Die EU-Datenschutz-Grundverordnung (DSGVO) ist bereits am 25. Mai 2016 in Kraft getreten und gilt ab dem 25. Mai 2018 verbindlich. Mit der DSGVO steigen die Datenschutzanforderungen an Unternehmen. Setzen Unternehmen die Vorgaben nicht entsprechend und hinreichend um, so drohen Sanktionen, wie zum Beispiel Bußgelder und Schadensersatzprozesse. Ebenso drohen kostspielige wettbewerbsrechtliche Abmahnungen.

Höhere Bußgelder durch die DSGVO

Artikel 83 der DSGVO bestimmt die Allgemeinen Bedingungen für die Verhängung von Geldbußen gegenüber Unternehmen. Danach können gegenüber Unternehmen Bußgelder entweder von bis zu 4 Prozent des globalen Umsatzes oder von bis zu 20 Millionen Euro verhängt werden, je nachdem, was höher ist. Bisher waren gemäß Artikel 43 BDSG Bußgelder von maximal 300.000 Euro möglich. Damit wurde der Bußgeldrahmen durch die DSGVO deutlich erhöht.

Bereits dieser Umstand sollte Unternehmen sensibilisieren, die Datenschutzkonformität im Sinne der DSGVO zu überprüfen und entsprechend anzupassen. Im Ergebnis bleibt natürlich abzuwarten, wie sich die künftige Bußgeldpraxis entwickeln wird. Es ist jedoch zu erwarten, dass sich bei Verstößen gegen die DSGVO der Bußgeldrahmen deutlich erhöhen wird.

Werden Bußgelder verhängt, so ist auch damit zu rechnen, dass Unternehmen ebenfalls überprüfen werden, ob nicht möglicherweise Ansprüche gegen Verantwortliche in Bezug auf einen etwaigen Regress bestehen könnten.

Haftung durch Verantwortliche und Auftragsverarbeiter

Im Rahmen von Datenschutzverstößen stehen nicht nur behördliche Bußgelder und Auflagen im Raume, sondern ebenfalls auch eine zivilrechtliche Haftung. Artikel 82 DSGVO sieht deutlich weitergehende Schadensersatzansprüche als das bisherige BDSG vor. Demnach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Art. 82 Abs. 1 DSGVO).

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechenden Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeiter auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat (Art. 82 Abs. 2 DSGVO).