Skip to main content
Registrieren
Springer Professional
SUCHE
MENÜ 1 2 3 4
main-content
nach oben

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

Erschienen in:
Einleitung und „Checkliste“ Kapitel lesen Erstes Kapitel lesen

2018 | OriginalPaper | Buchkapitel

7. Rechtsdurchsetzung und Sanktionennach der DSGVO

verfasst von: Paul Voigt, Axel von dem Bussche

Erschienen in: EU-Datenschutz-Grundverordnung (DSGVO)

Verlag: Springer Berlin Heidelberg

Einloggen, um Zugang zu erhalten
share
TEILEN

Zusammenfassung

Hinsichtlich der Rechtsdurchsetzung führt die DSGVO tief greifende Änderungen im Vergleich zur EG-Datenschutzrichtlinie ein. Es obliegt den Aufsichtsbehörden, die Einhaltung der DSGVO sicherzustellen und um diese Aufgabe erfüllen zu können, haben sie verschiedenste Untersuchungs- und Abhilfebefugnisse. Die schwerwiegendste Sanktionsmaßnahme liegt aus Unternehmenssicht in der Verhängung von Bußgeldern. Deren Maximalbetrag wurde auf bis zu EUR 20.000.000,00 oder bis zu 4 % des weltweiten Jahresumsatzes signifikant erhöht. Abgesehen von Verwaltungssanktionen sind Unternehmen ggf. auch den betroffenen Personen gegenüber schadensersatzpflichtig. Den Auftragsverarbeiter trifft nach der DSGVO erstmals eine eigene zivilrechtliche Haftung für Verletzungen der Verordnung. In diesem Kapitel werden die Aufgaben und Befugnisse der Aufsichtsbehörden, die zivilrechtliche Haftung, verwaltungsrechtliche Sanktionen und verfügbare Rechtsbehelfe dargestellt.
Vorheriges Kapitel Zusammenarbeit mit den Aufsichtsbehörden
Nächstes Kapitel Nationale Besonderheiten
Fußnoten
1
ErwGr. 11 DSGVO
 
2
Hinsichtlich der Aufgaben und Befugnisse der Aufsichtsbehörden nach alter Rechtslage siehe Art. 28 Abs. 1 EG-Datenschutzrichtlinie.
 
3
Nguyen, ZD 2015, 265, 269; Hullen, in: Plath, BDSG/DSGVO, Art. 57 DSGVO (2016), Rn. 1–3
 
4
Gierschmann, ZD 2016, 51, 55; Hullen, in: Plath, BDSG/DSGVO, Art. 57 DSGVO (2016), Rn. 2
 
5
Art. 28 Abs. 3 EG-Datenschutzrichtlinie: „Jede Kontrollstelle verfügt insbesondere über […] Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, […] wirksame Einwirkungsbefugnisse, wie beispielsweise […].“
 
6
Art.-29-Datenschutzgruppe, WP 168 (2009), S. 22; Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 1
 
7
Deutscher Bundestag (2017), Drucksache 18/11325, S. 108. § 40 Abs. 3 BDSG-neu enthält zudem auch Regelungen hinsichtlich des Umfangs der aufsichtsbehördlichen Datenverarbeitungsbefugnisse.
 
8
Siehe auch Petri, in: Simitis, BDSG, § 38 (2014), Rn. 53
 
9
Siehe auch Petri, in: Simitis, BDSG, § 38 (2014), Rn. 58. Nach § 40 Abs. 4 Satz 3 BDSG-neu hat die Aufsichtsbehörde die auskunftspflichtigen Personen auf dieses Verweigerungsrecht hinzuweisen.
 
10
Siehe auch Petri, in: Simitis, BDSG, § 38 (2014), Rn. 61
 
11
ErwGr. 164 DSGVO
 
12
Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 5
 
13
Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2016), Rn. 57
 
14
Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 7; siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG (2016), Rn. 57
 
