Sanktionen bei Verstößen gegen das Datenschutzrecht

 

 

Bei Verstößen gegen das Datenschutzrecht, über deren Einhaltung die zuständigen Aufsichtsbehörden wachen, drohen verschiedene Sanktionen. Zahlreiche Verstöße stellen Ordnungswidrigkeiten dar, die mit einem Bußgeld geahndet werden können. Zudem drohen in bestimmten Fällen auch strafrechtliche Konsequenzen. Daneben ist unter Umständen auch noch den Geschädigten Schadensersatz zu leisten.

 

 

1. Sanktionen

 

 

a) Ordnungswidrigkeiten

 

In § 43 Absätze 1 und 2 BDSG ist ein umfangreicher Katalog von Ordnungswidrigkeitentatbeständen enthalten. Dabei enthält § 43 Absatz 1 BDSG Verstöße gegen datenschutzrechtliche Verfahrensvorschriften (zum Beispiel die unterbliebene Bestellung eines Datenschutzbeauftragten) und § 43 Absatz 2 BDSG die schwerwiegenderen Verstöße gegen materielle Schutzvorschriften, d. h. diese Vorschrift sanktioniert unzulässige Datenverarbeitungsvorgänge (somit insbesondere nach § 4 Absatz 1 BDSG verbotene Datenverarbeitungsvorgänge). 

 

Dementsprechend unterscheidet auch § 43 Absatz 3 BDSG, der für die genannten Ordnungswidrigkeiten die Verhängung bestimmter Busgelder vorsieht. Die vorsätzliche oder fahrlässige Verletzung einer Verfahrensvorschrift, die in § 43 Absatz 1 BDSG genannt ist, kann danach mit einem Bußgeld von bis zu EUR 50.000,00 geahndet werden, während bei der vorsätzlichen Verletzung einer in § 43 Absatz 2 BDSG genannten materiellen Schutzvorschrift ein Bußgeld von bis zu EUR 300.000,00 droht. Reichen die genannten Beträge nicht aus, um den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, zu übersteigen, kann im Einzelfall auch ein höheres als die genannten Bußgelder verhängt werden.

 

Mit einem Bußgeld belegt werden können nicht nur Inhaber eines Unternehmens und Unternehmensleiter, sondern auch Mitarbeiter, die tatsächliche Verantwortung und Entscheidungsbefugnis in Bezug auf die verletzte Vorschrift innehatten. Nur darauf kommt es letztlich an.

 

 

b) Straftatbestände

 

Wer eine in § 43 Absatz 2 BDSG bezeichnete vorsätzliche Handlung, d. h. einen Verstoß gegen materielle datenschutzrechtliche Schutzvorschriften (siehe oben), gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird gemäß § 44 Absatz 1 BDSG mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. Täter kann dabei wieder jede Person sein, die den Straftatbestand verwirklicht.

 

Die Tat wird gemäß § 44 Absatz 2 BDSG nur auf Antrag verfolgt. Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.

 

Neben den Straftatbeständen des § 44 BDSG können aber auch gleichzeitig noch solche außerhalb des BDSG verwirklicht sein, beispielsweise die Verletzung des Briefgeheimnisses (202 StGB) und des Privatgeheimnisses (§ 203 StGB) sowie insbesondere auch das Ausspähen (§ 202a StGB) und das Abfangen (§ 202b StGB) von Daten. 

 

 

2. Aufsichtsbehörden

 

Die Aufsichtsbehörden überwachen die Einhaltung der Datenschutzvorschriften. Gemäß § 38 Absatz 6 BDSG bestimmen die Landesregierungen die zuständigen Aufsichtsbehörden für den nicht-öffentlichen Bereich. Eine Auflistung dieser Behörden findet sich beispielsweise auf der Website des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

 

Bei nicht-öffentlichen Stellen, die der Gewerbeaufsicht unterliegen, kann daneben aber auch das Gewerbeaufsichtsamt für die Überwachung der Einhaltung des Datenschutzes zuständig sein.

 

 

3. Schadensersatz

 

Neben den dargestellten Sanktionen drohen demjenigen, der gegen Datenschutzrecht verstößt, auch noch Schadensersatzpflichten gegenüber den Betroffenen.

 

Hierzu bestimmt § 7 BDSG für nicht-öffentliche Stellen: „Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.“

 

Die Beweislast trifft den Geschädigten, sowohl hinsichtlich des Verstoßes als auch hinsichtlich der auf dem Verstoß beruhenden Schadensverursachung. Aus diesem Grund kommt ein Anspruch aus § 7 BDSG in der Praxis nicht sehr häufig vor.

 

Daneben können aber auch noch andere, allgemeine zivilrechtliche Ansprüche verwirklicht sein, insbesondere aus Deliktsrecht (§§ 823 ff. BGB).

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich