Neue Bestimmungen der Datenschutz-Grundverordnung
Bald werden Datenschutz-Verstöße drastisch teurer
Mit den neuen Bestimmungen der Datenschutz-Grundverordnung im kommenden Jahr werden Datenschutz-Verstöße deutlich teurer als bisher. Unternehmen müssen sich auf wesentlich höhere Geldbußen einstellen.
Verstöße gegen das Datenschutzrecht werden für Unternehmen und die verantwortlichen Führungskräfte künftig deutlich teurer als bisher. Denn ab Mai 2018 treten neue Bestimmungen der Datenschutz-Grundverordnung (DSGVO) in Kraft. Darauf weist jetzt Rechtsanwalt Dr. Thomas Lapp von der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) hin.
»Die höchste Geldbuße, die bisher jemals von einer deutschen Datenschutzbehörde verhängt wurde, war 1,3 Mio. Euro, die der Debeka Krankenversicherungsverein 2014 zahlen musste. Auf Basis der Datenschutz-Grundverordnung sind ab 2018 wesentlich höhere Bußgelder zu erwarten«, so der Jurist. So müssten Aufsichtsbehörden laut Datenschutz-Grundverordnung Sorge tragen, dass die festgesetzten Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend wirkten. Demgegenüber hatte das Bundesdatenschutzgesetz nur vorgeschrieben, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen muss.
20 Millionen Geldbuße
»Der Bußgeldrahmen ist mit der DSGVO drastisch verschärft. Die beteiligten natürlichen Personen müssen mit Geldbußen bis zu 20 Millionen Euro rechnen«, so Lapp. Bei Unternehmen sei eine umsatzbezogene Berechnung der Bußgelder möglich. »Je nach Verstoß können dabei gegen Unternehmen Geldbußen von bis zu zwei beziehungsweise vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs festgesetzt werden. Dabei können durchaus drastische Geldbußen herauskommen«, betont der NIFIS-Vorsitzende und verweist auf den umfangreichen Katalog von Kriterien der DSGVO, nach dem die Geldbußen festzusetzen sind.
Zudem ist laut dem Rechtsanwalt in der Datenschutz-Grundverordnung festgelegt, dass neben materiellen auch immaterielle Schäden erstattet werden müssen, die durch Verstöße gegen die Verordnung entstanden sind. Anders als im Bundesdatenschutzgesetz sind sie in der DSGVO ausdrücklich erwähnt. Bislang wurde die Datenschutzrichtlinie so umgesetzt, dass bei privater Datenverarbeitung immaterielle Schäden überhaupt nicht und bei automatisierter Datenverarbeitung durch öffentliche Stellen nur bei schweren Verletzungen des Persönlichkeitsrechts Schadensersatz in Betracht kam.
