th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Rechtsdurchsetzung und Strafen

Rechtsbehelfe, Haftungen und Sanktionen

Hinweis:
Die Bestimmungen der DSGVO gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Rechtsbehelfe

Jede Person hat das Recht auf eine Beschwerde bei der Aufsichtsbehörde (Datenschutzbehörde). Diese Beschwerdemöglichkeit besteht auch dann, wenn andere verwaltungsrechtliche oder gerichtliche Rechtsbehelfe zur Verfügung stehen. Die Aufsichtsbehörde hat den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs zu informieren.

Gegen einen rechtsverbindlichen Beschluss der Aufsichtsbehörde hat die betroffene Person ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf.

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sich die Aufsichtsbehörde nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb einer Frist von drei Monaten über den Verfahrensstand oder das Ergebnis informiert wird.

Zusätzlich kann jede betroffene Person, die der Ansicht ist, dass die ihr zustehenden Rechte aufgrund einer fehlerhaften Verarbeitung ihrer personenbezogenen Daten verletzt wurden, eine Klage gegen den Verantwortlichen oder den Auftragsverarbeiter einbringen.

Haftung und Recht auf Schadenersatz

Grundsätzlich hat jede Person, die wegen eines Verstoßes gegen diese Verordnung in ihren Rechten verletzt worden ist und dadurch einen materiellen oder immateriellen Schaden erlitten hat, das Recht gegen den Verantwortlichen oder den Auftraggeber Schadenersatz geltend zu machen.

Jeder an einer Verarbeitung beteiligte Verantwortliche, der bei der Verarbeitung von Daten gegen die Bestimmungen der DSGVO verstoßen hat, haftet für den dadurch entstandenen Schaden.

Der Auftragsverarbeiter haftet hingegen nur dann für einen entstandenen Schaden, wenn er seinen speziell gesetzlich auferlegten Pflichten nicht nachgekommen ist (z.B. Heranziehung eines Sub-Auftragsverarbeiters ohne vorherige Zustimmung des Verantwortlichen eingeholt zu haben) oder einer rechtmäßig erteilten Anweisung des Verantwortlichen nicht Folge geleistet hat oder gegen diese Anweisung gehandelt hat. 

Der Verantwortliche und der Auftragsverarbeiter sind von der Haftung befreit, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Sind mehrere Verantwortliche oder mehrere Auftragsverarbeiter an einer Datenverarbeitung beteiligt, so haftet jeder einzelne für den gesamten Schaden. Damit soll ein wirksamer Schadenersatz für die betroffene Person gewährleistet werden.

Jener Verantwortliche oder Auftragsverarbeiter, der zum Ersatz des gesamten Schadens herangezogen wurde, kann bei den übrigen Beteiligten regressieren. 

Sanktionen - Geldstrafen

Geldbußen für Verstöße gegen diese Verordnung sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Bei der Verhängung einer Geldbuße und der Entscheidung über deren Höhe sind mehrere Punkte zu berücksichtigen, wie z.B. 

  • Art, Schwere und Dauer des Verstoßes
  • Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • vorgenommene Maßnahmen zur Schadensminderung
  • Grad der Verantwortung des Verantwortlichen und des Auftragsverarbeiters unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen für die Datensicherheit
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder Auftraggebers
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die vom Verstoß betroffen sind
  • Umfang und Art der Meldung des Verstoßes an die Aufsichtsbehörde
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsfahren
  • durch den Verstoß erlangte Vorteile oder erlittene Verluste   

Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu  EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (z.B. Verletzung der Datensicherheitsvorschriften). 

Wird gegen mehrere Bestimmungen der DSGVO verstoßen, so darf der Gesamtbetrag der Geldbuße nicht den Strafbetrag für den schwerwiegendsten Verstoß übersteigen.    

Relevante Artikel der DSGVO: Art 77-84
Relevante Erwägungsgründe: 141-152

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.