Serie: Datenschutzgrundverordnung – was ist zu tun? (7-8)

Die Datenschutzgrundverordnung (DSGVO) wurde am 25.05.2016 verabschiedet. Nach einer Übergangsfrist von zwei Jahren trat sie am 25.05.2018 in Kraft. Als Verordnung ist sie in den Mitgliedstaaten unmittelbar anwendbar (vgl. Art. 288 Abs. 2 AEUV); es bedarf insoweit keines Umsetzungsakts wie bei Richtlinien. Zur Ausfüllung von Öffnungsklauseln und zur Anpassung des nationalen Datenschutzrechts an die Vorgaben der DSGVO wurde das deutsche Bundesdatenschutzgesetz (BDSG) – inzwischen bereits zweimal – geändert; die neue Fassung trat ebenfalls am 25.05.2018 in Kraft, die Änderungen durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind am 26.11.2019 in Kraft getreten.

Die DSGVO bringt einige Änderungen mit sich; insbesondere wurden die Sanktionen drastisch verschärft. Unternehmen sollten die Vorgaben der DSGVO daher ernst nehmen; Grund zur Panik besteht allerdings nicht. In unserer Artikelserie zeigen wir Ihnen, worauf zu achten ist:

Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien
Artikel 2: Datenschutzbeauftragter (DSB) 
Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgeabschätzung 
Artikel 4: Informationspflichten und Betroffenenrechte 
Artikel 5: Datenpannen: Melde- / Benachrichtigungspflichten 
Artikel 6: Auftragsverarbeitung
Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen (dieser Artikel)
Artikel 8: Wesentliche Begriffe

Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen

Art. 82 DSGVO bestimmt, dass – durch kausale Verletzung der DSGVO-Vorgaben herbeigeführte – materielle und immaterielle Schäden durch den Verantwortlichen oder den Auftragsverarbeiter zu erstatten sind. Der Umfang der Haftung ergibt sich aus Art. 82 Abs. 3 DSGVO beinhaltet eine Exkulpationsmöglichkeit: Hiernach ist der Verantwortliche oder der Auftragsverarbeiter von der Haftung gem. Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Hinweis: Eine Vorsorge vor zivilrechtlicher Inanspruchnahme verlangt, dass Datenschutzmaßnahmen umfassend dokumentiert werden und den Nachweispflichten gem. Art. 24 DSGVO Genüge getan wird.

Ferner sieht Art. 83 DSGVO Bußgelder vor. Nach Art. 83 Abs. 1 DSGVO hat jede Aufsichtsbehörde sicherzustellen, dass die Verhängung von Geldbußen nach diesem Artikel für Verstöße gegen diese Verordnung gemäß den Abs. 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Für Unternehmen kann das Bußgeld bis zu 20 Mio. € oder bis zu 4% des globalen Umsatzes betragen (vgl. Art. 83 Abs. 5 DSGVO). Zum Vergleich: § 43 Abs. 3 Satz 1 BDSG a.F. sah Bußgelder bis zu 50.000 € resp. bis zu 300.000 € vor.

Teilen Sie diesen Artikel. Wählen Sie Ihre Plattform

Alle Informationen und Angaben in unseren Artikeln und Informationen haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr. Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.