Datenschutz

Aufsicht und Kontrolle in der DS-GVO

Verstöße gegen datenschutzrechtliche Bestimmungen sollen künftig konsequenter durchgesetzt werden. Hierfür stellt die DS-GVO den Aufsichtsbehörden ein breites Spektrum an sanktionsrechtlichen Abhilfebefugnissen zu Verfügung. So können sie Verantwortliche und Auftragsverarbeiter warnen, wenn diese eine Datenverarbeitung planen, die voraussichtlich gegen die Verordnung verstoßen wird, und verwarnen, wenn ein solcher Verstoß bereits geschehen ist. Verantwortliche und Auftragsverarbeiter können von den Aufsichtsbehörden angewiesen werden, Betroffenenrechten zu entsprechen und Datenverarbeitungsvorgänge an die Verordnung anzupassen. Auch muss ein Verantwortlicher auf Weisung der Aufsichtsbehörde von einem Datenschutzverstoß betroffene Personen benachrichtigen. Wie bisher können Aufsichtsbehörden überdies eine Datenverarbeitung beschränken oder auch verbieten sowie die Berichtigung und Löschung von Daten oder eine eingeschränkte Verarbeitung und die Unterrichtung von Datenempfängern über solche Maßnahmen anordnen. Außerdem wird es künftig möglich sein anzuordnen, dass Datenübermittlungen an einen Empfänger in einem Drittland oder an eine internationale Organisation ausgesetzt werden, und anzuweisen, dass Zertifizierungsstellen erteilte Zertifizierungen widerrufen müssen bzw. Zertifizierungen nicht erteilen dürfen. Zusätzlich oder anstelle der vorgenannten Maßnahmen können die Aufsichtsbehörden auch Geldbußen verhängen. Die Bußgeldtatbestände wurden im Vergleich zur bisherigen Rechtslage deutlich ausgeweitet. Bußgelder müssen nach den neuen Regelungen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Der Bußgeldrahmen wurde daher deutlich erhöht. So können bei schweren Verstößen oder Nichtbefolgung einer Anweisung der Aufsichtsbehörde Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. im Fall eines Unternehmens auch von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Für die konkrete Bestimmung der Höhe eines Bußgeldes muss eine Vielzahl von Aspekten einbezogen werden. Neben Art, Schwere und Dauer des Verstoßes ist u. a. zu berücksichtigen, welche Art von Daten rechtswidrig verarbeitet wurde und ob finanzielle Vorteile durch die Datenverarbeitung erlangt wurden. Zu beachten ist ebenfalls, ob und wie die oder der Verantwortliche oder ein Auftragsdatenverarbeiter mit der Aufsichtsbehörde zusammengearbeitet hat, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, und ob die Stellen die Verstöße eigenständig der Aufsichtsbehörde mitgeteilt haben. Wenn Unternehmen Bußgelder auferlegt werden, ist zu beachten, dass der sog. funktionale Unternehmensbegriff anzuwenden ist. Danach ist ein Unternehmen jede wirtschaftliche Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Eine wirtschaftliche Einheit kann aus mehreren natürlichen oder juristischen Personen bestehen. Sie liegt insbesondere dann vor, wenn eine Muttergesellschaft auf eine Tochtergesellschaft einen bestimmenden Einfluss ausübt. Davon ist regelmäßig bei einem Stimmenanteil an der Tochtergesellschaft von über 50 % auszugehen. Allerdings genügt auch die tatsächliche Möglichkeit der Kontrolle und Einflussnahme unabhängig von einer starren Beteiligungs- schwelle. Die Anwendung dieses im Kartellrecht wurzelnden funktionalen Unternehmensbegriffs hat u. a. für die Höhe der zu verhängenden Bußgelder weitreichende Folgen, da die Basis der Bußgeldberechnung der weltweite Unternehmensumsatz ist. Begeht z. B. eine Unternehmenstochter einen durch Bußgeld zu ahndenden Verstoß und liegt eine wirtschaftliche Einheit mit der Muttergesellschaft vor, so bildet der gesamte weltweite Konzernumsatz (Mutter plus Tochter) die Berechnungsgrundlage für die Höhe des Bußgeldes.

Die Anwendung des funktionalen Unternehmensbegriffs wirkt sich auch auf haftungsrechtliche Fragen aus. Denn nach der hierfür maßgeblichen kartellrechtlichen Rechtsprechung genügt für die Verantwortlichkeit eines Unternehmen bzw. einer Unternehmensvereinigung die Handlung einer Person, die berechtigt ist, für das Unternehmen bzw. die Unternehmensvereinigung tätig zu werden.

Erfasst sind daher nicht nur wie bisher die gesetzlichen Vertreter oder Leitungspersonen, sondern sämtliche Bedienstete oder auch Beauftragte außerhalb des Unternehmens oder der Unternehmensvereinigung. Eine Kenntnis der Inhaber oder Geschäftsführer des Unternehmens von der konkreten Handlung oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich, wobei Exzesse ausgenommen sind. Darüber hinaus können bei Vorliegen einer wirtschaftlichen Einheit für ein Fehlverhalten der Tochtergesellschaft Mutter und Tochter gesamtschuldnerisch herangezogen werden, ohne dass die Beteiligung der Mutter nachgewiesen werden müsste. Auch bei Umstrukturierungen verbleibt die Haftung im Konzern bzw. geht auf die Rechtsnachfolge über.

zurück zur Seite: