Neues Datenschutzrecht

Unternehmen müssen mit hohen Geldbußen rechnen

Dr. Matthias Bauer Dr. Matthias Bauer

In Frankreich soll Google eine Geldbuße in Höhe von 50 Millionen Euro zahlen, weil der Konzern gegen die EU-Datenschutz-Grundverordnung (DSGVO) verstoßen haben soll. Es ist das erste Mal, dass eine europäische Behörde einen globalen Internetkonzern auf Basis der DSGVO bestraft - auch wenn Google dagegen in Berufung gegangen ist.

In Deutschland wurden bisher nur vereinzelt Geldstrafen verhängt, doch jetzt scheint auch hierzulande die Schonfrist abgelaufen. Viele Landesdatenschutzbeauftragte haben in der „Umstellungsphase“ primär auf Beratung als auf Sanktionen gesetzt. Denn nach ihren Angaben seien Beratungen zunächst zielführender und Sanktionen eher hemmend, wenn es darum geht, dass Unternehmen ihr Datenschutzmanagement anpassen. Ein weiterer Grund für die derzeit noch überschaubare Anzahl an Bußgeldbescheiden ist laut dem Landesbeauftragten für den Datenschutz in Baden-Württemberg die Tatsache, dass die Aufsichtsbehörden einen gewissen Vorlauf brauchten; denn solche Bußgeldverfahren sind häufig komplex und in weniger als  drei bis vier Monaten nicht abzuwickeln. Zukünftig werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein, und auch Gerichte müssen lernen, mit ungewöhnlichen Bußgeldhöhen, beispielsweise in Millionenhöhe, umzugehen.

Dies bestätigt auch eine Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder; danach laufen derzeit „sehr viele“ weitere Bußgeldverfahren. Die Aufsichtsbehörden recherchieren im Internet oder kontrollieren vor Ort. Der Landesdatenschutzbeauftragte von Rheinland-Pfalz plant laut Handelsblatt derzeit „exemplarische Umfrageaktionen“ und „eine Phase stichprobenhafter Prüfungen und Untersuchungen“ und bei festgestellten Defiziten „eine verstärkte Nutzung der Abhilfebefugnisse“. Zugleich melden sich viele Betroffene bei den Aufsichtsbehörden und machen auf Probleme aufmerksam. Dadurch hat sich beispielsweise in Sachsen die Zahl der Beschwerden in 2018 gegenüber 2017 verdreifacht, und die Anzahl der gemeldeten Datenpannen hat sich in Baden-Württemberg sogar verzehnfacht.

Zudem ist zu berücksichtigen, dass Unternehmen zukünftig auch vermehrt Schadenersatzklagen ausgesetzt sein werden. Denn mit dem neuen Datenschutzrecht besteht zusätzlich die Möglichkeit, als Betroffener einen immateriellen Schaden geltend zu machen. Zusätzlich haben Verbraucherverbände nun auch die Möglichkeit, Verbandsklagen oder Musterfeststellungsklagen zu erheben. In all diesen Fällen geht es um Schmerzensgeld, dass in seiner Höhe zunächst einmal unbegrenzt ist. Und gerade dort, wo der Schadenersatzklage ein Bußgeldverfahren vorausgegangen ist, wird die erfolgreiche Abwehr solcher Schadenersatzansprüche kaum noch möglich sein. Hiervon betroffen ist im Übrigen jedes Unternehmen, das seine Waren oder Dienstleistungen innerhalb der EU anbietet, ganz gleich, wo das Unternehmen selbst seinen Sitz hat.

Praxishinweis

Man kann es nicht oft genug betonen: Ein wirksames Datenschutzmanagementsystem ist für Unternehmen von zentraler Bedeutung. Warth & Klein Grant Thornton steht Ihnen zu allen Fragen rund um das Thema Datenschutz mit Rat und Tat zur Seite. Ganz gleich, ob Sie Unterstützung beim Aufbau eines Datenschutzmanagementsystems benötigen, Sie Ihr bestehendes System prüfen lassen möchten oder einen externen Datenschutzbeauftragten benötigen: Unsere Datenschutzexperten können Sie in allen Datenschutzbelangen unterstützen. Sprechen Sie uns an!