Strafen im Datenschutz
Das Thema Strafen im Datenschutz gewinnt mit der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) zunehmend an Bedeutung. Die neuen Regelungen sehen eine drastische Erhöhung der Geldbußen bei zukünftigen Datenschutzverstößen vor. Bis zu 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro drohen lt DSGVO in Zukunft als höchste Geldstrafe. Aufsichtsbehörden sind zudem verpflichtet, sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Strafen im Datenschutz (DSG 2000)
Der § 52 DSG 2000 sieht aktuell Geldstrafen zwischen 500 und 25.000 Euro bei datenschutzrechtlichen Verwaltungsübertretungen vor. Zuständig für Entscheidungen, wie die Bemessung der Strafen sind die Bezirksverwaltungsbehörden, also Bezirkshauptmannschaften oder Magistrate, in denen der Auftraggeber seinen Aufenthalt oder Sitz hat. Wie häufig Strafen ausgesprochen. Dem Autor sind keine Quellen bekannt, welche Auskunft darüber geben würden. wie oft und in welcher Höhe in den vergangenen Jahren entsprechende Verwaltungsstrafen in Österreich verhängt worden sind.
Strafen nach der DSGVO
Die DSGVO sieht hingegen bei Datenschutzverstößen drastische Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Die Strafen werden im jeweiligen Einzelfall unter Berücksichtigung aller besonderen Umstände verhängt. Strafmildernd wirken ua vorhandene, technische und organisatorische Maßnahmen zur Minderung des Schadens. Zuständig für die Verhängung von Verwaltungsstrafen ist lt DSGVO in Österreich die Datenschutzbehörde, deren Befugnisse merklich erweitert worden sind.
Umsetzung der Strafbestimmungen in nationales Recht
Für die Umsetzung der Strafbestimmungen lässt die DSGVO den nationalen Gesetzgebern einiges an Spielraum. Wie aus dem Gesetzesentwurf des deutschen Innenministeriums zur Anpassung des BDSG an die DSGVO ersichtlich ist, bewegen sich dort die für Datenschutzverstöße vorgesehenen Geldbußen zwischen 50.000 und 300.000 Euro. Ausdrücklich vorgesehen ist, dass Strafe den wirtschaftlichen Vorteil, den der Täter aus der Verwaltungsübertretung gezogen hat, übersteigen soll. Reichen die Strafen von bis zu 300.000 Euro dafür nicht aus, dann kann der Strafbetrag auch höher liegen. Ein entsprechender Entwurf liegt in Österreich derzeit noch nicht vor.
Strafen zukünftig existenzbedrohend?
Obwohl die Strafbestimmungen in der DSGVO als Höchstsätze zu betrachten sind und wie das deutsche Beispiel zeigt, die drohenden Strafsätze für Verwaltungsübertretungen auch niedriger sein können, ergibt sich durch das im österreichischen Verwaltungsstrafrecht (VStG) vorherrschende Kumulationsprinzip möglicherweise ein weiteres, existenzgefährdendes Problem für Unternehmen. Das Prinzip sieht vor, dass bei mehreren begangenen Verwaltungsübertretungen auch mehrere Strafen nebeneinander verhängt werden dürfen. Dies könnte im schlimmsten Fall zu einer Gesamtstrafe in der mehrfachen Höhe eines Jahresumsatzes führen.
Anpassung an DSGVO mit Augenmaß
In Hinblick auf die anstehende Umsetzung der DSGVO in nationales Recht ist zu hoffen, dass der Gesetzgeber die entsprechenden Regelungen mit Augenmaß durchführt und dabei vor allem die wirtschaftlichen Folgen überzogener Strafen berücksichtigt. Schlussendlich kann es nicht Sinn und Zweck der DSGVO sein, die wirtschaftliche Existenz von Unternehmen, insbes von Klein und Kleinstbetriebe, zu gefährden. Den Firmen ist wiederum zu empfehlen, rasch sämtliche Datenanwendungen im Unternehmen zu erfassen, zu analysieren und sachgerechte Datenschutzmaßnahmen zu ergreifen.
Links
Gesetzesentwurf des deutschen Innenministeriums zur Anpassung des BDSG an die DSGVO (DSAnpUG-EU)