und unter Umständen sehr taugliches Mittel, um ein Unternehmen, über das man sich geärgert hat, „zurück zu ärgern“.
Gerichtsverfahren zu Bußen werden zunehmen
Aktuell zahlen viele Unternehmen ein Bußgeld lieber, als den unangenehmen Datenschutz-Vorfall an die große Glocke zu hängen. Diese Entscheidung ist bei „nur“ 15.000 Euro Bußgeld noch nachvollziehbar. Bei sechs- oder siebenstelligen Summen sieht das schon anders aus. Widersprüche, Prozesse und öffentliche Gerichtsverhandlungen sowie veröffentlichte Urteile dürften mit einer gewissen Verzögerung die Regel werden.
Sie benötigen Hilfe bei der Umsetzung der DSGVO?
Wir helfen.
Nehmen Sie jetzt mit mit mir Kontakt auf.
Telefonisch: 03525-518683
auch gern per E-Mail-Formular