Die Vorschriften für Sanktionen sind in Art. 83 und Art. 84 DSGVO geregelt und sehen Strafen von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Umsatzes im Geschäftsjahr vor.

Diese Vorschriften gelten im Wesentlichen für Unternehmen mit Sitz in der EU und Unternehmen, die personenbezogene Daten über in der EU ansässige Personen erheben, verarbeiten und nutzen, soweit diese Unternehmen ihre Tätigkeit auf die EU ausrichten. Von besonderem Interesse ist dabei die Verantwortung der Leitung des Unternehmens. Denn die DSGVO enthält keine Regelungen zur Verantwortlichkeit von natürlichen Personen von Datenschutzverstößen, wie dies nach dem österreichischen Datenschutzgesetz aktuell (und zukünftig) der Fall ist. Nach Ansicht der Literatur werden einzelne Regelungen der DSGVO aber als Schutzgesetze angesehen werden. Daraus resultieren Beweiserleichterungen für Betroffene und ein erhöhtes Haftungsrisiko für den Verantwortlichen und dessen Organe (z.B. Geschäftsführer).

Die in Österreich vorgesehene Geschäftsführer-Haftung verpflichtet Geschäftsführer zur fachlich einwandfreien Leitung des Unternehmens. Das bedeutet, dass Pflichtverletzungen im Datenschutzbereich, welche zur Zahlung von Schadenersatz oder Geldbußen durch die Gesellschaft führen, den Geschäftsführer ersatzpflichtig machen können. Denn im Hinblick auf den steigenden Einsatz von Informations- und Kommunikationstechnologien im Unternehmen, ist die Einhaltung der datenschutzrechtlichen Vorschriften als zentrale Aufgabe der Geschäftsführung anzusehen. Diesem Grundsatz folgend kann sich ein Geschäftsführer auf mangelndes Wissen oder mangelnde Fähigkeiten nicht berufen, weil er diesfalls eine Geschäftsführerfunktion nicht hätte übernehmen dürfen oder externe Berater (z.B. einen Datenschutzbeauftragten) hätte hinzuziehen müssen. Grundsätzlich haftet ein Geschäftsführer aber nur gegenüber der Gesellschaft und nicht gegenüber den natürlichen betroffenen Personen mit der Ausnahme, dass im Falle einer Schutzgesetzverletzung sehr wohl eine unmittelbare Haftung bestehen könnte.

Das, was am meisten wehtut: Geldbußen und sonstige Sanktionen

Es bleibt nicht mehr viel Zeit, bis die DSGVO in Kraft tritt. Unternehmen drohen dann Strafen: im Extremfall bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem welcher Wert der höhere ist. Von diesem Strafmaß könnte auch Ihr Unternehmen im Einzelfall bei besonders schweren Verstößen betroffen sein, wenn es nicht frühzeitig die notwendigen Schritte zur Implementierung einer Compliancekette setzt.

Wozu die Strafen? Die Sanktionen nach der DSGVO sollen Unternehmen von Datenschutzverstößen abhalten und das Bewusstsein dafür schärfen, dass Verstöße zugleich Verletzungen der europäischen Grundrechte sind. Deshalb sieht es der europäische Gesetzgeber als notwendig an, die Sanktionen wirksam, verhältnismäßig und abschreckend zu gestalten.

Wird die Behörde das volle Strafmaß ausschöpfen? Die Beantwortung dieser Frage gestaltet sich relativ schwierig, zumal von der österreichischen Datenschutzbehörde keine Stellungnahme zu den Parametern der Höhe der Geldbuße erfolgt ist. Die DSGVO normiert aber eine Reihe an Kriterien (die nicht abschließend sind!), die die Behörden bei der Höhe der Geldbuße heranziehen könnten.

Welche Kriterien sind das? Dabei könnte es sich um die Art, Schwere und Dauer oder die Vorsätzlichkeit bzw. Fahrlässigkeit des Verstoßes handeln. Ebenso könnte die Behörde etwaige einschlägige frühere Verstöße oder die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde (Stichwort Selbstanzeige) als erschwerenden bzw. mildernden Umstand werten. Ein wesentliches Kriterium bei der Bemessung kann auch die finanzielle Leistungsfähigkeit des Unternehmens sein.

Welche sonstigen Sanktionen drohen? Die nationale Aufsichtsbehörde könnte auf ihre nach der DSGVO normierten Befugnisse zurückgreifen und Anordnungen zur Beendigung des Verstoßes setzen, wie zum Beispiel eine Verwarnung aussprechen oder eine Anweisung, die Datenverarbeitung den Vorgaben der DSGVO anzupassen. Auch ein komplettes Verbot der Datenverarbeitung ist möglich.

Ist das eine abschließende Regelung? Nein, denn die DSGVO ermöglicht dem nationalen Gesetzgeber weitere Sanktionen einzuführen. So hat der österreichische Gesetzgeber im neuen Datenschutzgesetz, welches auch mit 25. Mai 2018 in Kraft tritt, auch die Verhängung von separaten Verwaltungsstrafen von bis zu EUR 50.000 gegen natürliche Personen (z.B. Geschäftsführung) und eine unmittelbare Geschäftsführerhaftung für die Strafen nach der DSGVO vorgesehen, soweit nicht schon das Unternehmen gestraft wurde.

Wie kommt eine datenschutzrechtliche Compliance-Lücke ans Licht? Mit 25. Mai 2018 wird es insbesondere in Österreich zu einer Verlagerung der Funktion der Datenschutzbehörde kommen. Die Prüfung der internationalen Datentransfers wird sich erheblich einschränken; dafür wird erwartet, dass die Behörde proaktiv Überprüfungen tätigen wird. Auch kann ein unzufriedener Mitarbeiter, der sich bei der Aufsichtsbehörde beschwert, ein Verfahren ins Rollen bringen. Oder ein Kunde bzw. potentieller Kunde. Je größer und bekannter das Unternehmen ist, desto häufiger kann es auch Opfer der Presse werden, die für eine Story datenschutzrechtlichen Investigativ-Journalismus betreiben könnte.

Was können Sie tun?

Unterschätzen Sie den Datenschutz in Ihrem Unternehmen nicht: Frühzeitige Sensibilisierung bildet das Grundfundament für die Implementierung einer Compliancekette. Überschätzen Sie sich auch nicht: Datenschutz ist ein komplexes Thema, und je größer das Unternehmen, desto mehr Dinge gibt es zu beachten. Ihr Unternehmen sollte sich daher professionell datenschutzrechtlich beraten lassen und regelmäßige Compliance-Audits durchführen.