Rechtsbehelfe, Haftung und Sanktionen gemäß DSGVO

Quelle: iStock.com/AndreyPopov

Recht auf Beschwerde bei einer Aufsichtsbehörde

Eine betroffene Person hat stets das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, Artikel 77 Absatz 1 DSGVO. Die Aufsichtsbehörde unterrichtet dann den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich eines gerichtlichen Rechtsbehelfs.

Recht auf wirksamen gerichtlichen Rechtsbehelf

Trifft die Aufsichtsbehörde einen rechtsverbindlichen Beschluss, so kann jede natürliche oder juristische Person gegen diesen sie betreffenden Beschluss einen gerichtlichen Rechtsbehelf wahrnehmen. Dies ergibt sich aus Artikel 78 DSGVO. Ein ähnliches Recht auf einen wirksamen gerichtlichen Rechtsbehelf besteht auch gegen Verantwortliche oder Auftragsverarbeiter, wenn eine betroffene Person der Ansicht ist, dass die ihr aufgrund der DSGVO zustehenden Rechte infolge einer nicht im Einklang mit der Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden, Artikel 79 DSGVO.

Haftung und Recht auf Schadenersatz

Überdies hat auch jede Person, der wegen eines Verstoßes gegen die DSGV oh ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter, Artikel 82 Absatz 1 DSGVO. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch einen nicht der DSGVO entsprechende Verarbeitung verursacht wurde. Gleichzeitig haftet ein Auftragsverarbeiter für den durch eine Verarbeitung verursachten Schaden jedoch nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen dessen Anweisungen gehandelt hat.

Der Verantwortliche und der Auftragsverarbeiter werden von dieser Haftung nur dann befreit, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.

Bedingungen für die Verhängung von Geldbußen

Besonderer medialer Aufmerksamkeit unterliegt die Verhängung von Geldbußen durch die Aufsichtsbehörde. Besonders bekannt in diesem Zusammenhang ist Artikel 83 Absatz 5 DSGVO wonach bei bestimmten Verstößen im Einklang mit Absatz 2 Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist.

In diesem Zusammenhang haben die Aufsichtsbehörden sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam verhältnismäßig und abschreckend ist. Nach welchen Kriterien die Verhängung von Geldbußen stattfindet, ergibt sich in diesem Zusammenhang aus Artikel 83 Absatz 2 DSGVO.

Abgesehen hiervon legen die Mitgliedstaaten die Vorschriften über andere Sanktionen für Verstöße gegen die DSGVO, die keiner Geldbuße unterliegen, selbst fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Auch diese Maßnahmen müssen stets wirksam, verhältnismäßig und abschreckend sein. Insbesondere das Merkmal der Abschreckung wurde ins Leben gerufen, damit durch Unternehmen die Pflichten der Datenschutz-Grundverordnung ernst genommen und auch tatsächlich umgesetzt werden.