nach oben

vorheriges Kapitel Zusammenarbeit mit den Aufsichtsbehörden

nächstes Kapitel Nationale Besonderheiten

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2018 | OriginalPaper | Buchkapitel

7. Rechtsdurchsetzung und Sanktionennach der DSGVO

Erstes Kapitel lesen

Autoren: Paul Voigt, Axel von dem Bussche

Verlag: Springer Berlin Heidelberg

Erschienen in: EU-Datenschutz-Grundverordnung (DSGVO)

» Jetzt Zugang zum Volltext erhalten

Zusammenfassung

Hinsichtlich der Rechtsdurchsetzung führt die DSGVO tief greifende Änderungen im Vergleich zur EG-Datenschutzrichtlinie ein. Es obliegt den Aufsichtsbehörden, die Einhaltung der DSGVO sicherzustellen und um diese Aufgabe erfüllen zu können, haben sie verschiedenste Untersuchungs- und Abhilfebefugnisse. Die schwerwiegendste Sanktionsmaßnahme liegt aus Unternehmenssicht in der Verhängung von Bußgeldern. Deren Maximalbetrag wurde auf bis zu EUR 20.000.000,00 oder bis zu 4 % des weltweiten Jahresumsatzes signifikant erhöht. Abgesehen von Verwaltungssanktionen sind Unternehmen ggf. auch den betroffenen Personen gegenüber schadensersatzpflichtig. Den Auftragsverarbeiter trifft nach der DSGVO erstmals eine eigene zivilrechtliche Haftung für Verletzungen der Verordnung. In diesem Kapitel werden die Aufgaben und Befugnisse der Aufsichtsbehörden, die zivilrechtliche Haftung, verwaltungsrechtliche Sanktionen und verfügbare Rechtsbehelfe dargestellt.

Bitte loggen Sie sich ein, um Zugang zu diesem Inhalt zu erhalten

Jetzt einloggen Kostenlos registrieren

Sie möchten Zugang zu diesem Inhalt erhalten? Dann informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

über 69.000 Bücher
über 500 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Umwelt
Finance + Banking
Management + Führung
Marketing + Vertrieb
Maschinenbau + Werkstoffe
Versicherung + Risiko

Testen Sie jetzt 30 Tage kostenlos.

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

über 50.000 Bücher
über 380 Zeitschriften

aus folgenden Fachgebieten:

Automobil + Motoren
Bauwesen + Immobilien
Business IT + Informatik
Elektrotechnik + Elektronik
Energie + Umwelt
Maschinenbau + Werkstoffe

Testen Sie jetzt 30 Tage kostenlos.

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

über 58.000 Bücher
über 300 Zeitschriften

aus folgenden Fachgebieten:

Bauwesen + Immobilien
Business IT + Informatik
Finance + Banking
Management + Führung
Marketing + Vertrieb
Versicherung + Risiko

Testen Sie jetzt 30 Tage kostenlos.

Jetzt informieren

ErwGr. 11 DSGVO

Hinsichtlich der Aufgaben und Befugnisse der Aufsichtsbehörden nach alter Rechtslage siehe Art. 28 Abs. 1 EG-Datenschutzrichtlinie.

Nguyen, ZD 2015, 265, 269; Hullen, in: Plath, BDSG/DSGVO, Art. 57 DSGVO ( 2016), Rn. 1–3

Gierschmann, ZD 2016, 51, 55; Hullen, in: Plath, BDSG/DSGVO, Art. 57 DSGVO ( 2016), Rn. 2

Art. 28 Abs. 3 EG-Datenschutzrichtlinie: „Jede Kontrollstelle verfügt insbesondere über […] Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, […] wirksame Einwirkungsbefugnisse, wie beispielsweise […].“

Art.-29-Datenschutzgruppe, WP 168 ( 2009), S. 22; Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 1

Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 108. § 40 Abs. 3 BDSG-neu enthält zudem auch Regelungen hinsichtlich des Umfangs der aufsichtsbehördlichen Datenverarbeitungsbefugnisse.

