14.06.2017 von

Rechtsdurchsetzung: Datenschutz-Grundverordnung hat scharfe Zähne

- 1 Kommentar

Während das geltende Datenschutzrecht beinahe zahnlos ist, wird die Datenschutz-Grundverordnung in einem Jahr drastische Möglichkeiten der Rechtsdurchsetzung bringen. Konsumenten dürfen hoffen – und Unternehmen müssen vorbauen.

Recht zu haben und Recht zu bekommen, sind bekanntlich zwei paar Schuhe. Aus Sicht der Betroffenen ist die Frage, wie sie ihre Rechte bei Datenschutzverletzungen durchsetzen können, daher von entscheidender Bedeutung. Auch aus der Sicht von Unternehmen sind Fragen der Rechtsdurchsetzung entscheidend, um ihre tatsächlichen wirtschaftlichen Risiken einschätzen zu können.

Strafen können existenzgefährdend werden

Nach dem derzeit noch geltenden „Datenschutzgesetz 2000“ beträgt die maximale Strafe für die meisten Datenschutzverstöße 10.000 Euro. Dies ist einer der wesentlichen Gründe, weshalb das Datenschutzrecht bisher von vielen Unternehmen weitgehend ignoriert und von vielen sogar als „totes Recht“ betrachtet wurde.

Dies ändert sich mit der Datenschutz-Grundverordnung in einem Jahr drastisch: Die Grundverordnung sieht Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor – was auch immer mehr ist. Ist das Unternehmen Teil eines Konzerns, wird sogar der weltweite Jahresumsatz des gesamten Konzerns herangezogen und zwar auch dann, wenn der Datenschutzverstoß lediglich einer kleinen Konzerntochter anzulasten ist. Darüber hinaus kann bei einem Konzern die Strafe nicht nur gegenüber der Konzerngesellschaft verhängt werden, die den Datenschutzverstoß begangen hat, sondern auch gegenüber der Konzernmutter. Die Konzerntochter in Konkurs zu schicken und so der Strafe zu entgehen, ist daher keine Option.

Rechtsdurchsetzung künftig bei der Datenschutzbehörde

Nach geltendem Recht ist die Datenschutzbehörde nicht dazu ermächtigt, Strafen zu verhängen. Diese Aufgabe fällt derzeit den Bezirksverwaltungsbehörden zu. Dies ist z.B. in Wien das Magistratische Bezirksamt für den 2. und 20. Bezirk, wo eine einzige Person datenschutzrechtliche Verwaltungsstrafverfahren für die ganze Hauptstadt durchführt. Die außerhalb von Städten zuständigen Bezirkshauptmannschaften haben für die Durchsetzung des Datenschutzrechts typischerweise weder Ressourcen noch praktische Erfahrung.

Mit der DSGVO wird die Befugnis, Strafen zu verhängen, auf die Datenschutzbehörde übertragen, die aufgrund ihrer Sachkenntnis eine wesentlich größere Motivation haben wird, dies auch tatsächlich regelmäßig zu tun.

Prüfer stehen künftig unangemeldet vor der Türe

Derzeit muss sich die Datenschutzbehörde im Vorhinein ankündigen, wenn sie eine Prüfung eines Unternehmens vor Ort vornehmen wird. Dadurch erhält das Unternehmen eine durchaus angenehme Vorwarnung und hat daher genügend Zeit, allfällige Missstände rechtzeitig zu beseitigen.

Nach der DSGVO wird die Datenschutzbehörde hingegen die Befugnis erhalten, unangekündigte Hausdurchsuchungen („Dawn Raids“) durchzuführen. Eine Vorwarnzeit wird Unternehmen dann nicht mehr gewährt.

DSGVO bringt Rechtsdurchsetzung von immateriellen Schäden

Derzeit ist das Recht auf Schadenersatz für Betroffene eher theoretischer Natur. Das liegt daran, dass materielle Schäden – d.h. unmittelbare finanzielle Verluste – durch Datenschutzverletzungen kaum vorkommen und immaterielle Schäden nur in einem sehr engen Rahmen zu ersetzen sind. Immaterielle Schäden – d.h. Schäden, die durch die Beeinträchtigung des Persönlichkeitsrechts entstehen – treten z.B. auf, wenn es zu einem Identitätsdiebstahl kommt, weil jemand Zugang zum Account eines Nutzers bekommt und unter dem Namen des Nutzers Nachrichten postet.

Nach dem geltenden Datenschutzgesetz 2000 steht nur dann ein Ersatz des immateriellen Schadens zu, wenn die Datenschutzverletzung zu einer „Bloßstellung“ des Betroffenen führt – z.B. weil Daten über die sexuelle Orientierung des Betroffenen veröffentlicht werden. In allen anderen Fällen sind immaterielle Schäden jedoch nicht ersatzfähig.

Nach der DSGVO sind hingegen alle immateriellen Schäden zu ersetzen, außer das Unternehmen ist in der Lage zu beweisen, dass es für die Schäden nicht verantwortlich ist.

Nur vorbereitete Unternehmen können sich wehren

Der Beweis, für die eingetretenen Schäden nicht verantwortlich zu sein, wird nur jenen Unternehmen gelingen, die ihre Hausaufgaben gemacht haben und dies auch entsprechend dokumentiert haben. Das ergibt sich aus dem neu eingeführten Grundsatz der Rechenschaftspflicht, wonach ein Unternehmen nicht nur die DSGVO einhalten muss, sondern auch in der Lage sein muss, dies nachzuweisen.

Sammelklagen: Rechtsdurchsetzung mithilfe von NGOs

Die praktische Durchsetzung von Schadenersatzansprüchen wird auch dadurch wesentlich erleichtert, dass es erstmals möglich wird, sich von Datenschutz-NGOs bei der Geltendmachung derartiger Schadenersatzansprüche vertreten zu lassen. Das sieht nicht nur die DSGVO vor, sondern auch der aktuelle Entwurf für ein neues Datenschutzgesetz, das die österreichische Rechtslage an die Grundverordnung anpasst.

Datenschutz-NGOs können Betroffene künftig bei Schadenersatzprozessen vertreten. Das bedeutet, dass Datenschutz-NGOs auch gleichzeitig die Ansprüche mehrerer Betroffener geltend machen können und damit eine „Sammelklage“ einbringen können. Ein Rechenbeispiel: Kommt es zu einer Sicherheitsverletzung, bei der die Daten von Hunderttausend Kunden kompromittiert werden, und beauftragt auch nur die Hälfte dieser Kunden eine Datenschutz-NGO mit der Geltendmachung ihrer Ansprüche auf Ersatz eines immateriellen Schadens von z.B. je 100 Euro, so beträgt der von der NGO insgesamt einklagbare Betrag fünf Millionen Euro. Für Unternehmen, die sich derartigen Schadenersatzforderungen ausgesetzt sehen, rückt damit die Frage in den Vordergrund, wie sie sich auf Grundlage ihres bestehenden Datenschutz-Compliance-Programms freibeweisen können.

Conclusio

Für Betroffene wird es wesentlich leichter, ihre Rechte effektiv durchzusetzen und damit nicht nur Recht zu haben, sondern auch tatsächlich Recht zu bekommen. Für Unternehmen ist es höchste Zeit, sich auf die einfachere Rechtsdurchsetzung vorzubereiten. Nur, wer rechtzeitig die wichtigsten Hausaufgaben erledigt, kann Datenschutzverletzungen verhindern, drohenden Geldbußen entgehen und sich – falls es zu einer Sammelklage durch geschädigte Betroffene kommen sollte – durch eine ausreichende Dokumentation des Datenschutz-Compliance-Programms freibeweisen.

Einführung in die Datenschutz-Grundverordnung

Dieser Text erschien in gekürzter Form im Juni 2017 in der Zeitschrift „E-Media“.

Autor:

1 Kommentar

  • Ich bin langjähriger Unternehmer und frage mich ob damit dem „Betroffenen“ wirklich ein guter Dienst geleistet wird. Für den mittelgroßen Betrieb kommen mit der DSGVO administrative Hürden zu, für die 90% nicht vorbereitet sind.

    Keiner hat noch wirklich verstanden, dass wir in der Umsetzungsphase sind. Und vor allem müssen Rechtsprozesse jetzt schon umgesetzt werden sonst kann man ab Mai 2018 die nötigen Nachweise nicht erbringen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.