Person mit langen dunklen Haaren, hellblauer Bluse und silberner Uhr spricht mit anderen Personen in der Unschärfe
© fizkes | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Rechtsdurchsetzung und Strafen

Rechtsbehelfe, Haftungen und Sanktionen

Lesedauer: 6 Minuten

Rechtsbehelfe

Jede Person, die glaubt, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht rechtmäßig geschieht, hat das Recht auf eine Beschwerde bei der Datenschutzbehörde. Die Datenschutzbehörde hat den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs zu informieren.

Gegen einen rechtsverbindlichen Beschluss der Datenschutzbehörde hat die betroffene Person ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf.

Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sich die Aufsichtsbehörde nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb einer Frist von drei Monaten über den Verfahrensstand oder das Ergebnis informiert wird.

Nach dem österreichischem Datenschutzgesetz (DSG) entscheidet das Bundesverwaltungsgericht über Beschwerden gegen Bescheide oder die Verletzung der Entscheidungspflicht der Datenschutzbehörde.

Haftung und Recht auf Schadenersatz

Jede Person, der wegen eines Verstoßes gegen die DSGVO, das Grundrecht auf Datenschutz oder die der Durchführung der DSGVO dienenden Bestimmungen des DSG ein materieller oder immaterieller Schaden entstanden ist, hat das Recht gegen den Verantwortlichen oder den Auftraggeber Schadenersatz geltend zu machen.

Der Kläger hat die Wahl, ob er die Klage bei dem Landesgericht einbringt, wo er seinen gewöhnlichen Aufenthalt oder Sitz hat oder beim gewöhnlichen Aufenthalt oder Sitz/Niederlassung des Beklagten.

Jeder an einer Verarbeitung beteiligte Verantwortliche, der bei der Verarbeitung von Daten gegen die Bestimmungen der DSGVO verstoßen hat, haftet für den dadurch entstandenen Schaden.

Der Auftragsverarbeiter haftet hingegen nur dann für einen entstandenen Schaden, wenn er seinen speziell gesetzlich auferlegten Pflichten nicht nachgekommen ist (z.B. Heranziehung eines Sub-Auftragsverarbeiters ohne vorherige Zustimmung des Verantwortlichen eingeholt zu haben) oder einer rechtmäßig erteilten Anweisung des Verantwortlichen nicht Folge geleistet hat oder gegen diese Anweisung gehandelt hat. 

Der Verantwortliche und der Auftragsverarbeiter sind von der Haftung befreit, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Sind mehrere Verantwortliche oder mehrere Auftragsverarbeiter an einer Datenverarbeitung beteiligt, so haftet jeder einzelne für den gesamten Schaden. Damit soll ein wirksamer Schadenersatz für die betroffene Person gewährleistet werden.

Jener Verantwortliche oder Auftragsverarbeiter, der zum Ersatz des gesamten Schadens herangezogen wurde, kann bei den übrigen Beteiligten regressieren. 

Gegen juristische Personen können Geldstrafen verhängt werden, wenn Verstöße durch Personen begangen werden, die

  • entweder allein oder
  • als Teil eines Organs der juristischen Person gehandelt habe
  • und eine Führungsposition innerhalb der juristischen Person aufgrund folgender Befugnisse haben:
    1. Vertretungsbefugnis der juristischen Person oder
    2. Entscheidungsbefugnis im Namen der juristischen Person oder
    3. Kontrollbefugnis innerhalb der juristischen Person 

Geldstrafen gegen juristische Personen sind auch möglich, wenn

  • mangelnde Überwachung oder
  • mangelnde Kontrolle durch
  • eine Führungsposition innerhalb der juristischen Person (Vertretungsbefugnis, Entscheidungsbefugnis, Kontrollbefugnis)

die Begehung durch eine bei der juristischen Person beschäftigte Person ermöglicht hat.  

Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gem. § 9 VStG (z.B. Geschäftsführer, verantwortlicher Beauftragter) abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde.

Sanktionen

Geldbußen für Verstöße gegen diese Verordnung sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Die Datenschutzbehörde orientiert sich vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und wird von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.

Bei der Verhängung einer Geldbuße und der Entscheidung über deren Höhe sind mehrere Punkte zu berücksichtigen, wie z.B. 

  • Art, Schwere und Dauer des Verstoßes
  • Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • vorgenommene Maßnahmen zur Schadensminderung
  • Grad der Verantwortung des Verantwortlichen und des Auftragsverarbeiters unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen für die Datensicherheit
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder Auftraggebers
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die vom Verstoß betroffen sind
  • Umfang und Art der Meldung des Verstoßes an die Aufsichtsbehörde
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsfahren
  • durch den Verstoß erlangte Vorteile oder erlittene Verluste   

Wird gegen mehrere Bestimmungen der DSGVO verstoßen, so darf der Gesamtbetrag der Geldbuße nicht den Strafbetrag für den schwerwiegendsten Verstoß übersteigen.

