DSGVO: Hohe Geldbußen bei Verstößen und zusätzlich zivilrechtliche Haftung

(05.01.2018) "Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist."

Bildquelle: pixabay/Creative Commons CC0 Zur ab 25. Mai 2018 geltenden neuen EU Datenschutz-Grundverordnung (DSGVO) berichten wir im VET-MAGAZIN seit Dezember mit einer eigenen Artikelserie. Zuletzt haben wir die neuen Kompetenzen der Datenschutzbehörde betrachtet, die nun zu einer Strafbehörde aufgewertet wird. Hier lesen Sie mehr zu den Strafdrohungen und den Rechten der betroffenen Personen.

Rechtswege

Nach Artikel 77 der DSGVO hat jede betroffene Person das Recht, Beschwerde bei der Aufsichtsbehörde in dem Mitgliedsstaat, in dem sie sich gewöhnlich aufhält, einzubringen. Diese Inanspruchnahme der Datenschutzbehörde (DSB) ist in der Regel kostenlos. Zusätzlich steht jeder betroffenen Person weiter das Recht zu, vor den ordentlichen Gerichten gegen Verantwortliche (lies: Sie als Tierarzt) oder Auftragsverarbeiter (z.B. die von Ihnen mit der Datenverarbeitung beauftragten Subunternehmen) nach dem Zivilrecht zu klagen.

Sollte eine Aufsichtsbehörde (in Österreich also die DSB) nicht oder nicht rechtzeitig tätig werden oder überhaupt einen aus Sicht des/der Beschwerdeführers/in negativen Beschluss gefällt haben, so steht auch gegen die Aufsichtsbehörde der Klagsweg vor dem ordentlichen Gericht offen.

Für die direkt gegen Verantwortliche bzw. Auftragsverarbeiter gerichtete Klagen sind die Gerichte der Mitgliedsstaaten zuständig, in denen sie ihre Niederlassung haben. Wahlweise kann auch das Gericht zuständig sein, in dem die betroffene Person ihren Aufenthaltsort hat. Ein deutscher Gast aus Hamburg kann Sie also auch in Hamburg in Anspruch nehmen, wenn er im Urlaub bei Ihnen in der Klink war und sich danach in seinen Rechten in Bezug auf die DSGVO-konforme Datenverarbeitung verletzt sieht. Man darf gespannt sein, wie das in der Praxis gehandhabt wird - rein aus dem Gesetz ist es jedenfalls zulässig, parallel die Aufsichtsbehörde und ein ordentliches Gericht zu befassen. Vermutlich werden die Gerichte derartige Verfahren aber bis zu einer Entscheidung der Aufsichtsbehörden ruhen lassen.

Betroffene Personen können sich auch von Vereinigungen und Organisationen vertreten lassen, die zu Verbandsklagen berechtigt sind, beispielsweise Konsumentenschutzvereine. Die DSGVO überlässt es außerdem den Mitgliedsstaaten, ob derartige Organisationen auch von sich aus einschreiten können, ohne direkt von einer betroffenen Person beauftragt worden zu sein.

Schadenersatz

"Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter."

Verantwortliche und Auftragsverarbeiter haften zur ungeteilten Hand, letzterer jedoch nur, wenn er seine ihm auferlegten Pflichten nicht nachgekommen ist. Sie müssen jedoch nicht haften, wenn sie nachweisen können, dass sie für den Schaden nicht verantwortlich sind. Gutes Beispiel ist die aktuelle Diskussion um die jüngst aufgetauchten Bugs bei Prozessoren, genannt Spectre und Meltdown[1]. Werden darüber Daten "abgesaugt", so wird der Beweis der Nicht-Verantwortlichkeit leicht sein. Hat man nach Vorliegen der Sicherheits-Updates der Hersteller diese jedoch nicht eingespielt oder verwendet ein Betriebssystem wie Windows XP, für das es keine Updates mehr gibt, und es passiert etwas, so hat man seine Sorgfaltspflichten vernachlässigt und ist damit wieder haftbar.