15
Siehe auch Plath, in: Plath, BDSG/DSGVO, § 38 BDSG (2016), Rn. 44
 
16
Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 7
 
17
Hullen, in: Plath, BDSG/DSGVO, Art. 58 DSGVO (2016), Rn. 9
 
18
Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 10
 
19
Hullen, in: Plath, BDSG/DSGVO, Art. 58 DSGVO (2016), Rn. 10
 
20
Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 12
 
21
Nguyen, ZD 2015, 265, 269; Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 15
 
22
ErwGr. 129 DSGVO; Nguyen, ZD 2015, 265, 269; Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 15
 
23
Nguyen, ZD 2015, 265, 269; Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 15
 
24
ErwGr. 129 DSGVO
 
25
Im Hinblick darauf, bildet Art. 31 DSGVO eine Neuerung und Ausnahme von diesem Grundsatz, siehe Abschn.​ 3.​2.​3
 
26
ErwGr. 129 DSGVO
 
27
ErwGr. 129 DSGVO
 
28
Laue/Nink/Kremer, Datenschutzrecht, Aufsichtsbehörden (2016), Rn. 19; ErwGr. 129 DSGVO
 
29
Gemäß Art. 23 Abs. 1 EG-Datenschutzrichtlinie sehen die EU-Mitgliedstaaten vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Gemäß Art. 23 Abs. 2 EG-Datenschutzrichtlinie kann der für die Verarbeitung Verantwortliche teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.
 
30
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 4
 
31
ErwGr. 146 DSGVO
 
32
Siehe auch Quaas, in: Wolff/Brink, BeckOK, § 7 BDSG (2016), Rn. 56; Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 6
 
33
ErwGr. 146 DSGVO
 
34
ErwGr. 146 DSGVO
 
35
Beispielhaft EuGH, Entscheidung vom 17. Dezember 2015, Arjona Camacho, C-407/14, ErwGr. 31; Schantz, NJW 2016, 1841, 1847; Wybitul, ZD 2016, 253, 253
 
36
Schantz, NJW 2016, 1841, 1847
 
37
Frenzel, in: Paal/Pauly, DSGVO, Art. 82 (2017), Rn. 11
 
38
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 7; Frenzel, in: Paal/Pauly, DSGVO, Art. 82 (2017), Rn. 7; Quaas, in: Wolff/Brink, BeckOK, Art. 82 DSGVO (2016), Rn. 37; ablehnend, siehe Becker, in: Plath, BDSG/DSGVO, Art. 82 DSGVO (2016), Rn. 2
 
39
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 7
 
40
ErwGr. 146 DSGVO
 
41
Siehe auch Quaas, in: Wolff/Brink, BeckOK, § 7 BDSG (2016), Rn. 9; Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 15
 
42
Becker, in: Plath, BDSG/DSGVO, Art. 82 DSGVO (2016), Rn. 6
 
43
Frenzel, in: Paal/Pauly, DSGVO, Art. 82 (2017), Rn. 12
 
44
Becker, in: Plath, BDSG/DSGVO, Art. 82 DSGVO (2016), Rn. 6
 
45
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 8
 
46
Art. 23 Abs. 2 EG-Datenschutzrichtlinie: „Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, daß der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.“
 
47
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 9; Frenzel, in: Paal/Pauly, DSGVO, Art. 82 (2017), Rn. 15
 
48
Siehe auch Simitis, in: Simitis, BDSG, § 7 (2014), Rn. 25; Frenzel, in: Paal/Pauly, DSGVO, Art. 82 (2017), Rn. 15
 
49
Frenzel, in: Paal/Pauly, DSGVO, Art. 82 (2017), Rn. 15
 
50
Z. B. in Deutschland betrug die maximale Höhe von Bußgeldern für Verletzungen des Datenschutzrechts EUR 300.000,00, § 43 Abs. 3 BDSG (alt) und in Frankreich EUR 3.000.000,00, Art. 47 Loi 78–17 du 6 Janvier 1978 (modifiée).
 
51
ErwGr. 152 DSGVO
 
52
Hullen, in: Plath, BDSG/DSGVO, Art. 58 DSGVO (2016), Rn. 12; Körffer, in: Paal/Pauly, DSGVO, Art. 58 (2017), Rn. 17–18
 
53
v.d.Bussche/Zeiter, EDPL 2016, 576, 581; ErwGr. 148 DSGVO. Gemäß letzterem kann im Falle geringfügiger Verstöße gegen die DSGVO anstelle einer Geldbuße eine Verwarnung erteilt werden.
 
54
Frenzel, in: Paal/Pauly, DSGVO, Art. 83 (2017), Rn. 16
 
55
Es ist zu beachten, dass die Rechtsordnungen Dänemarks und Estlands eine Verhängung von Geldbußen durch Aufsichtsbehörden nicht vorsehen, so dass diese Regelung in beiden Mitgliedstaaten unzulässig ist. Daher obliegt die Verhängung von Geldbußen in diesen beiden Mitgliedstaaten anderen staatlichen Stellen, für Näheres siehe ErwGr. 151 der Verordnung.
 
56
ErwGr. 150 DSGVO
 
57
Aus dem Wortlaut des Art. 83 Abs. 1, 2 Satz 2 lit. b DSGVO geht nicht eindeutig hervor, ob Vorsatz oder Fahrlässigkeit bei der Begehung eines Verstoßes Voraussetzung für die Verhängung eines Bußgeldes sind. Dafür spräche der allgemeine Verschuldensgrundsatz, der über die Voraussetzung der Verhältnismäßigkeit der Bußgelder in die Vorschrift hineingelesen werden sollte. Letztlich könnte dies aber auch nur zu einer schuldangemessenen Anpassung der Bußgeldhöhe führen. Vorsatz oder Fahrlässigkeit für die Verhängung von Bußgeldern voraussetzend sind Becker, in: Plath, BDSG/DSGVO, Art. 83 DSGVO (2016), Rn. 11; Holländer, in: Wolff/Brink, BeckOK, Art. 83 DSGVO (2017), Rn. 17–18; Frenzel, in: Paal/Pauly, DSGVO, Art. 83 (2017), Rn. 14; a.A. Härting, DSGVO (2016), Rn. 253
 
58
Art. 83 Abs. 2 Satz 2 lits. a-k DSGVO; ErwGr. 148 DSGVO
 
59
Becker, in: Plath, BDSG/DSGVO, Art. 83 DSGVO (2016), Rn. 23
 
60
EuGH, Entscheidung vom 23. April 1991, Höfner and Elser./.Macrotron, C-41/90, ErwGr. 21; Faust/Spittka/Wybitul, ZD 2016, 120, 120–121
 
61
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 27; Faust/Spittka/Wybitul, ZD 2016, 120, 121–124; Bayrisches Landesamt für Datenschutzaufsicht, Sanktionen (2016), S. 2
 
62
Faust/Spittka/Wybitul, ZD 2016, 120, 124; Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 28; ablehnend Holländer, in: Wolff/Brink, BeckOK, Art. 83 (2016), Rn. 12–15; Becker, in: Plath, BDSG/DSGVO, Art. 83 (2016), Rn. 23
 
63
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 28
 
64
Datenschutzkonferenz, Kurzpapier Nr. 2 (2017), S. 2
 
65
Deutscher Bundestag (2017), Drucksache 18/11325, S. 108
 
66
Siehe insoweit die Aufzählungen in § 41 Abs. 1 Sätze 2, 3, Abs. 2 Sätze 2, 3 BDSG-neu
 
67
Deutscher Bundestag (2017), Drucksache 18/11325, S. 108; siehe zum bisherigen Verfahrensablauf auch Holländer, in: Wolff/Brink, BeckOK, § 43 BDSG (2017), Rn. 73–76
 
68
Zum Begriff „gewerbsmäßig“, siehe Maier, in: MüKo StGB, § 260 (2012), Rn. 4
 
69
Deutscher Bundestag (2017), Drucksache 18/11325, S. 109
 
70
Körffer, in: Paal/Pauly, DSGVO, Art. 78 (2017), Rn. 3; ErwGr. 143 DSGVO
 
71
ErwGr. 143 DSGVO
 
72
Körffer, in: Paal/Pauly, DSGVO, Art. 78 (2017), Rn. 4
 
73
Körffer, in: Paal/Pauly, DSGVO, Art. 78 (2017), Rn. 4; Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO (2016), Rn. 6
 
74
Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO (2016), Rn. 6; Körffer, in: Paal/Pauly, DSGVO, Art. 78 (2017), Rn. 4; Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 37
 
75
§ 20 Abs. 1 Satz 2 BDSG-neu; Deutscher Bundestag (2017), Drucksache 18/11325, S. 93
 
76
§ 20 Abs. 3 BDSG-neu
 
77
Nebel, in: Roßnagel, DSGVO, Rechtswege (2017), Rn. 115
 
78
Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO (2016), Rn. 10
 
79
Körffer, in: Paal/Pauly, DSGVO, Art. 78 (2017), Rn. 7; Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO (2016), Rn. 11
 
80
Deutscher Bundestag (2017), Drucksache 18/11325, S. 93
 
81
Wolff (2017) Stellungnahme, S. 13
 
82
Für letzteren Fall steht dies unter der Bedingung, dass es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter nicht um eine Behörde eines EU-Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.
 
