th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Rechtsdurchsetzung und Strafen

Rechtsbehelfe, Haftungen und Sanktionen

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Rechtsbehelfe

Jede Person, die glaubt, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht rechtmäßig geschieht, hat das Recht auf eine Beschwerde bei der Aufsichtsbehörde (Datenschutzbehörde). Diese Beschwerdemöglichkeit besteht auch dann, wenn andere verwaltungsrechtliche oder gerichtliche Rechtsbehelfe zur Verfügung stehen. Die Datenschutzbehörde hat den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs zu informieren. 

Gegen einen rechtsverbindlichen Beschluss der Datenschutzbehörde hat die betroffene Person ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf.

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sich die Aufsichtsbehörde nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb einer Frist von drei Monaten über den Verfahrensstand oder das Ergebnis informiert wird.

Nach dem österreichischen DSG idF des Datenschutz-Anpassungsgesetzes 2018 entscheidet das Bundesverwaltungsgericht über Beschwerden gegen Bescheide oder die Verletzung der Entscheidungspflicht der Datenschutzbehörde.

Haftung und Recht auf Schadenersatz

Jede Person, der wegen eines Verstoßes gegen die DSGVO, das Grundrecht auf Datenschutz oder die der Durchführung der DSGVO dienenden Bestimmungen des DSG ein materieller oder immaterieller Schaden entstanden ist, hat das Recht gegen den Verantwortlichen oder den Auftraggeber Schadenersatz geltend zu machen.

Der Kläger hat die Wahl, ob er die Klage bei dem Landesgericht einbringt, wo er seinen gewöhnlichen Aufenthalt oder Sitz hat oder beim gewöhnlichen Aufenthalt bzw. Sitz/Niederlassung des Beklagten.

Jeder an einer Verarbeitung beteiligte Verantwortliche, der bei der Verarbeitung von Daten gegen die Bestimmungen der DSGVO bzw. des Datenschutzgesetzes  verstoßen hat, haftet für den dadurch entstandenen Schaden.

Der Auftragsverarbeiter haftet hingegen nur dann für einen entstandenen Schaden, wenn er seinen speziell gesetzlich auferlegten Pflichten nicht nachgekommen ist (z.B. Heranziehung eines Sub-Auftragsverarbeiters ohne vorherige Zustimmung des Verantwortlichen eingeholt zu haben) oder einer rechtmäßig erteilten Anweisung des Verantwortlichen nicht Folge geleistet hat oder gegen diese Anweisung gehandelt hat. 

Der Verantwortliche und der Auftragsverarbeiter sind von der Haftung befreit, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Sind mehrere Verantwortliche oder mehrere Auftragsverarbeiter an einer Datenverarbeitung beteiligt, so haftet jeder einzelne für den gesamten Schaden. Damit soll ein wirksamer Schadenersatz für die betroffene Person gewährleistet werden.

Jener Verantwortliche oder Auftragsverarbeiter, der zum Ersatz des gesamten Schadens herangezogen wurde, kann bei den übrigen Beteiligten regressieren. 

Gegen juristische Personen können Geldstrafen verhängt werden, wenn Verstöße durch Personen begangen werden, die

  • entweder allein oder
  • als Teil eines Organs der juristischen Person gehandelt habe
  • und eine Führungsposition innerhalb der juristischen Person aufgrund folgender Befugnisse haben:
    1. Vertretungsbefugnis der juristischen Person oder
    2. Entscheidungsbefugnis im Namen der juristischen Person oder
    3. Kontrollbefugnis innerhalb der juristischen Person 

Geldstrafen gegen juristische Personen sind auch möglich, wenn

  • mangelnde Überwachung oder
  • Kontrolle durch
  • eine Führungsposition innerhalb der juristischen Person (Vertretungsbefugnis, Entscheidungsbefugnis, Kontrollbefugnis)

die Begehung durch eine bei der juristischen Person beschäftigte Person ermöglicht hat.  

Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gem. § 9 VStG abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde und keine besonderen Umstände für eine Strafe sprechen.

Sanktionen

Geldbußen für Verstöße gegen diese Verordnung sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Bei der Verhängung einer Geldbuße und der Entscheidung über deren Höhe sind mehrere Punkte zu berücksichtigen, wie z.B. 

  • Art, Schwere und Dauer des Verstoßes
  • Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • vorgenommene Maßnahmen zur Schadensminderung
  • Grad der Verantwortung des Verantwortlichen und des Auftragsverarbeiters unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen für die Datensicherheit
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder Auftraggebers
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die vom Verstoß betroffen sind
  • Umfang und Art der Meldung des Verstoßes an die Aufsichtsbehörde
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsfahren
  • durch den Verstoß erlangte Vorteile oder erlittene Verluste   

Strafen nach der DSGVO

Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu  EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (z.B. Verletzung der Datensicherheitsvorschriften). 

Wird gegen mehrere Bestimmungen der DSGVO verstoßen, so darf der Gesamtbetrag der Geldbuße nicht den Strafbetrag für den schwerwiegendsten Verstoß übersteigen.    

Strafen nach dem DSG 

Verwaltungsstrafbestimmung

Wenn nicht die Strafbestimmungen der DSGVO oder andere Verwaltungsstrafbestimmungen, welche eine strengere Strafe vorsehen, zur Anwendung gelangen, kann von der Datenschutzbehörde eine Geldstrafe von bis zu 50.000 EURO verhängt werden, wenn

  • sich jemand vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält, oder
  • Daten vorsätzlich in Verletzung des Datengeheimnisses übermittelt, insbesondere Daten, die ihm unter gewissen Voraussetzungen anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet, oder
  • sich unter Vortäuschung falscher Tatsachen (vortäuschen Verantwortlicher des öffentlichen Bereichs oder einer Hilfsorganisation zu sein, Katastrophenfall, Hilfeleistung für unmittelbar Betroffene, Auffindung und Identifizierung von Abgängigen und Verstorbenen, Information von Angehörigen) vorsätzlich personenbezogene Daten verschafft, oder
  • eine Bildverarbeitung entgegen den gesetzlichen Bestimmungen betreibt oder
  • die Einschau der Datenschutzbehörde in die Datenverarbeitungen und die diesbezüglichen Unterlagen verweigert.  

Strafbar ist auch der Versuch.  

Weiters kann auch der Verfall (behördliche Abnahme) von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten ausgesprochen werden, wenn diese Gegenstände mit der Verwaltungsübertretung in Zusammenhang stehen.   

Gerichtlich strafbarer Tatbestand: Datenverarbeitung in Gewinn- oder Schädigungsabsicht  

Ein Gericht kann eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe bis zu 720 Tagessätzen verhängen, wenn 

  • jemand mit dem Vorsatz sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder
  • mit der Absicht, einen anderen dadurch in seinem gewährleisteten Grundrecht auf Datenschutz zu schädigen,

personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat. 

Voraussetzung ist weiters, dass die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist. 

Relevante Artikel der DSGVO: Art 77-84
Relevante Erwägungsgründe: 141-152
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018): §§ 24ff, §§ 62ff

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.