Top Ten der DSGVO, #7: Durchsetzungsmethoden der Datenschutzbehörde

Ab Mai 2018 wird die Europäischen Union ein neues, EU-weit geltendes Datenschutzrecht haben: die Datenschutz-Grundverordnung (DSGVO). Diese neue Verordnung wird in der gesamten EU die gleiche Rechtskraft haben. Die DSGVO bringt nicht nur neue Rechte für betroffene Personen mit sich, sondern auch neue Regeln für Unternehmen und natürliche Personen, deren Einhaltung nachgewiesen werden muss.

Wie sehen diese Regeln aus? Welche Folgen kann eine Nichteinhaltung mit sich bringen?  Welche Auswirkungen (z.B. finanzieller und strategischer Natur) werden diese Regeln auf Ihre Organisation haben? Und, vielleicht am wichtigsten: Wie wird ihre Einhaltung durchgesetzt werden? Die neuen Rechte betroffener Personen gemäss DSGVO beinhalten, unter anderem, das Recht auf Datenportabilität, das Recht auf Einschränkung der Datenverarbeitung sowie das Recht auf Benachrichtigung über das Recht, Widerspruch gegen die Verarbeitung durch Verantwortliche einlegen zu können.

Die DSGVO verpflichtet die Mitgliedstaaten zur Einrichtung von Aufsichtsbehörden, den sogenannten Datenschutzbehörden (Data Protection Authorities – DPA). Die Aufgabe dieser nationalen Behörden wird darin bestehen, die Anwendung der Verordnung zu überwachen, um die Grundrechte und Grundfreiheiten natürlicher Personen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten zu schützen sowie den freien Fluss personenbezogener Daten innerhalb der Union zu erleichtern. Die Verpflichtung der DPA, die Datenschutzrechte durchzusetzen, kann in zwei Bereiche aufgeteilt werden:

1. Überwachung, ob natürliche Personen ihre Rechte ausüben können, und
2. Evaluierung, ob die Verarbeitung personenbezogener Daten den von der DSGVO festgelegten Verarbeitungsbestimmungen entspricht.

Verdacht auf Verstösse

Die DPA verfügt über verschiedene Untersuchungsbefugnisse, die es ihr ermöglichen festzustellen, ob ein Verstoss gegen die DSGVO vorliegt oder nicht. Zur Untersuchung eines möglichen Verstosses kann die DPA den Verantwortlichen und den Auftragsverarbeiter anweisen Informationen vorzulegen, die sie für ihre Arbeit benötigt. Die DPA kann ausserdem Zugriff auf alle personenbezogene und sonstige Daten verlangen, die sie für die Durchführung ihrer Aufgaben benötigt. Eine Untersuchung kann aus Datenschutzprüfungen bestehen, wobei die DPA, wenn nötig, Zugang zu den Räumlichkeiten der Verantwortlichen und Auftragsverarbeitern sowie auf deren Datenverarbeitungsausrüstung – und Systeme verlangen kann. Sollte ersichtlich werden, dass eine Verarbeitungsmethode nicht der DSGVO entsprechen wird, kann die DPA Verantwortliche oder Auftragsverarbeiter verwarnen.

Bestätigte Verstösse

Liegt ein Verstoss der DSGVO vor, so kann die DPA verschiedene Massnahmen ergreifen. Die am wenigsten einschneidende Massnahme besteht darin, einen Verantwortlichen oder Auftragsverarbeiter zu ermahnen, wenn durch Verarbeitungsvorgänge Bestimmungen der DSGVO verletzt wurden. Reicht eine Verwarnung nicht aus, kann die DPA den Verantwortlichen/Auftragsverarbeiter auch beauftragen, die Verarbeitungsaktivitäten so zu gestalten, dass sie den Bestimmungen der DSGVO entsprechen. Ignoriert ein Verantwortlicher/Auftragsverarbeiter die Rechte einer betroffenen Person, kann er von der DPA beauftragt werden, den Anträgen der betroffenen Person nachzukommen. Zudem kann die DPA die Berichtigung oder Löschung der personenbezogenen Daten oder ihre Verarbeitung einschränken, um die Rechte der betroffenen Person zu wahren. Für datengesteuerte Organisationen oder Unternehmen bei denen Datenverarbeitung Bestandteil ihres Geschäftsmodells sind, können einschneidende Konsequenzen eintreten, sollten sie gezwungen sein alle ihre Daten aufgrund einer Verletzung der DSGVO zu löschen. Für viele Organisationen sind Daten das wertvollste Kapital. Im Falle einer Datenschutzverletzung kann die DPA den Verantwortlichen beauftragen, die betroffene Person über eine solche Verletzung des Datenschutzes zu informieren.

Einschneidende Massnahmen

Der DPA stehen einschneidende Massnahmen zur Verfügung, wenn z.B. weniger strikte Massnahmen nicht zum gewünschten Ergebnis führen. In diesem Fall ist die DPA berechtigt, eine vorübergehende oder definitive Einschränkung, einschliesslich eines Datenverarbeitungsverbotes, zu verhängen. Dies kann den Geschäftsbetrieb eines Unternehmens, dessen Kundenservice sowie auch das Erreichen der allgemeinen Geschäftsziele, erheblich  beeinträchtigen. Die DPA kann auch den Widerruf einer Zertifizierung anordnen (durch welche bestätigt wird, dass die Datenverarbeitung gemäss DSGVO erfolgt). Darüber hinaus kann die Datenschutzbehörde die Aussetzung der Datenflüsse an einen Empfänger in einem Drittland oder gegebenenfalls an eine internationale Organisation anordnen.

Erhebung von Geldstrafen  

Die weitreichendsten Befugnisse bestehen in der Erhebung von Geldstrafen. Bei einem geringeren Verstoss kann die Geldstrafen bis zu 10'000'000 EUR (10 Millionen Euro) betragen, im Falle eines Unternehmens kann dies bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorhergehenden Geschäftsjahrs bedeuten, je nachdem, welcher Betrag der höhere ist. Bei schwerwiegenden Verstössen erhöht sich dieser Betrag auf bis zu 20'000'000 EUR (20 Millionen Euro) oder 4 % des weltweiten Jahresumsatzes des vorhergehenden Geschäftsjahres, je nachdem, welcher der höhere Betrag ist. Diese Strafen sind erheblich und können Unternehmen finanziell stark beeinträchtigen oder sogar in den Ruin treiben. Daher ist es wichtig, die Pflichten gemäss DSGVO zu erfüllen.