83
Laue/Nink/Kremer, Datenschutzrecht, Haftung (2016), Rn. 35; Martini, in: Paal/Pauly, DSGVO, Art. 79 (2017), Rn. 24–25; Mundil, in: Wolff/Brink, BeckOK, Art. 79 DSGVO (2016), Rn. 16
 
84
Martini, in: Paal/Pauly, DSGVO, Art. 79 (2017), Rn. 26–28; Mundil, in: Wolff/Brink, BeckOK, Art. 79 DSGVO (2016), Rn. 18
 
85
Mundil, in: Wolff/Brink, BeckOK, Art. 79 DSGVO (2016), Rn. 18; Martini, in: Paal/Pauly, DSGVO, Art. 79 (2017), Rn. 26–28
 
86
Gemäß Art. 80 Abs. 1 DSGVO muss eine solche Einrichtung ohne Gewinnerzielungsabsicht ordnungsgemäß nach dem Recht eines EU-Mitgliedstaats gegründet sein, ihre satzungsmäßige Ziele müssen im öffentlichem Interesse liegen und ihre Tätigkeit muss im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten liegen.
 
87
Gierschmann, ZD 2016, 51, 53
 
88
Vgl. auch die Begründung des Gesetzgebers in Deutscher Bundestag (2017), Drucksache 18/11325, S. 109 f.
 
Literatur
Art.-29-Datenschutzgruppe (2009) Die Zukunft des Datenschutzes: Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten. WP 168 (zitiert nach englischem Original)
Becker T (2016) Art. 82, 83 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Brink S (2016) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Deutscher Bundestag (2017) Drucksache 18/11325
Faust S, Spittka J, Wybitul T (2016) Milliardenbußgelder nach der DSGVO? ZD 6(3):120–125
Frenzel EM (2017) Art. 82, 83 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55
Härting N (Hrsg) (2016) Datenschutz-Grundverordnung, 1. Aufl. Dr. Otto Schmidt Verlag, Köln
Holländer C (2017) Art. 83 DSGVO, § 43 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München
Hullen N (2016) Art. 57, 58 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln
Körffer B (2017) Art. 55, 58, 78 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Laue P, Nink J, Kremer S (Hrsg) (2016) Haftung, Sanktionen und Rechtsbehelfe; Zusammenarbeit mit Aufsichtsbehörden. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden
Maier S (2012) § 260 StGB. In: Münchener Kommentar zum StGB, Bd. 4. 2. Aufl. C.H. Beck, München
Martini M (2017) Art. 79 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München
Mundil D (2016) Art. 78, 79 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Nebel M (2017) Rechtswege und Rechtsbehelfe. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden
Nguyen AM (2015) Die zukünftige Datenschutzaufsicht in Europa. ZD 5(6):265–270
Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
Plath K-U (2016) § 38 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln CrossRef
Quaas S (2016) Art. 82 DSGVO; § 7 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München
Schantz P (2016) Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht. NJW 69(26):1841–1847
Simitis S (2014) § 7 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden
von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581
Wybitul T (2016) DSGVO veröffentlicht – Was sind die neuen Anforderungen an die Unternehmen? ZD 6(6):253–254
Metadaten
Titel
Rechtsdurchsetzung und Sanktionennach der DSGVO
verfasst von
Paul Voigt
Axel von dem Bussche
Copyright-Jahr
2018
Verlag
Springer Berlin Heidelberg
Buch
EU-Datenschutz-Grundverordnung (DSGVO)

Print ISBN: 978-3-662-56186-7

Electronic ISBN: 978-3-662-56187-4

Copyright-Jahr: 2018

DOI
https://doi.org/10.1007/978-3-662-56187-4_7

Premium Partner

Pluta Rombach Rechtsanwälte
    Bildnachweise

    Version: 0.2014.0