Siehe auch Petri, in: Simitis, BDSG, § 38 ( 2014), Rn. 53

Siehe auch Petri, in: Simitis, BDSG, § 38 ( 2014), Rn. 58. Nach § 40 Abs. 4 Satz 3 BDSG-neu hat die Aufsichtsbehörde die auskunftspflichtigen Personen auf dieses Verweigerungsrecht hinzuweisen.

Siehe auch Petri, in: Simitis, BDSG, § 38 ( 2014), Rn. 61

ErwGr. 164 DSGVO

Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 5

Siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG ( 2016), Rn. 57

Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 7; siehe auch Brink, in: Wolff/Brink, BeckOK, § 38 BDSG ( 2016), Rn. 57

Siehe auch Plath, in: Plath, BDSG/DSGVO, § 38 BDSG ( 2016), Rn. 44

Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 7

Hullen, in: Plath, BDSG/DSGVO, Art. 58 DSGVO ( 2016), Rn. 9

Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 10

Hullen, in: Plath, BDSG/DSGVO, Art. 58 DSGVO ( 2016), Rn. 10

Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 12

Nguyen, ZD 2015, 265, 269; Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 15

ErwGr. 129 DSGVO; Nguyen, ZD 2015, 265, 269; Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 15

Nguyen, ZD 2015, 265, 269; Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 15

ErwGr. 129 DSGVO

Im Hinblick darauf, bildet Art. 31 DSGVO eine Neuerung und Ausnahme von diesem Grundsatz, siehe Abschn. 3.2.3

ErwGr. 129 DSGVO

Laue/Nink/Kremer, Datenschutzrecht, Aufsichtsbehörden ( 2016), Rn. 19; ErwGr. 129 DSGVO

Gemäß Art. 23 Abs. 1 EG-Datenschutzrichtlinie sehen die EU-Mitgliedstaaten vor, dass jede Person, der wegen einer rechtswidrigen Verarbeitung oder jeder anderen mit den einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie nicht zu vereinbarenden Handlung ein Schaden entsteht, das Recht hat, von dem für die Verarbeitung Verantwortlichen Schadenersatz zu verlangen. Gemäß Art. 23 Abs. 2 EG-Datenschutzrichtlinie kann der für die Verarbeitung Verantwortliche teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 4

ErwGr. 146 DSGVO

Siehe auch Quaas, in: Wolff/Brink, BeckOK, § 7 BDSG ( 2016), Rn. 56; Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 6

ErwGr. 146 DSGVO

Beispielhaft EuGH, Entscheidung vom 17. Dezember 2015, Arjona Camacho, C-407/14, ErwGr. 31; Schantz, NJW 2016, 1841, 1847; Wybitul, ZD 2016, 253, 253

Schantz, NJW 2016, 1841, 1847

Frenzel, in: Paal/Pauly, DSGVO, Art. 82 ( 2017), Rn. 11

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 7; Frenzel, in: Paal/Pauly, DSGVO, Art. 82 ( 2017), Rn. 7; Quaas, in: Wolff/Brink, BeckOK, Art. 82 DSGVO ( 2016), Rn. 37; ablehnend, siehe Becker, in: Plath, BDSG/DSGVO, Art. 82 DSGVO ( 2016), Rn. 2

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 7

ErwGr. 146 DSGVO

Siehe auch Quaas, in: Wolff/Brink, BeckOK, § 7 BDSG ( 2016), Rn. 9; Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 15

Becker, in: Plath, BDSG/DSGVO, Art. 82 DSGVO ( 2016), Rn. 6

Frenzel, in: Paal/Pauly, DSGVO, Art. 82 ( 2017), Rn. 12

Becker, in: Plath, BDSG/DSGVO, Art. 82 DSGVO ( 2016), Rn. 6

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 8

Art. 23 Abs. 2 EG-Datenschutzrichtlinie: „Der für die Verarbeitung Verantwortliche kann teilweise oder vollständig von seiner Haftung befreit werden, wenn er nachweist, daß der Umstand, durch den der Schaden eingetreten ist, ihm nicht zur Last gelegt werden kann.“

