Eine Person zeigt mit einem Stift auf ein Diagramm.
Datenschutz-Grundverordnung

Aufsicht und Kontrolle

Verstöße gegen datenschutzrechtliche Bestimmungen sollen konsequent geahndet werden. Hierfür stellt die Datenschutz-Grundverordnung (DSGVO) den Aufsichtsbehörden ein breites Spektrum an sanktionsrechtlichen Abhilfebefugnissen zur Verfügung.

So können die Aufsichtsbehörden Verantwortliche und auftragsverarbeitende Stellen warnen, wenn diese eine Datenverarbeitung planen, die voraussichtlich gegen die Verordnung verstoßen wird, und verwarnen, wenn ein solcher Verstoß bereits geschehen ist. Verantwortliche und auftragsverarbeitende Stellen können von den Aufsichtsbehörden angewiesen werden, Betroffenenrechten zu entsprechen und Datenverarbeitungsvorgänge an die Verordnung anzupassen. Auch müssen Verantwortliche auf Weisung der Aufsichtsbehörde von einem Datenschutzverstoß betroffene Personen benachrichtigen.

Aufsichtsbehörden können überdies eine Datenverarbeitung beschränken oder auch verbieten. Ebenso können sie die Berichtigung und Löschung von Daten oder eine eingeschränkte Verarbeitung von Daten sowie die Unterrichtung der Datenempfänger:innen über solche Maßnahmen anordnen. Außerdem ist es möglich, anzuordnen, dass Datenübermittlungen an Empfänger:innen in einem Drittland oder an internationale Organisationen ausgesetzt werden, und anzuweisen, dass Zertifizierungsstellen erteilte Zertifizierungen widerrufen müssen bzw. Zertifizierungen nicht erteilen dürfen.

Zusätzlich oder anstelle der vorgenannten Maßnahmen können die Aufsichtsbehörden auch Geldbußen verhängen. Die Bußgeldtatbestände wurden durch die DSGVO deutlich ausgeweitet. Bußgelder müssen danach in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Der Bußgeldrahmen wurde daher deutlich erhöht. So können bei schweren Verstößen oder Nichtbefolgung einer Anweisung der Aufsichtsbehörde Bußgelder in Höhe von bis zu 20 Millionen EUR bzw. im Fall eines Unternehmens auch von bis zu vier Prozent seines gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Für die konkrete Bestimmung der Höhe eines Bußgeldes muss eine Vielzahl von Aspekten einbezogen werden. Neben Art, Schwere und Dauer des Verstoßes ist zu berücksichtigen, welche Art von Daten rechtswidrig verarbeitet wurde und ob finanzielle Vorteile durch die Datenverarbeitung erlangt wurden. Zu beachten ist ebenfalls, ob und wie die Verantwortlichen oder auftragsverarbeitenden Stellen mit der Aufsichtsbehörde zusammengearbeitet haben, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, und ob die Stellen die Verstöße eigenständig der Aufsichtsbehörde mitgeteilt haben. Wenn Unternehmen Bußgelder auferlegt werden, ist zu beachten, dass der sogenannte funktionale Unternehmensbegriff anzuwenden ist:

Danach ist ein Unternehmen jede wirtschaftliche Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung. Eine wirtschaftliche Einheit kann aus mehreren natürlichen oder juristischen Personen bestehen. Sie liegt insbesondere dann vor, wenn eine Muttergesellschaft auf eine Tochtergesellschaft einen bestimmenden Einfluss ausübt. Davon ist regelmäßig bei einem Stimmenanteil an der Tochtergesellschaft von über 50 Prozent auszugehen. Allerdings genügt auch die tatsächliche Möglichkeit der Kontrolle und Einflussnahme unabhängig von einer starren Beteiligungsschwelle. Die Anwendung dieses im Kartellrecht wurzelnden funktionalen Unternehmensbegriffs hat unter anderem für die Höhe der zu verhängenden Bußgelder weitreichende Folgen, da die Basis der Bußgeldberechnung der weltweite Unternehmensumsatz ist. Begeht beispielsweise eine Unternehmenstochter einen durch Bußgeld zu ahndenden Verstoß und liegt eine wirtschaftliche Einheit mit der Muttergesellschaft vor, so bildet der gesamte weltweite Konzernumsatz (Mutter plus Tochter) die Berechnungsgrundlage für die Höhe des Bußgeldes.

Die Anwendung des funktionalen Unternehmensbegriffs wirkt sich auch auf haftungsrechtliche Fragen aus. Denn nach der hierfür maßgeblichen kartellrechtlichen Rechtsprechung genügt für die Verantwortlichkeit eines Unternehmens bzw. einer Unternehmensvereinigung die Handlung einer Person, die berechtigt ist, für das Unternehmen bzw. die Unternehmensvereinigung tätig zu werden.

Erfasst sind dabei nicht nur die gesetzlichen Vertreter:innen oder Leitungspersonen, sondern sämtliche Bedienstete oder auch Beauftragte außerhalb des Unternehmens oder der Unternehmensvereinigung. Eine Kenntnis der Inhaber:innen oder Geschäftsführer:innen des Unternehmens von der konkreten Handlung oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit nicht erforderlich, wobei Exzesse ausgenommen sind. Darüber hinaus können bei Vorliegen einer wirtschaftlichen Einheit für ein Fehlverhalten der Tochtergesellschaft Mutter und Tochter gesamtschuldnerisch herangezogen werden, ohne dass die Beteiligung der Mutter nachgewiesen werden müsste. Auch bei Umstrukturierungen verbleibt die Haftung im Konzern bzw. geht auf die Rechtsnachfolge über.