Mögliche Bußgelder
Grundlage ist der Artikel 83 DSGVO
https://dsgvo-gesetz.de/art-83-dsgvo/
Übersicht zur Datenschutzverletzung
- Die Sanktionen, die ein Verstoß gegen den Datenschutz nach sich ziehen kann, richten sich maßgeblich nach den Angaben im Bundesdatenschutzgesetz (BDSG). Ab Mai 2018 sind zudem für alle EU-Mitgliedstaaten die Strafen verbindlich, die die Datenschutz-Grundverordnung vorsieht.
- Die Datenschutz-Grundverordnung sieht bei einem Verstoß gegen den Datenschutz Bußgelder bis zu 20 Millionen Euro oder aber bis 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens vor.
- Ein Verstoß gegen das Bundesdatenschutzgesetz kann derzeit noch zu einem Bußgeld bis 300.000 Euro führen oder gar zu einer bis zu zweijährigen Freiheitsstrafe. Die hierin enthaltenen Sanktionen werden mit der Neuerung auf wenige Delikte eingeschränkt.
Ein Verstoß gegen den Datenschutz kostet: Schadensersatz-Ansprüche, Geldbußen, Geldstrafen oder gar Freiheitsstrafen können die Folge sein.
Quelle: https://www.datenschutz.org/verstoss/
Bei den Ordnungswidrigkeiten wird zwischen zwei Bußgeldstufen differenziert:
- bis zu 50.000 Euro Bußgeld kann z. B. ein folgender Verstoß gegen den Datenschutz nach sich ziehen: Verstoß gegen die Meldepflicht, die Auskunftspflicht, die Zweckbindung oder unzulässige Erhebung von personenbezogenen Daten entgegen den Willen des Betroffenen.
- bis zu 300.000 Euro Bußgeld sieht das BDSG z. B. in den folgenden Fällen vor: unbefugte Datenerhebung von nicht allgemein zugänglichen personenbezogenen Daten, Erschleichung einer Datenübermittlung, Nutzung personenbezogener Daten zu Werbezwecken trotz Widerruf des Betroffenen, Verstoß gegen die Informationspflicht bei Kenntnis unrechtmäßiger Datenerhebung.
- Ein vorsätzlicher Verstoß nach § 43 Absatz 2 BDSG hingegen kann strafrechtlich relevant sein, wenn dieser in der Absicht der Bereicherung oder gegen Entgelt erfolgte: Dann kann der Verstoß gegen Datenschutz eine empfindliche Strafe nach sich ziehen: eine Geldstrafe oder gar eine Freiheitsstrafe bis zu zwei Jahren.
Die DSGVO Regelt Strafen bis 10. Millionen bzw. 2% vom Unternehmens (Konzern) Umsatzes. In besonders schwierigen Fall verdoppelt sich die maximal mögliche Strafe auf bis zu 20 Millionen Euro bzw. 4% des Unternehmensumsatzes (je Geschäftsjahr).
Straf- und Bußgeldvorschriften
In Ergänzung zu den in Art. 83 DSGVO vorgeschriebenen Sanktionen, welche von den Aufsichtsbehörden bei Verstößen verhängt werden können, werden auch im BDSG-neu Sanktionsvorschriften gemacht. Zum einen macht § 42 Strafvorschriften. Hierzu ist die DSGVO, wie bereits erwähnt, nicht befugt, weshalb dies durch ein nationales Gesetz wie das BDSG-neu erfolgen muss.
Vorgesehen sind zum Beispiel Freiheitsstrafen von bis zu zwei Jahren oder eine Geldstrafe, wenn personenbezogene Daten ohne Berechtigung verarbeitet oder durch unrichtige Angaben erschlichen werden und hierbei die Absicht einer Schädigung oder Bereicherung vorliegt.
Eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe muss befürchten, wer personenbezogene Daten einer großen Zahl von Personen ohne Berechtigung an Dritte übermittelt oder anderweitig zugänglich macht. Ab wann eine solche „große Zahl“ vorliegt, wird allerdings im Gesetzestext nicht konkretisiert, sodass hier Arbeit auf Gerichte zukommt, um eine solche Zahl im Einzelfall festzulegen.
