Gelockerte Kriterien für Datenschutzbeauftragte und verschärfte Sanktionen bei Zuwiderhandlungen – Teil 6 der Serie zur DSGVO
Der sechste und letzte Teil der Serie der IT-Recht Kanzlei zur neuen Datenschutzgrundverordnung (DSGVO) behandelt die neuen Voraussetzungen, die künftig zur Bestellung eines Datenschutzbeauftragten zwingen werden, und setzt sich mit den weitreichend verschärften Sanktionen bei Zuwiderhandlungen auseinander, bevor ein Ausblick die Serie abschließt. Werden Online-Händler auch künftig je nach Größe ihres Gewerbes gehalten sein, einen Beauftragten mit der Überwachung ihrer Datenverarbeitungsvorgänge zu betrauen? Welche Konsequenzen drohen bei Verstößen gegen einzelne Verordnungsvorschriften? Mehr zu diesen Fragen lesen Sie in den folgenden Absätzen.
Inhaltsverzeichnis
I. Gelockerte Pflicht zur Bestellung von Datenschutzbeauftragten
Eine weitere maßgebliche Änderung wird das Datenschutzrecht zum 25.05.2018 durch eine Anhebung der Voraussetzungen für die verpflichtende Bestellung eines Datenschutzbeauftragten erfahren, in deren Zuge viele Verantwortliche im Online-Handel nicht mehr zwingend gehalten sein werden, einen solchen zur Überwachung der Einhaltung der gesetzlichen Datenschutzvorgaben einzuschalten.
Während nach dem geltenden §4f Abs. 1 Satz 1 und 4 BDSG ein Datenschutzbeauftragter bei einer nicht-öffentlichen, also vor allem gewerblichen Stelle schon immer dann zu bestellen ist, wenn mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wird diese Pflicht durch Art. 37 Abs.1 DSGVO entscheidend gelockert.
Nunmehr ist die Bestellung eines Datenschutzbeauftragten für nicht-öffentliche und vor allem gewerbliche Verantwortliche auf europäischer Ebene nur noch zwingend, wenn
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderes sensibler Daten gemäß Artikel 9 DSGVO besteht
Abzuwarten bleibt zwar, dass der europäische Gesetzgeber die Kriterien, welche zur Ermittlung der art- und umfangsbasierten Überwachungsbedürftigkeit heranzuziehen und abzuwägen sind, in der Folgezeit noch konkretisiert und mithin die pflichtauslösenden Bedingungen europaweit einheitlich festlegt.
Immerhin die personenmäßige Zahl der in einem Unternehmen mit Datenvorgängen Beschäftigten scheint als pflichtauslösende Voraussetzung aber künftig zu entfallen.Allerdings muss beachtet werden, dass Art. 37 Abs. 4 DSGVO eine interne Öffnungsklausel für strengere nationale Bestellungsvoraussetzungen enthält. Nach dieser Vorschrift ist ein Datenschutzbeauftragter ungeachtet der neuen, gelockerten Voraussetzungen auch immer dann zu bestellen, falls dies nach dem Recht der Mitgliedsstaaten vorgeschrieben ist.
Mitgliedsstaaten sind insofern befugt, die Hürden der DSGVO für die Pflicht zur Beauftragtenbestellung autonom zu senken.
Wie ein aktueller Referentenentwurf eines Datenschutz-Anpassungsgesetzes (ABDSG), das die neuartigen Bestimmungen der DSGVO nationalgesetzlich in das deutsche Datenschutzrecht zu inkorporieren gedenkt, zeigt, wird Deutschland aller Voraussicht nach von der benannten Abweichungsmöglichkeit Gebrauch machen und wie bisher doch eine an die Beschäftigtenzahl geknüpfte Hürde für die Bestellungspflicht aufrecht erhalten.
Nach §14 Abs. 1 des ABDSG-Entwurfs soll die Beauftragung alternativ zu den Voraussetzungen, welche die DSGVO an den Umfang oder die besondere Sensibilität der erhobenen Daten knüpft, nämlich generell schon und immer noch dann zwingend sein, soweit der Verantwortliche oder Auftragsverarbeiter mindestens 10 Personen ständig mit der Personendatenverarbeitung beschäftigt.
Zumindest in Deutschland werden die Kriterien für die verpflichtende Beauftragtenbestellung also das bekannt strenge Niveau der "10-Mann-Hürde" beibehalten, das bereits aus §4f Abs. 1 Satz 4 BDSG bekannt ist.
Daneben soll es gemäß Art. 37 Abs. 4 DSGVO auch zukünftig jedem Verantwortlichen, der die pflichtauslösenden Bedingungen nicht erfüllt, zur Disposition stehen, freiwillig einen Datenschutzbeauftragten zur Überwachung der Datenverarbeitungsprozesse einzuschalten.
II. Verschärfte Sanktionen bei Verstößen
Um der besonderen Bedeutung effektiver Datenschutzmaßnahmen zur Wahrung der legitimen Betroffeneninteressen zu mehr Geltung zu verhelfen und eine lückenlose Umsetzung der neuen Vorgaben mit Mitteln der Abschreckung zu garantieren, hebt die DSGVO den Bußgeldrahmen für Verstöße gegen die Verordnungsbestimmungen im Vergleich zur geltenden Rechtslage erheblich an und überschreitet hierbei erstmalig die Millionengrenze.
Während nach dem geltenden §43 Abs. 3 BDSG bisher Bußgelder in Höhe von die 300.000€ die (relative) Höchstgrenze bildeten, ergeht aus Art.83 DSGVO in Zukunft folgender Rahmen:
- Verstößt ein Verantwortlicher oder Auftragsverarbeiter gegen die Anforderungen der Prüfung und Absicherung von Minderjährigeneinwilligungen gemäß Art. 8 DSGVO, verletzt die Dokumentationspflicht des Art. 30 DSGVO oder handelt sonstigen organisatorischen und technischen Maßnahmen des 4. Kapitels zuwider, können Geldbußen bis zu 10 000 000 € oder in Höhe von 2% des Jahresumsatzes des vorangegangenen Geschäftsjahres erhoben werden – und zwar je nach dem, welcher Betrag der höhere ist.
- Strafgelder bis zu 20 000 000€ oder 4% des Umsatzes des letzten Geschäftsjahres können demgegenüber gefordert werden, wenn die Grundsätze für die Rechtmäßigkeit der Verarbeitung, einschließlich der Bedingungen für die Einwilligung gemäß den Art. 5, 6, 7 und 9 DSGVO verletzt werden oder ein Verantwortlicher oder sein Auftragsverarbeiter gegen die Regelungen über die Betroffenenrechte in Art. 12-22 DSGVO verstößt, also insbesondere seine Informations- und Handlungspflichten nicht umsetzt oder rechtswidrig die Abhilfe verweigert.
Daneben werden die Mitgliedsstaaten zudem nach Art. 84 DSGVO ermächtigt, Verstöße gegen weitere Tatbestände der DSGVO mit Bußgeldern zu belegen.
Achtung: Unabhängig von Bußgeldverfahren werden Verstöße gegen die DSGVO in Deutschland zukünftig auch über das in §2 Abs. 2 Nr. 11 UKlaG neu eingeführte Verbandsklagerecht von Verbraucherschutzverbänden, Wettbewerbszentralen und anderen. Stellen im Sinne des §3 UKlaG abgemahnt und verfolgt werden können.
III. Die DSGVO: Fazit und Ausblick
Auch wenn die neue Datenschutzgrundverordnung (DSGVO), die zum 25.05.2018 in allen Mitgliedsstaaten verbindlich wird, in ihren Grundzügen und den maßgeblichen Datenschutzprinzipien mit dem in Deutschland bereits geltenden Recht übereinstimmt, führt sie speziell für den Online-Handel eine Reihe von maßgeblichen Veränderungen herbei, die sich vor allem in einer Ausweitung des datenschutzrechtlichen Pflichtprogramms und einer Stärkung der Betroffenenrechte niederschlagen.
Die Formulierungen neuer Berechtigungen wie derjenigen auf Datenübertragung, auf Unbetroffenheit von automatischen datenbasierten Entscheidungen und auf Widerspruch werden ebenso zur Anpassung der informationstechnologischen Systeme und Datenverarbeitungsstrukturen zwingen wie der Wegfall spezifischer Erlaubnistatbestände und die diesbezügliche Wiedereinführung eines Einwilligungserfordernisses.
Gleichzeitig ist eine vollständige Überholung und Neufassung der Datenschutzerklärung von Nöten, welche erstmalig auch über die Dauer der Datenspeicherung und ein Beschwerderecht bei der Aufsichtsbehörde aufklären muss.
Nachdruck wird dem Anpassungs- und Implementierungsbedarf hier vor allem durch stark verschärfte Bußgeldvorschriften verliehen, welche erstmals auch die Abschöpfung von Millionenbeträgen vorsehen.
Letztlich machen die einzelnen Novellierungen, welche in diesem Beitrag rechtsvergleichend und ausführlich dargestellt werden, plastisch, dass die Übergangsfristen auf den ersten Blick zwar lang bemessen erscheinen mögen, tatsächlich aber zwingend notwendig sind, um den Verantwortlichen eine rechtssichere und umfängliche Umstellung auf die reformierten Datenschutzvorgaben zu ermöglichen.
Bei weiteren Fragen zur neuen Datenschutzgrundverordnung und zur rechtskonformen Umsetzung der geänderten datenschutzrechtlichen Anforderungen steht Ihnen die IT-Recht Kanzlei gerne persönlich zur Verfügung.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar