Was soll das mit dem Daten­schutz und wen kümmert das schon?

Fragen nach dem Sinn des Datenschutzes werden immer wieder gestellt, wenn es um lästige Formulare, Dokumentationen, Auskunftsbegehren oder einfach nur um die internen Zuständigkeiten in Unternehmen und Behörden geht. Wir nehmen den Europäischen Datenschutztag, der jährlich am 28. Januar stattfindet, zum Anlass, Antworten zu diesen Fragen zu formulieren.

Der Europäische Datenschutztag erinnert an die Veröffentlichung der Konvention Nr. 108 des Europarates im Jahr 1981. Damals wurde mittels dieser Konvention in einem völkerrechtlichen Vertrag das Übereinkommen zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten festgeschrieben. Wesentliche Elemente im europäischen Rechtsverständnis lassen sich auf die Festlegungen und Formulierungen in diesem Vertragstext zurückführen, der von 55 Staaten ratifiziert wurde (Unterschriften und Ratifikationsstand des Vertrages 108 sind hier online einsehbar). Dazu gehören beispielweise die Definitionen von personenbezogenen Daten und der Verantwortlichen, sowie die Anforderungen an eine Zweckbindung und die Rechte der von der Datenverarbeitung betroffenen Personen. Es gehört aber auch die Verpflichtung der Vertragsparteien dazu, geeignete Sanktionen und Rechtsmittel für Verletzungen der innerstaatlichen Umsetzungen der Grundsätze zum Datenschutz festzulegen.

Diese Basis zum Datenschutz wurde 1995 in einer Europäischen Richtlinie (RL 95/46/EU) und ab 2016 in der Datenschutz-Grundverordnung VO 2016/679 (DSGVO) berücksichtigt. Und um die Bedeutung der in der Konvention 108 von 1981 festgelegen Wertungen hervorzuheben, wird deren Veröffentlichungstag, der 28. Januar, seit 2007 als Europäischer Datenschutztag begangen. Ziel dieses Tages ist es, die Bürgerinnen und Bürger Europas für den Datenschutz zu sensibilisieren.

Wie aber hat sich die DSGVO mittlerweile durchgesetzt und welche Sanktionen und Rechtsbehelfe sieht sie vor, wenn Behörden, Unternehmen und andere nicht-öffentliche Stellen sich nicht an sie halten?

Durchsetzung der DSGVO

Bei der Durchsetzung der datenschutzrechtlichen Regelungen gibt es noch einige rechtliche Unklarheiten, die aufzulösen sind. Wie berechnet sich beispielweise die Höhe des Bußgeldes, das in Art. 83 DSGVO vorgesehen ist? In der DSGVO werden zur Berechnung verschiedene Faktoren vorgegeben, die zu berücksichtigen sind. So sind nach Art. 83 Abs. 2 DSGVO dabei 11 Kriterien in jedem Einzelfall zu berücksichtigen, ohne dass dabei eine Gewichtung dieser Kriterien mitgegeben wird. Die Aufsichtsbehörden versuchen hier durch eigene Festlegungen eine einheitliche Verwaltungspraxis sicherzustellen. Eine weitere Hürde bei der Verhängung von Bußgeldern gegen nicht-öffentliche Stellen ist in Deutschland § 30 des Ordnungswidrigkeitengesetzes (OWiG), das vorschreibt, dass für die Verhängung eines Bußgeldes gegen juristische Personen ein Verstoß einer Person mit Leitungsfunktion vorliegen muss. Die Frage, ob diese Regelung auch bei Sanktionen der DSGVO angewendet werden kann, liegt ebenso wie die Frage, ob eine Geldbuße verschuldensunabhängig verhängt werden kann, beim Europäischen Gerichtshof (EuGH) (EuGH C-807/21). Das Urteil dazu wird in diesem Jahr erwartet.

Welches Risiko gehen Behörden ein, die sich nicht an die DSGVO halten?

Gegenüber Behörden und anderen öffentlichen Stellen kann in Deutschland kein Bußgeld verhängt werden, weil Deutschland in § 43 Abs. 3 des Bundesdatenschutzgesetzes (BDSG) von der Möglichkeit aus Art. 83 Abs. 7 DSGVO Gebrauch gemacht hat, darauf zu verzichten.

Doch gibt es auch für Behörden ein Risiko, bei Verstößen gegen datenschutzrechtliche Vorgaben in Haftung genommen zu werden. Neben der Sanktionierung über ein Bußgeld können bei Verstößen auch Schadenersatzansprüche der betroffenen Person drohen. Dies umfasst gemäß Art. 82 DSGVO nicht nur den materiellen Schaden, sondern auch den immateriellen Schaden. Auch hier gibt es noch Auslegungsfragen, die der EuGH klären muss. Dabei geht es einerseits um die Höhe, ob im Rahmen der Bemessung seiner Höhe nur eine Ausgleichs- und u.U. Genugtuungsfunktion oder auch ein Sanktionscharakter zukomme und ob bei einem Identitätsdiebstahl der Anspruch auf immateriellen Schadenersatz bereits bei Abhandenkommen der Daten begründet sei oder erst tatsächlich ein Straftäter sich in irgendeiner Form als der Betroffene ausgegeben hat (EuGH C-189/22). Offen ist auch, ob der Anspruch auf einen immateriellen Schadenersatz erfordere, dass aus der Verletzung der DSGVO eine Konsequenz oder eine Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegen müsse, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht (EuGH C-300/21).

Bereits entschieden hat der EuGH, dass Bußgeld und Schadenersatzansprüche nebeneinander bestehen können, die Mitgliedsstaaten müssen nur regeln, dass es keine sich widersprechenden Entscheidungen durch die Gerichte geben dürfe (EuGH C-132/21). Noch offen ist, inwieweit datenschutzrechtliche Regelungen auch wettbewerbsschützenden Charakter haben und damit Verletzungen datenschutzrechtlicher Vorschriften auch Abmahnmöglichkeiten durch Wettbewerber eröffnen. Diese Frage hat der BGH nun dem EuGH laut einer Pressemitteilung vorgelegt.

Ausblick und Hilfen

Auch wenn viele Detailfragen zu Sanktionen und Schadenersatz wie eben ausgeführt noch offen sind: Die Einhaltung der datenschutzrechtlichen Vorgaben sollte nicht leichtfertig außer Acht gelassen werden. Eine Nutzung von personenbeziehbaren Daten bringt viele gesellschaftliche und wirtschaftlichen Chancen, die sich nur realisieren lassen, wenn der Nutzung ein internationales Verständnis über Zulässigkeiten und Anforderungen zugrunde liegt. Die Konvention Nr. 108 bietet dafür den Rahmen und wurde zwischenzeitlich auch als Konvention Nr. 108+ überarbeitet, um technischen Anforderungen auch künftig gerecht zu werden.

In der AWV widmet sich insbesondere der Arbeitskreis 4.3 „Datenschutz und Informationssicherheit” dem Thema Datenschutz. Unterstützung beim Verständnis und Hilfestellungen zur Umsetzung datenschutzrechtlicher Vorgaben gibt die Broschüre „Die DSGVO – Hinweise für kleine und mittlere Unternehmen”, die der AK 4.3 im vergangenen Jahr erarbeitet hat. Die Publikation ist hier kostenfrei online erhältlich.

Bild: AdobeStock / sdecoret