DSGVO: Hohe Geldbußen bei Verstößen und zusätzlich zivilrechtliche Haftung
(05.01.2018) "Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."
Zur ab 25. Mai 2018 geltenden neuen EU Datenschutz-Grundverordnung (DSGVO) berichten wir im VET-MAGAZIN seit Dezember mit einer eigenen Artikelserie. Zuletzt haben wir die neuen Kompetenzen der Datenschutzbehörde betrachtet, die nun zu einer Strafbehörde aufgewertet wird. Hier lesen Sie mehr zu den Strafdrohungen und den Rechten der betroffenen Personen.
Rechtswege
Nach Artikel 77 der DSGVO hat jede betroffene Person das Recht, Beschwerde bei der Aufsichtsbehörde in dem Mitgliedsstaat, in dem sie sich gewöhnlich aufhält, einzubringen. Diese Inanspruchnahme der Datenschutzbehörde (DSB) ist in der Regel kostenlos. Zusätzlich steht jeder betroffenen Person weiter das Recht zu, vor den ordentlichen Gerichten gegen Verantwortliche (lies: Sie als Tierarzt) oder Auftragsverarbeiter (z.B. die von Ihnen mit der Datenverarbeitung beauftragten Subunternehmen) nach dem Zivilrecht zu klagen.
Sollte eine Aufsichtsbehörde (in Österreich also die DSB) nicht oder nicht rechtzeitig tätig werden oder überhaupt einen aus Sicht des/der Beschwerdeführers/in negativen Beschluss gefällt haben, so steht auch gegen die Aufsichtsbehörde der Klagsweg vor dem ordentlichen Gericht offen.
Für die direkt gegen Verantwortliche bzw. Auftragsverarbeiter gerichtete Klagen sind die Gerichte der Mitgliedsstaaten zuständig, in denen sie ihre Niederlassung haben. Wahlweise kann auch das Gericht zuständig sein, in dem die betroffene Person ihren Aufenthaltsort hat. Ein deutscher Gast aus Hamburg kann Sie also auch in Hamburg in Anspruch nehmen, wenn er im Urlaub bei Ihnen in der Klink war und sich danach in seinen Rechten in Bezug auf die DSGVO-konforme Datenverarbeitung verletzt sieht. Man darf gespannt sein, wie das in der Praxis gehandhabt wird - rein aus dem Gesetz ist es jedenfalls zulässig, parallel die Aufsichtsbehörde und ein ordentliches Gericht zu befassen. Vermutlich werden die Gerichte derartige Verfahren aber bis zu einer Entscheidung der Aufsichtsbehörden ruhen lassen.
Betroffene Personen können sich auch von Vereinigungen und Organisationen vertreten lassen, die zu Verbandsklagen berechtigt sind, beispielsweise Konsumentenschutzvereine. Die DSGVO überlässt es außerdem den Mitgliedsstaaten, ob derartige Organisationen auch von sich aus einschreiten können, ohne direkt von einer betroffenen Person beauftragt worden zu sein.
Schadenersatz
"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."
Verantwortliche und Auftragsverarbeiter haften zur ungeteilten Hand, letzterer jedoch nur, wenn er seine ihm auferlegten Pflichten nicht nachgekommen ist. Sie müssen jedoch nicht haften, wenn sie nachweisen können, dass sie für den Schaden nicht verantwortlich sind. Gutes Beispiel ist die aktuelle Diskussion um die jüngst aufgetauchten Bugs bei Prozessoren, genannt Spectre und Meltdown[1]. Werden darüber Daten "abgesaugt", so wird der Beweis der Nicht-Verantwortlichkeit leicht sein. Hat man nach Vorliegen der Sicherheits-Updates der Hersteller diese jedoch nicht eingespielt oder verwendet ein Betriebssystem wie Windows XP, für das es keine Updates mehr gibt, und es passiert etwas, so hat man seine Sorgfaltspflichten vernachlässigt und ist damit wieder haftbar.
Artikel 82 der DSGVO erweitert den Schadenersatz auch für immaterielle Schäden. Diese können beispielsweise eintreten bei jeglicher Form einer Datenverarbeitung ohne Rechtsgrundlage, bei Identitätsdiebstahl, Data Breaches (Datendiebstahl), unerlaubter Veröffentlichung von Fotos in sozialen Netzwerken, etc. In der Tierarztpraxis denkbar wäre, dass die Krankengeschichte vom Hund des Bundespräsidenten auf einmal in den Medien auftaucht, weil die Daten nicht ausreichend gesichert waren. Es bleibt abzuwarten, wie die Gerichte derartige Schäden in ihren Urteilen tatsächlich berücksichtigen und bewerten.
Geldbußen
"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist." Artikel 83 lässt hier an der Ernsthaftigkeit keine Zweifel: "Bei Verstößen gegen die folgenden Bestimmungen werden [...] Geldbußen von bis zu 10 Mio Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes [...] verhängt, je nachdem welcher der Beträge höher ist. Bei Verstößen gegen einige Bestimmungen der DSGVO ist die Strafdrohung nochmals verdoppelt auf 20 Mio Euro oder 4% des weltweiten Jahresumsatzes.
Diese betreffen vor allem Verstöße gegen die Grundsätze für die Datenverarbeitung einschließlich der Rechtmäßigkeit der Verarbeitung an sich sowie der Bedingungen für die Einwilligung. Weiters umfasst von der härteren Strafdrohung sind die Bestimmungen bezüglich Informationspflichten und -rechte der betroffenen Personen und die Rechte auf Berichtigung, Löschung und Einschränkung. Und natürlich: die Nichtbefolgung einer Anweisung der Aufsichtsbehörde.
Bei der Entscheidung über die Verhängung einer Geldbuße und über die Höhe wird die Art, Schwere und Dauer des Verstoßes im Zusammenhang mit Art, Umfang und Zweck der Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen genauso berücksichtigt wie das Ausmaß des erlittenen Schadens. Relevant ist auch, ob der Verstoß vorsätzlich oder fahrlässig erfolgt ist, ob vom Verantwortlichen (also Ihnen) geeignete technische und organisatorische Maßnahmen getroffen wurden, um die bei den betroffenen Personen entstandenen Schäden zu mindern bzw. gering zu halten.
Zusammengefasst lässt sich sagen: die Kernbestandteile und die direkt Personen betreffenden Bestimmungen der DSGVO sind im höheren Strafrahmen enthalten. Der Gesetzgeber meint es ernst und es bleibt der Aufsichtsbehörde überlassen, wie ernst. Die Datenschutzbehörde in Österreich wird ermächtigt, direkt Geldbußen zu verhängen.
Einen kleinen Trost gibt es ebenfalls: die DSGVO sieht ein Doppelbestrafungsverbot vor. Im österreichischen Verwaltungsstrafrecht gibt es ein Kumulationsprinzip, das es ermöglicht, jeden Verstoß als Einzelfall zu bestrafen. Zum Beispiel kann es bei 500 Empfängern eines E-Mails, für das es kein Einverständnis zum Empfang gab, schnell unangenehm werden. Im Rahmen der DSGVO ist dies nicht nur ein einzelnes Vergehen, von dem 500 betroffen sind, sondern es werden auch bei mehreren gemeinsam begangenen Vergehen nur das schwerwiegendste bestraft. Weiters kann bei geringfügigen Verstößen von natürlichen(!) Personen auch eine Verwarnung ausgesprochen werden anstatt gleich mit einer Geldstrafe zu ahnden. Geldbußen gegen natürliche Personen berücksichtigen das Einkommensniveau und die wirtschaftliche Lage.
[1] How a researcher hacked his own computer and found 'worst' chip flaw
Bilden Sie sich weiter!
Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.
Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.
Die Termine und Anmeldelinks sind:
Für Sie als VET-MAGAZIN-Leser gibt es 25,- Ermäßigung!
Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET