Auch der Bußgeldrahmen von 50.000 bis 300.000 Euro (§ 43 Abs. 3 BDSG) war bislang kalkulierbar und blieb regelmäßig unausgeschöpft – Millionenstrafen wie gegen die Bahn oder den privaten Krankenversicherer Debeka blieben die seltene Ausnahme.
Das ändert sich jetzt: Unter den zahlreichen Änderungen der Rechtslage, die die EU-DSGVO mit sich bringt, ist das neue Sanktionsregime (Art. 83) sicherlich die eindrücklichste:
Exorbitante Bußgelder erwarten die Verantwortlichen, die sich nicht mehr allein an einem festen Rahmen von bis zu 10 Mio. Euro (Art. 83 Abs. 4) bzw. 20 Mio. Euro (Art. 83 Abs. 5) orientieren, sondern – nach dem Vorbild der europäischen Wettbewerbsstrafen – bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.
Verschärfend wirkt auch, dass solche drakonischen Strafen schon an vergleichsweise überschaubare Rechtsverstöße geknüpft sind, etwa an die verspätete Meldung einer Datenpanne oder eine Falschauskunft an den Betroffenen. Da zudem die Sanktionen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ (Art. 83 Abs. 1) sein sollen, wird man künftig von einer Ausschöpfung dieses Rahmen ausgehen müssen.
Ein weiterer Aspekt wird für die Bußgeldpraxis in Deutschland und Europa eine wesentliche Rolle spielen:
Bislang lag es in der Hand der unabhängigen deutschen Aufsichtsbehörden, ob und in welchem Umfang verantwortliche Stellen bei Datenschutzverstößen mit einer Sanktionierung zu rechnen hatten – und die staatlichen Datenschutzbeauftragten haben von dieser Befugnis bislang mit viel Augenmaß Gebrauch gemacht. Unter der Ägide der EU-DSGVO wird die Entscheidung über die Angemessenheit einer Verhängung von Bußgeldern den örtlichen Aufsichtsbehörden aus der Hand genommen und im Ergebnis dem Europäischen Datenschutzausschuss anvertraut, assistiert von den Betroffenen und weiteren Aufsichtsbehörden, die maßgeblichen Einfluss gewinnen. In Zukunft wird es also weit weniger auf das Augenmaß des zuständigen Landesbeauftragten ankommen, sondern auf den Durchsetzungswillen des für die Vollzugspraxis maßgeblichen Europäischen Datenschutzausschusses und auf den Verfolgungswillen der übrigen europäischen Aufsichtsbehörden.
Innerhalb dieses neuen Rechts- und Vollzugsrahmens verändern sich damit die wesentlichen Orientierungspunkte so grundlegend, dass jetzt die Frage zu beantworten ist: Wie sollen Unternehmen hier reagieren, worauf sollen sie sich ab Mai 2018 einstellen?
Unser Tipp: Vermeiden Sie solche Konsequenzen und beginnen Sie frühzeitig mit der Umsetzung
Die IDACON bietet Ihnen die Wissensplattform, um optimal in die Änderungen, die durch die neue EU-Datenschutz-Grundverordnung entstehen, einzusteigen. Spannende, aktuelle und praxisnahe Vorträge geben Ihnen die Impulse für einen gelungenen Start in die Umsetzung. Durch den Mix aus übergreifenden Plenumsvorträgen, parallelen Fachforen und speziellen Seminaren bieten wir Ihnen die Möglichkeit, Ihren individuellen Wissensstand bedarfsgerecht zu erweitern und sich perfekt auf die Umsetzung vorzubereiten! Weitere Informationen unter www.idacon.de!