An Bußgeldern, die über diejenigen der DSGVO hinausgehen, werden in § 43 BDSG-neu vor allem diese beiden Fälle reguliert: Bei Verstößen gegen § 30 BDSG-neu, also die Vorschriften zu den Verbraucherkrediten, kann von den Aufsichtsbehörden eine Geldbuße von bis zu 50.000 Euro verhängt werden. Zum anderen wird festgelegt, dass gegen Behörden und andere öffentliche Stellen keine Geldbußen ausgesprochen werden.
Die BDSG-Neu ist kein eigenständiges und umfassendes Gesetz, sondern das Datenschutzrecht, das die EU-DSGVO vorgibt, an den notwendigen Stellen ergänzt und konkretisiert. Daher kann es nur in Verbindung mit der DSGVO betrachtet werden.
Neues Bundesdatenschutzgesetz
Mit Wirksamkeit der Datenschutz-Grundverordnung müssen alle nationalen Gesetze auf die jeweiligen Bestimmungen entsprechend zugeschnitten werden. Obwohl es dabei keiner separaten Übertragung in nationales Recht bedarf, müssen die Einzelgesetze dennoch derart umformuliert werden, dass sie den Bestimmungen in der DSGVO nicht zuwiderlaufen. Sie dürfen Sie lediglich ergänzen.
Im neuen BDSG werden mithin auch die Bußgeld- und Strafvorschriften entsprechend abgewandelt. Ein direkter Bezug zu den betreffenden Passagen der DSGVO wird hergestellt. Die Regelungen sind dann auf insgesamt drei Paragraphen verteilt (§§ 41 bis 43 BDSG). Diese ergänzen dabei nur die DSGVO und sind bezogen auf den Katalog an Verstößen umfassend gekürzt.
Ein Datenschutzverstoß kann auch strafrechtliche Konsequenzen haben.
Bei einem Verstoß gegen den Datenschutz werden die Strafen gemäß (neuem) BDSG zum Teil sogar angehoben:
- Die wissentliche, gewerbsmäßige und unberechtigte Weitergabe zahlreicher personenbezogener Daten kann eine Freiheitsstrafe bis zu drei Jahren oder eine Geldstrafe zur Folge haben. Beim Erschleichen von Daten oder unberechtigter und entgeltlicher Datenverarbeitung bleibt der derzeitige Strafrahmen bestehen.
- Die Geldbuße bei einem ordnungswidrigen Verstoß wurde auf 50.000 Euro gedeckelt. Betrachtet werden ab Mai 2018 dabei aber nur noch zwei Tatbestände gesondert: der Verstoß gegen das Auskunftsrecht sowie die nicht rechtzeitige Unterrichtung des Betroffenen.
Die Streichung von Delikten aus dem BDSG bedeutet aber nicht, dass ab Wirksamkeit des neuen Entwurfs nur noch diese sanktioniert werden können. Vielmehr verdankt sich dies der Tatsache, dass die meisten anderen zuvor geführten Verstöße nunmehr in die DSGVO aufgenommen wurden. In dieser sind eigens Strafen für einen Verstoß gegen den Datenschutz vorgesehen.
Welcher Verstoß gegen den Datenschutz mit Wirksamkeit der Datenschutz-Grundverordnung sanktioniert wird, ergibt sich aus Artikel 83 DSGVO. Hierin sind zudem Geldbußen bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweiten Unternehmensumsatzes festgelegt. Diese können nur in Ausnahmefällen unterschritten werden (etwa bei natürlichen Personen und einem Verstoß gegen den Datenschutz durch Mitarbeiter).
Strafen vorbeugen:
Durch:
Bestellung eines Datenschutzbeauftragten (Intern oder Extern)
Wann Unternehmen einen Datenschutzbeauftragten benennen müssen, regelt die DSGVO in Art. 37. Die dort genannten Bedingungen sind so gefasst, dass nur wenige Formen der Datenverarbeitung der Pflicht zur Benennung unterliegen.
Quelle: Datenschutz.org, letzte Aktualisierung am: 27. Juni 2019
Übersicht über das BDSG-neu
- Das neue Bundesdatenschutzgesetz (BDSG-neu) stellt eine Konkretisierung und Ergänzung zur europäischen Datenschutzgrundverordnung (DSGVO) dar.
- Diese enthält nämlich eine Reihe von sogenannten Öffnungsklauseln, die eine nationale Spezifizierung bestimmter Vorschriften ermöglichen.
- Die Sonderregelungen betreffen zum Beispiel den Datenschutz im Beschäftigungsverhältnis und die Fälle, in denen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.
Neues BDSG: Was hat es damit auf sich?
Seit dem 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in der gesamten Europäischen Union verbindlich anzuwenden. Gleichzeitig trat auch ein neues Bundesdatenschutzgesetz in Kraft, das sogenannte BDSG-neu, das im Bundesgesetzblatt am 5.7.2017 veröffentlicht wurde.Doch wozu dient ein solches neues Datenschutzgesetz auf nationaler Ebene? Der Hintergrund ist der, dass die DSGVO zwar unmittelbar geltendes Recht ist und keine Umsetzung in nationales Recht benötigt, wie es bei der alten EU-Datenschutzrichtlinie noch der Fall war – auf den ersten Blick scheint das BDSG-neu also überflüssig zu sein.
Allerdings enthält die DSGVO auch zahlreiche Öffnungsklauseln. Das bedeutet, dass an diesen Stellen die Regelungen offengehalten werden, damit sie auf nationaler Ebene konkretisiert werden können. Diese Aufgabe übernimmt das BDSG-neu.
Das
alte Bundesdatenschutzgesetz diente der Umsetzung der damaligen
EU-Datenschutzrichtlinie und enthielt das deutsche Datenschutzrecht. Das BDSG in seiner Neufassung ist hingegen lediglich eine
Ergänzung und Konkretisierung der DSGVO, deren Regelungen unmittelbar anwendbar sind.
Lohnt sich ein externer Datenschutzbeauftragter für Ihr Unternehmen?
Machen Sie Ihr Unternehmen datenschutzfit – schnell & unkompliziert!
Jetzt Angebot anfordern →
DSGVO und BDSG-neu: In welchem Verhältnis stehen sie?
Alles, was die DSGVO regelt, gilt unmittelbar. Da sie Vorrang vor nationalem Recht hat, kann das BDSG-neu also nur solche Bestimmungen enthalten, welche die DSGVO auslässt oder bewusst offenlässt. Explizit sagt das BDSG-neu in § 1 Abs. 5, dass seine eigenen Regelungen dann keine Anwendung finden, wenn die DSGVO in dem Bereich bereits unmittelbar geltende Vorschriften macht. Hiermit werden Konflikte vermieden, die etwa dann auftreten könnten, wenn Änderungen der DSGVO erfolgen.
Ein Beispiel dafür, dass etwas durch das BDSG-neu geregelt werden muss, weil die DSGVO keine Kompetenz in dem Bereich hat, sind die Strafvorschriften (§ 42 BDSG-neu). Auf europäischer Ebene können nämlich lediglich Bußgeldvorschriften gemacht werden.
Für wen gilt das BDSG-neu? Die Regelungen, die getroffen werden, beziehen sich – wie auch diejenigen der DSGVO – sowohl auf öffentliche als auch nicht-öffentliche Stellen. Zu letzteren zählen zum Beispiel Unternehmen.
Während Teil 1 des BDSG-neu allgemeine Bestimmungen enthält und Teil 2 die Konkretisierungen und Ergänzungen zur DSGVO, befasst sich der dritte Teil mit der Umsetzung der
EU-Datenschutzrichtlinie für Polizei und Justiz (EU 2016/680). Der vierte Teil ist denjenigen Bestimmungen gewidmet, die weder unter die DSGVO noch die Richtlinie für Polizei und Justiz fallen.
Änderungen BDSG-neu
Da BDSG-neu und DSGVO in einem vornehmlich ergänzenden Verhältnis stehen, enthält ersteres vor allem punktuelle und spezifische Regelungen. Einige von ihnen wollen wir im Folgenden genauer betrachten. Dazu gehören die Bedingungen, unter denen Unternehmen einen Datenschutzbeauftragten bestellen müssen, den Datenschutz im Beschäftigungsverhältnis sowie besondere Regelungen, die das Scoring und Bonitätsauskünfte betreffen.
Bestellung eines Datenschutzbeauftragten
Wann Unternehmen einen Datenschutzbeauftragten benennen müssen, regelt die DSGVO in Art. 37. Die dort genannten Bedingungen sind so gefasst, dass nur wenige Formen der Datenverarbeitung der Pflicht zur Benennung unterliegen.
So müssen die hauptsächlich verarbeiteten Informationen entweder zu den besonderen Kategorien personenbezogener Daten gehören, also von hoher Schutzwürdigkeit sein, oder aber in der Art ihrer Verarbeitung eine umfangreiche Überwachung der jeweiligen Personen erforderlich machen. Es handelt sich hierbei also nur um Fälle, die sehr weit in die schutzwürdigen Bereiche der betroffenen Personen eingreifen.
Art. 37 Abs. 4 sieht jedoch explizit vor, dass weitere Fälle durch nationale Gesetzgebung vorgeschrieben werden können. Dies wird im deutschen Datenschutzgesetz in seiner neu gefassten Ausführung in § 38 getan. Die dortige Ergänzung nennt zusätzlich folgende Bedingungen:
- Mindestens zehn Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
- Es werden Datenverarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
- Es werden geschäftsmäßig personenbezogene Daten verarbeitet zum Zweck der (anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung.
Im Vergleich zum alten BDSG ergibt sich die Änderung, dass eine Regelung bezüglich nicht-automatisierter Datenverarbeitung (Pflicht zur Bestellung eines Datenschutzbeauftragten ab 20 beschäftigten Personen) nun entfallen ist. Da alles, was mit Computern durchgeführt wird, bereits als automatisierte Verarbeitung gilt, ist davon auszugehen, dass dies heutzutage der Regelfall ist.
Datenschutz im Beschäftigungsverhältnis
Art. 88 DSGVO trägt den Titel „Datenverarbeitung im Beschäftigungskontext“. Er enthält aber keine konkreten Vorschriften zum Thema Beschäftigtendatenschutz, sondern verweist lediglich darauf, dass die EU-Mitgliedstaaten hier selbst spezifische Regelungen erlassen können. Nur die relevanten Aspekte, welche behandelt werden können, werden aufgezählt.
Neues BDSG: Vorschriften zur Datenverarbeitung im Beschäftigungsverhältnis finden sich in § 26.
Die Verarbeitung personenbezogener Daten von Beschäftigten ist erlaubt wenn:
- für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses,
- innerhalb des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder
- zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten,
notwendig ist.
In § 26 Abs. 8 BDSG-neu wird auch definiert, wer als Beschäftigter im Sinne dieses Gesetzes zu verstehen ist. Dazu gehören neben regulären Arbeitnehmern zum Beispiel auch Azubis, Freiwilligendienstleistende oder Beamte. Auch Bewerberinnen und Bewerber sowie ehemalige Beschäftigte gelten nach dem Gesetz als Beschäftigte.
Von der Freiwilligkeit die Abhängigkeit des Beschäftigungsverhältnisses sowie die besonderen Umstände der Erteilung zu berücksichtigen sind. Demnach kann eine Einwilligung dann freiwillig gegeben werden, wenn
- ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten erreicht wird oder
- Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.
Zudem muss die Einwilligung in Schriftform vorliegen und der Beschäftigte schriftlich zum einen über den Zweck der Datenverarbeitung und zum anderen über sein Widerrufsrecht informiert werden.
Scoring und Bonitätsauskünfte
Eine spezifische Regelung, die das BDSG-neu im Rahmen von besonderen Verarbeitungssituationen trifft, betrifft Scoring-Verfahren und Bonitätsauskünfte. So darf gemäß § 31 BDSG-neu Scoring, also die Verwendung eines Wahrscheinlichkeitswerts bezüglich eines spezifischen zukünftigen Verhaltens, nur dann eingesetzt werden, wenn das Datenschutzrecht eingehalten wird.
Zudem muss die Berechnung der Wahrscheinlichkeitswerte auf der Verwendung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens beruhen und nicht ausschließlich auf Adressdaten zurückgreifen. Wenn aber letzteres der Fall sein sollte, muss die betroffene Person vor der Berechnung über die Nutzung der Adressdaten informiert werden.
Bonitätsauskünfte dürfen nur dann verwendet werden, wenn die oben genannten Bedingungen erfüllt sind. Zudem dürfen nur bestimmte Forderungen darin berücksichtigt sein. Dazu gehören gemäß § 31 Abs. 2 BDSG-neu zum Beispiel Forderungen, für die ein Titel vorliegt oder die der Schuldner ausdrücklich anerkannt hat.
Verbraucherkredite
In engem Zusammenhang mit den Vorschriften zur Bonitätsauskunft stehen die Bestimmungen über Verbraucherkredite, die in § 30 BDSG-neu festgelegt sind. Demnach gilt, wenn ein solcher Kredit aufgrund einer eingeholten Bonitätsauskunft abgelehnt wird, dass die betroffene Person zusammen mit der Information über die Ablehnung auch über die erhaltene Auskunft unterrichtet werden muss.