Artikel 82 der DSGVO erweitert den Schadenersatz auch für immaterielle Schäden. Diese können beispielsweise eintreten bei jeglicher Form einer Datenverarbeitung ohne Rechtsgrundlage, bei Identitätsdiebstahl, Data Breaches (Datendiebstahl), unerlaubter Veröffentlichung von Fotos in sozialen Netzwerken, etc. In der Tierarztpraxis denkbar wäre, dass die Krankengeschichte vom Hund des Bundespräsidenten auf einmal in den Medien auftaucht, weil die Daten nicht ausreichend gesichert waren. Es bleibt abzuwarten, wie die Gerichte derartige Schäden in ihren Urteilen tatsächlich berücksichtigen und bewerten.

Geldbußen

"Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung [...] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist." Artikel 83 lässt hier an der Ernsthaftigkeit keine Zweifel: "Bei Verstößen gegen die folgenden Bestimmungen werden [...] Geldbußen von bis zu 10 Mio Euro oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes [...] verhängt, je nachdem welcher der Beträge höher ist. Bei Verstößen gegen einige Bestimmungen der DSGVO ist die Strafdrohung nochmals verdoppelt auf 20 Mio Euro oder 4% des weltweiten Jahresumsatzes.

Diese betreffen vor allem Verstöße gegen die Grundsätze für die Datenverarbeitung einschließlich der Rechtmäßigkeit der Verarbeitung an sich sowie der Bedingungen für die Einwilligung. Weiters umfasst von der härteren Strafdrohung sind die Bestimmungen bezüglich Informationspflichten und -rechte der betroffenen Personen und die Rechte auf Berichtigung, Löschung und Einschränkung. Und natürlich: die Nichtbefolgung einer Anweisung der Aufsichtsbehörde.

Bei der Entscheidung über die Verhängung einer Geldbuße und über die Höhe wird die Art, Schwere und Dauer des Verstoßes im Zusammenhang mit Art, Umfang und Zweck der Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen genauso berücksichtigt wie das Ausmaß des erlittenen Schadens. Relevant ist auch, ob der Verstoß vorsätzlich oder fahrlässig erfolgt ist, ob vom Verantwortlichen (also Ihnen) geeignete technische und organisatorische Maßnahmen getroffen wurden, um die bei den betroffenen Personen entstandenen Schäden zu mindern bzw. gering zu halten.

Zusammengefasst lässt sich sagen: die Kernbestandteile und die direkt Personen betreffenden Bestimmungen der DSGVO sind im höheren Strafrahmen enthalten. Der Gesetzgeber meint es ernst und es bleibt der Aufsichtsbehörde überlassen, wie ernst. Die Datenschutzbehörde in Österreich wird ermächtigt, direkt Geldbußen zu verhängen.

Einen kleinen Trost gibt es ebenfalls: die DSGVO sieht ein Doppelbestrafungsverbot vor. Im österreichischen Verwaltungsstrafrecht gibt es ein Kumulationsprinzip, das es ermöglicht, jeden Verstoß als Einzelfall zu bestrafen. Zum Beispiel kann es bei 500 Empfängern eines E-Mails, für das es kein Einverständnis zum Empfang gab, schnell unangenehm werden. Im Rahmen der DSGVO ist dies nicht nur ein einzelnes Vergehen, von dem 500 betroffen sind, sondern es werden auch bei mehreren gemeinsam begangenen Vergehen nur das schwerwiegendste bestraft. Weiters kann bei geringfügigen Verstößen von natürlichen(!) Personen auch eine Verwarnung ausgesprochen werden anstatt gleich mit einer Geldstrafe zu ahnden. Geldbußen gegen natürliche Personen berücksichtigen das Einkommensniveau und die wirtschaftliche Lage.

[1] How a researcher hacked his own computer and found 'worst' chip flaw


Bilden Sie sich weiter!

Zum Thema der Datenschutzgrundverordnung (DSGVO) bieten wir Ihnen als Tierarzt in Zusammenarbeit mit VETS4VETS und B.Braun unter dem Titel "Datenschutz mit der neuen EU-Verordnung" eine praxisorientierte Fortbildung, wie Sie Ihre Tierarztpraxis gesetzeskonform machen.

Der Vortrag wird von Christoph Illnar gehalten, der als technisch Verantwortlicher im COMMUNITOR Verlag unter anderem auch für den Betrieb des VET-MAGAZIN verantwortlich ist. Als Co-Herausgeber vereint er langjährige Erfahrung im Bereich der IT Security mit profunder Kenntnis der tierärztlichen Praxis.

Die Termine und Anmeldelinks sind:

Für Sie als VET-MAGAZIN-Leser gibt es € 25,- Ermäßigung!

Verwenden Sie bitte bei der Buchung den Gutschein-Code: DSGVO4VET


Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist WhatsApp noch erlaubt und wäre Signal eine Alternative?

Der beliebte Instant-Messenger „WhatsApp“ eignet sich für Gruppenchats, Textnachrichten, kostenlose Sprachanrufe sowie für den Austausch von Fotos und Videos. Leider steht er im Konflikt mit der DSGVO und könnte Ihnen eine empfindliche Strafe eintragen. Die alternative App „Signal“ ist davon nicht betroffen.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Software für die Tierarztpraxis

Die ab 25. Mai 2018 geltende Datenschutzgrundverordnung wirft natürlich auch die Frage auf, ob die in der Praxis eingesetzte Software bereits ausreichend darauf vorbereitet ist. Ein Rundruf unter den Anbietern.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Könnten Sie auf einen derartigen Brief bereits korrekt reagieren?

Der kanadische Datenschutzexperte Constantine Karbaliotis von PwC konnte mit seinem „Nightmare Letter“ veranschaulichen, was auf die Unternehmen – und Tierärzte – mit der ab 25. Mai 2018 geltende Datenschutzgrundverordnung zukommt.
Weiterlesen

vets4vets

Datenschutz mit der neuen EU-Verordnung: Wie Sie Ihre Tierarztpraxis gesetzeskonform machen

Seminar mit IT & Security Specialist Christoph Illnar am 29. April 2018 in Maria Enzersdorf
Weiterlesen

myvetlearn

eLearning-Kurs zur EU-Datenschutz-Grundverordnung - Was Tierarztpraxen beachten müssen

Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Damit gehen zahlreiche Änderungen der bislang geltenden Datenschutzbestimmungen einher
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO und die Tierarztpraxis – die Zeit läuft

Für die Datenschutzgrundverordnung muss ab 25. Mai 2018 auch in der Tierarztpraxis alles vorbereitet sein. Falls Sie noch kein Verfahrensverzeichnis haben, dann ist jetzt höchste Zeit, denn die Erstellung lässt sich nicht in einer Stunde erledigen.
Weiterlesen

inBehandlung Praxissoftware

Datenschutz mit inBehandlung Tierarztsoftware

Tierärzte haben sicherlich aus den Medien und der Fachpresse entnommen, dass dem Datenschutz in 2018 eine besondere Bedeutung zukommt
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

Seminar: Datenschutz mit der neuen EU-Verordnung

Wie Sie Ihre Tierarztpraxis gesetzeskonform machen. VETS4VETS bietet Ihnen in Kooperation mit dem VET-MAGAZIN eine praxisorientierte Fortbildung zur DSGVO.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Pflicht zur Führung eines Verarbeitungsverzeichnisses

Die Dokumentationspflichten sind ein wichtiger Baustein in der neuen Datenschutz-Grundverordnung. Sie dienen dem Nachweis der Erfüllung der Pflichten, vor allem in Bezug auf die Rechte der Betroffenen. Im Zentrum steht das Verzeichnis aller Datenverarbeitungen, das Verarbeitungsverzeichnis.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Aufgaben und Befugnisse der Datenschutzbehörde – mit Strafdrohungen

Zum Jahreswechsel betrachten wir, wie sich die Aufsichtsbehörde nach der ab 25. Mai 2018 geltenden DSGVO verändern wird und warum das alle betrifft.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Angemessene Sicherheit bei der Datenverarbeitung

Das Thema der Datensicherheit nimmt in der ab 25. Mai 2018 geltenden DSGVO eine zentrale Rolle ein. Für die Tierarztpraxis bedeutet das: nicht alles, was bisher gut war, entspricht dann noch den Vorgaben.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Datenschutzrechtliche Zustimmungserklärung beim Tierarzt

Wer ab 25. Mai 2018 mit seinen Klienten in Kontakt treten möchte, benötigt dazu in vielen Fällen eine Zustimmungserklärung.
Weiterlesen

Bildquelle: pixabay/Creative Commons CC0

DSGVO: Ist Ihre Tierarztpraxis schon fit?

Neues EU-weit geltendes Gesetz muss ab 25. Mai 2018 auch von Tierärzten beachtet werden, denn ab diesem Zeitpunkt drohen hohe Geldstrafen!
Weiterlesen

Firmennews

Vetmeduni Vienna

Neuerscheinungen