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 9; Frenzel, in: Paal/Pauly, DSGVO, Art. 82 ( 2017), Rn. 15

Siehe auch Simitis, in: Simitis, BDSG, § 7 ( 2014), Rn. 25; Frenzel, in: Paal/Pauly, DSGVO, Art. 82 ( 2017), Rn. 15

Frenzel, in: Paal/Pauly, DSGVO, Art. 82 ( 2017), Rn. 15

Z. B. in Deutschland betrug die maximale Höhe von Bußgeldern für Verletzungen des Datenschutzrechts EUR 300.000,00, § 43 Abs. 3 BDSG (alt) und in Frankreich EUR 3.000.000,00, Art. 47 Loi 78–17 du 6 Janvier 1978 (modifiée).

ErwGr. 152 DSGVO

Hullen, in: Plath, BDSG/DSGVO, Art. 58 DSGVO ( 2016), Rn. 12; Körffer, in: Paal/Pauly, DSGVO, Art. 58 ( 2017), Rn. 17–18

v.d.Bussche/Zeiter, EDPL 2016, 576, 581; ErwGr. 148 DSGVO. Gemäß letzterem kann im Falle geringfügiger Verstöße gegen die DSGVO anstelle einer Geldbuße eine Verwarnung erteilt werden.

Frenzel, in: Paal/Pauly, DSGVO, Art. 83 ( 2017), Rn. 16

Es ist zu beachten, dass die Rechtsordnungen Dänemarks und Estlands eine Verhängung von Geldbußen durch Aufsichtsbehörden nicht vorsehen, so dass diese Regelung in beiden Mitgliedstaaten unzulässig ist. Daher obliegt die Verhängung von Geldbußen in diesen beiden Mitgliedstaaten anderen staatlichen Stellen, für Näheres siehe ErwGr. 151 der Verordnung.

ErwGr. 150 DSGVO

Aus dem Wortlaut des Art. 83 Abs. 1, 2 Satz 2 lit. b DSGVO geht nicht eindeutig hervor, ob Vorsatz oder Fahrlässigkeit bei der Begehung eines Verstoßes Voraussetzung für die Verhängung eines Bußgeldes sind. Dafür spräche der allgemeine Verschuldensgrundsatz, der über die Voraussetzung der Verhältnismäßigkeit der Bußgelder in die Vorschrift hineingelesen werden sollte. Letztlich könnte dies aber auch nur zu einer schuldangemessenen Anpassung der Bußgeldhöhe führen. Vorsatz oder Fahrlässigkeit für die Verhängung von Bußgeldern voraussetzend sind Becker, in: Plath, BDSG/DSGVO, Art. 83 DSGVO ( 2016), Rn. 11; Holländer, in: Wolff/Brink, BeckOK, Art. 83 DSGVO ( 2017), Rn. 17–18; Frenzel, in: Paal/Pauly, DSGVO, Art. 83 ( 2017), Rn. 14; a.A. Härting, DSGVO ( 2016), Rn. 253

Art. 83 Abs. 2 Satz 2 lits. a-k DSGVO; ErwGr. 148 DSGVO

Becker, in: Plath, BDSG/DSGVO, Art. 83 DSGVO ( 2016), Rn. 23

EuGH, Entscheidung vom 23. April 1991, Höfner and Elser./.Macrotron, C-41/90, ErwGr. 21; Faust/Spittka/Wybitul, ZD 2016, 120, 120–121

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 27; Faust/Spittka/Wybitul, ZD 2016, 120, 121–124; Bayrisches Landesamt für Datenschutzaufsicht, Sanktionen ( 2016), S. 2

Faust/Spittka/Wybitul, ZD 2016, 120, 124; Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 28; ablehnend Holländer, in: Wolff/Brink, BeckOK, Art. 83 (2016), Rn. 12–15; Becker, in: Plath, BDSG/DSGVO, Art. 83 ( 2016), Rn. 23

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 28

Datenschutzkonferenz, Kurzpapier Nr. 2 ( 2017), S. 2

Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 108

Siehe insoweit die Aufzählungen in § 41 Abs. 1 Sätze 2, 3, Abs. 2 Sätze 2, 3 BDSG-neu

Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 108; siehe zum bisherigen Verfahrensablauf auch Holländer, in: Wolff/Brink, BeckOK, § 43 BDSG ( 2017), Rn. 73–76

Zum Begriff „gewerbsmäßig“, siehe Maier, in: MüKo StGB, § 260 ( 2012), Rn. 4

Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 109

Körffer, in: Paal/Pauly, DSGVO, Art. 78 ( 2017), Rn. 3; ErwGr. 143 DSGVO

ErwGr. 143 DSGVO

Körffer, in: Paal/Pauly, DSGVO, Art. 78 ( 2017), Rn. 4

Körffer, in: Paal/Pauly, DSGVO, Art. 78 ( 2017), Rn. 4; Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO ( 2016), Rn. 6

Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO ( 2016), Rn. 6; Körffer, in: Paal/Pauly, DSGVO, Art. 78 ( 2017), Rn. 4; Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 37

§ 20 Abs. 1 Satz 2 BDSG-neu; Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 93

§ 20 Abs. 3 BDSG-neu

Nebel, in: Roßnagel, DSGVO, Rechtswege ( 2017), Rn. 115

Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO ( 2016), Rn. 10

Körffer, in: Paal/Pauly, DSGVO, Art. 78 ( 2017), Rn. 7; Mundil, in: Wolff/Brink, BeckOK, Art. 78 DSGVO ( 2016), Rn. 11

Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 93

Wolff ( 2017) Stellungnahme, S. 13

Für letzteren Fall steht dies unter der Bedingung, dass es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter nicht um eine Behörde eines EU-Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Laue/Nink/Kremer, Datenschutzrecht, Haftung ( 2016), Rn. 35; Martini, in: Paal/Pauly, DSGVO, Art. 79 ( 2017), Rn. 24–25; Mundil, in: Wolff/Brink, BeckOK, Art. 79 DSGVO ( 2016), Rn. 16

Martini, in: Paal/Pauly, DSGVO, Art. 79 ( 2017), Rn. 26–28; Mundil, in: Wolff/Brink, BeckOK, Art. 79 DSGVO ( 2016), Rn. 18

Mundil, in: Wolff/Brink, BeckOK, Art. 79 DSGVO ( 2016), Rn. 18; Martini, in: Paal/Pauly, DSGVO, Art. 79 ( 2017), Rn. 26–28

Gemäß Art. 80 Abs. 1 DSGVO muss eine solche Einrichtung ohne Gewinnerzielungsabsicht ordnungsgemäß nach dem Recht eines EU-Mitgliedstaats gegründet sein, ihre satzungsmäßige Ziele müssen im öffentlichem Interesse liegen und ihre Tätigkeit muss im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten liegen.

Gierschmann, ZD 2016, 51, 53

Vgl. auch die Begründung des Gesetzgebers in Deutscher Bundestag ( 2017), Drucksache 18/11325, S. 109 f.

Art.-29-Datenschutzgruppe (2009) Die Zukunft des Datenschutzes: Gemeinsamer Beitrag zu der Konsultation der Europäischen Kommission zu dem Rechtsrahmen für das Grundrecht auf den Schutz der personenbezogenen Daten. WP 168 (zitiert nach englischem Original)

Bayrisches Landesamt für Datenschutzaufsicht (2016) Sanktionen nach der DSGVO. https://www.lda.bayern.de/media/baylda_ds-gvo_7_sanctions.pdf. Zugegriffen: 6. Apr. 2017

Becker T (2016) Art. 82, 83 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

Brink S (2016) § 38 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München

Datenschutzkonferenz (2017) Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen. https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2017/07/DSK_KPNr_2_Sanktionen.pdf#. Zugegriffen: 19. Juli 2017

Deutscher Bundestag (2017) Drucksache 18/11325

Faust S, Spittka J, Wybitul T (2016) Milliardenbußgelder nach der DSGVO? ZD 6(3):120–125

Frenzel EM (2017) Art. 82, 83 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

Gierschmann S (2016) Was „bringt“ deutschen Unternehmen die DSGVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt. ZD 6(2):51–55

Härting N (Hrsg) (2016) Datenschutz-Grundverordnung, 1. Aufl. Dr. Otto Schmidt Verlag, Köln

Holländer C (2017) Art. 83 DSGVO, § 43 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 20. Aufl. C.H. Beck, München

Hullen N (2016) Art. 57, 58 DSGVO. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln

Körffer B (2017) Art. 55, 58, 78 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

Laue P, Nink J, Kremer S (Hrsg) (2016) Haftung, Sanktionen und Rechtsbehelfe; Zusammenarbeit mit Aufsichtsbehörden. In: Das neue Datenschutzrecht in der betrieblichen Praxis, 1. Aufl. Nomos, Baden-Baden

Maier S (2012) § 260 StGB. In: Münchener Kommentar zum StGB, Bd. 4. 2. Aufl. C.H. Beck, München

Martini M (2017) Art. 79 DSGVO. In: Paal BP, Pauly DA (Hrsg) Beck’sche Kompaktkommentare Datenschutz-Grundverordnung, 1. Aufl. C.H. Beck, München

Mundil D (2016) Art. 78, 79 DSGVO. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München

Nebel M (2017) Rechtswege und Rechtsbehelfe. In: Roßnagel A (Hrsg) Europäische Datenschutz-Grundverordnung, Vorrang des Unionsrechts – Anwendbarkeit des nationalen Rechts, 1. Aufl. Nomos, Baden-Baden

Nguyen AM (2015) Die zukünftige Datenschutzaufsicht in Europa. ZD 5(6):265–270

Petri TB (2014) § 38 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

Plath K-U (2016) § 38 BDSG. In: Plath K-U (Hrsg) BDSG/DSGVO, 2. Aufl. Verlag Dr. Otto Schmidt, Köln CrossRef

Quaas S (2016) Art. 82 DSGVO; § 7 BDSG. In: Wolff HA, Brink S (Hrsg) Beck’scher Online-Kommentar Datenschutzrecht, 18. Aufl. C.H. Beck, München

Schantz P (2016) Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht. NJW 69(26):1841–1847

Simitis S (2014) § 7 BDSG. In: Simitis S (Hrsg) Bundesdatenschutzgesetz, 8. Aufl. Nomos, Baden-Baden

von dem Bussche AF, Zeiter A (2016) Practitioner’s corner – Implementing the EU General Data Protection Regulation: A Business Perspective. EDPL 2(4):576–581

Wolff HA (2017) Schriftliche Stellungnahme. https://www.bundestag.de/blob/500138/d1d18e50b8e64588c3f36c132007b4d3/18-4-824-e-data.pdf. Zugegriffen: 29. Juni 2017

Wybitul T (2016) DSGVO veröffentlicht – Was sind die neuen Anforderungen an die Unternehmen? ZD 6(6):253–254

Titel

Rechtsdurchsetzung und Sanktionennach der DSGVO

Buch

EU-Datenschutz-Grundverordnung (DSGVO)

Print ISBN: 978-3-662-56186-7

Electronic ISBN: 978-3-662-56187-4

https://doi.org/10.1007/978-3-662-56187-4

DOI

https://doi.org/10.1007/978-3-662-56187-4_7

Autoren:

Paul Voigt
Axel von dem Bussche

Verlag

Springer Berlin Heidelberg

Sequenznummer

Kapitelnummer

Premium Partner

Bildnachweise