Strafen nach der DSGVO

Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Datensicherheitsvorschriften).

Wird gegen mehrere Bestimmungen der DSGVO verstoßen, so darf der Gesamtbetrag der Geldbuße nicht den Strafbetrag für den schwerwiegendsten Verstoß übersteigen.

Hier werden einige Strafdrohungen beispielhaft, jedoch nicht abschließend, aufgezählt:

Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, drohen, wenn eine Verletzung in einem oder mehreren der folgenden Bereiche vorliegt:

Pflichten der Verantwortlichen und der Auftragsverarbeiter betreffend

  • Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
  • Verarbeitungsverzeichnis
  • Sicherheit der Verarbeitung
  • Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
  • Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
  • Datenschutz-Folgenabschätzung und vorherige Konsultation
  • Datenschutzbeauftragter

Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, drohen, wenn eine Verletzung in einem oder mehreren der folgenden Bereiche vorliegt:

1. Grundsätze für die Verarbeitung

  • Grundsätze für die Verarbeitung personenbezogener Daten
  • Rechtmäßigkeit der Verarbeitung
  • Bedingungen für die Einwilligung
  • Verarbeitung besonderer Kategorien personenbezogener Daten  

2. Rechte der betroffenen Person

  • Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
  • Informationspflicht
  • Recht auf Auskunft
  • Berichtigung und Löschung sowie Einschränkung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Profiling 

3. Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation  

4. Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Datenschutzbehörde oder Nichtgewährung des Zugangs für die Datenschutzbehörde

Strafen nach dem DSG

1. Verwaltungsstrafbestimmung

Wenn nicht die Strafbestimmungen der DSGVO oder andere Verwaltungsstrafbestimmungen, welche eine strengere Strafe vorsehen, zur Anwendung gelangen, kann von der Datenschutzbehörde eine Geldstrafe von bis zu EUR 50.000 verhängt werden, wenn

  • sich jemand vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält, oder
  • Daten vorsätzlich in Verletzung des Datengeheimnisses übermittelt, insbesondere Daten, die ihm unter gewissen Voraussetzungen anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet, oder
  • sich unter Vortäuschung falscher Tatsachen (vortäuschen Verantwortlicher des öffentlichen Bereichs oder einer Hilfsorganisation zu sein, Katastrophenfall, Hilfeleistung für unmittelbar Betroffene, Auffindung und Identifizierung von Abgängigen und Verstorbenen, Information von Angehörigen) vorsätzlich personenbezogene Daten verschafft, oder
  • eine Bildverarbeitung entgegen den gesetzlichen Bestimmungen betreibt oder
  • die Einschau der Datenschutzbehörde in die Datenverarbeitungen und die diesbezüglichen Unterlagen verweigert.  

Strafbar ist auch der Versuch.  

Weiters kann auch der Verfall (behördliche Abnahme) von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten ausgesprochen werden, wenn diese Gegenstände mit der Verwaltungsübertretung in Zusammenhang stehen.   

2. Gerichtlich strafbarer Tatbestand: Datenverarbeitung in Gewinn- oder Schädigungsabsicht  

Ein Gericht kann eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe bis zu 720 Tagessätzen verhängen, wenn 

  • jemand mit dem Vorsatz sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder
  • mit der Absicht, einen anderen dadurch in seinem gewährleisteten Grundrecht auf Datenschutz zu schädigen,

personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl die betroffene Person an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat. 

Voraussetzung ist weiters, dass die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist. 

Relevante Artikel der DSGVO: Art 77-84
Relevante Erwägungsgründe: 141-152
Relevante Bestimmungen des DSG: § 11, §§ 24ff, §§ 62ff

Stand: 17.05.2023

Weitere interessante Artikel
  • Person mit dunklen geschlossenen Haaren und Businesskleidung hält eine Brille in der Hand und blickt freudig in die Kamera, während im Hintergrund weitere Personen am selben Besprechungstisch sitzen
    Pflicht des Arbeitgebers zur Information des Betriebsrates bei automationsunterstützter Verarbeitung von Mitarbeiterdaten
    Weiterlesen
  • Eine Person sitzt bei einem Schreibtisch und blickt dabei auf einen Monitor, eine zweite Person mit Brille und Bart steht dahinter und blickt ebenfalls freudig auf den Monitor
    EU-Datenschutz-Grundverordnung (DSGVO): Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter
    Weiterlesen
  • Buchstaben formen DSGVO im Fokus, im Hintergrund steht der Schriftzug Datenschutz
    EU-Daten­schutz-Grund­verordnung (DSGVO): Pflichten des Auftrags­verarbeiters
    Weiterlesen