Einfache Einspruchsmöglichkeiten und Schwere der Sanktionen

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Trotz ihrer Intelligenz und Kohärenz und trotz der Einheit aller Länder der Europäischen Union bei der Bekanntmachung und Durchsetzung ihrer Bestimmungen würde es der DSGVO wie jeder anderen Verordnung an Glaubwürdigkeit und damit an Wirksamkeit mangeln, wenn sie nicht mit der Möglichkeit erheblicher Sanktionen im Falle der Nichteinhaltung durch diejenigen einhergehen würde, die sie anwenden sollen.

Getreu ihrem Vorrang vor Einzelpersonen gegenüber Organisationen haben die Verfasser Rechtsmittel vorgesehen, die einfach umzusetzen sind und im Falle eines nachgewiesenen Fehlverhaltens wahrscheinlich zu Verurteilungen und Sanktionen führen. Artikel 77 ist in dieser Hinsicht eindeutig: „Jede betroffene Person hat das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.“ Ist die betroffene Person mit der Entscheidung der Aufsichtsbehörde, die drei Monate Zeit hat, den Antrag zu bearbeiten, nicht zufrieden, kann sie Rechtsmittel einlegen (Artikel 78).

Die Klage kann aber auch direkt gegen den Verantwortlichen gerichtet werden. Die Überschrift von Artikel 79 lässt diesbezüglich keine Unklarheiten zu: „Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen Verantwortlichen oder einen Auftragsverarbeiter.“ Absatz 1 präzisiert: „…jede betroffene Person hat das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass ihre ihr aufgrund dieser Verordnung zustehenden Rechte verletzt wurden…“.

Es ist daher sehr einfach, zunächst verwaltungsrechtliche und später möglicherweise gerichtliche Schritte gegen eine Stelle und/oder Person einzuleiten, die Daten verarbeitet. Um tätig zu werden, genügt es, wenn die betroffene Person die Verarbeitung als nicht konform erachtet. Sie kann allein handeln oder sich von einer gemeinnützigen Einrichtung, Organisation oder Vereinigung vertreten lassen, deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten der betroffenen Personen tätig ist (Art. 80-1). Besser noch: „Die Mitgliedstaaten können vorsehen, dass jede Einrichtung, Organisation oder Vereinigung unabhängig von einem Auftrag einer betroffenen Person im betreffenden Mitgliedstaat das Recht hat, bei der Aufsichtsbehörde Beschwerde einzulegen (Art. 80-2). Mit anderen Worten: Die DSGVO überlässt es den Mitgliedstaaten, einer spezialisierten Struktur das Recht zu erteilen, selbst ein Verfahren einzuleiten, auch wenn diese nicht von einer Einzelperson angerufen wurde.

Diese Bestimmungen lassen auch die Möglichkeit für Sammelklagen offen, die in Frankreich bereits durch das Hamon-Gesetz von 2014 und dann durch das Gesetz vom 18. November 2016 eingeführt wurden, das als „Modernisierung der Justiz im 21. Jahrhundert“ bekannt ist.^e Jahrhundert.“ Dieses letztgenannte Gesetz sieht lediglich die Einstellung der Straftat vor. Die DSGVO eröffnet die Möglichkeit einer Entschädigung, auch wenn diese eher individueller als kollektiver Natur zu sein scheint.

Tatsächlich wird nach dem Beschwerderecht wiederum das Recht auf Schadensersatz eingeführt: „Jede Person, der infolge eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch darauf, vom Verantwortlichen oder vom Auftragsverarbeiter Ersatz des entstandenen Schadens zu verlangen“ (Art. 82-1).

Wer kommt für diesen Schadenersatz auf? Die Sache ist eindeutig: „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für Schäden, die durch eine Verarbeitung verursacht werden, die einen Verstoß gegen diese Verordnung darstellt. Ein Auftragsverarbeiter haftet für Schäden, die durch die Verarbeitung verursacht werden, nur dann, wenn er seinen Pflichten aus dieser Verordnung nicht nachgekommen ist“ (Art. 82-2). Beide Parteien können weiterhin das Fehlen eines Verschuldens nachweisen: „Ein Verantwortlicher oder ein Auftragsverarbeiter ist von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass ihm der Umstand, durch den der Schaden entstanden ist, in keiner Weise zuzurechnen ist“ (Art. 82-3).

Sind mehrere Akteure beteiligt, „so haftet jeder der Verantwortlichen oder Auftragsverarbeiter für den gesamten Schaden, um der betroffenen Person eine wirksame Entschädigung zu gewährleisten“ (Art. 82-4). Dies schließt jedoch eine Entschädigung nicht aus: „Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 den erlittenen Schaden vollständig ersetzt, so ist er berechtigt, von den übrigen Verantwortlichen oder Auftragsverarbeitern, die an derselben Verarbeitung beteiligt waren, den Anteil der Entschädigung zu verlangen, der ihrem Anteil an der Verantwortung für den Schaden entspricht“ (Art. 82-5).

Nachdem nun die Verantwortlichkeiten geklärt sind, stellt sich die Frage, wie Sanktionen verhängt werden können. Die Aufsichtsbehörde verfügt über alle erforderlichen Befugnisse, um einen Verantwortlichen oder Auftragsverarbeiter zur Anordnung von Maßnahmen aufzufordern. Dazu gehören die Beschränkung oder das Verbot der Verarbeitung, die Anordnung der Berichtigung oder Löschung personenbezogener Daten, die Aussetzung von Übermittlungen, der Entzug der Zertifizierung und die Verhängung einer Geldbuße (Artikel 58-2).

Artikel 83 legt die Bedingungen für Verwaltungsstrafen fest, die „verhältnismäßig und abschreckend“ sein müssen (Art. 83-1). Die in Absatz 2 des Artikels aufgeführten elf Kriterien für die „Entscheidung über die Verhängung einer Verwaltungsstrafe“ zeigen, dass jede Strafe von Fall zu Fall festgelegt wird, wobei natürlich berücksichtigt wird, „ob der Verstoß vorsätzlich oder fahrlässig begangen wurde“. Die Absätze 4 und 5 listen die verschiedenen möglichen Verstöße auf und legen die Höchsthöhe der Geldbußen fest: bis zu 20.000.000 € oder für ein Unternehmen bis zu 4,1 TP3B € seines weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Es genügt zu sagen, dass Geldbußen in dieser Höhe die Stabilität eines Unternehmens ernsthaft gefährden können (zur Erinnerung: Die von der CNIL in den letzten Jahren verhängten Höchststrafen beliefen sich auf 150.000 €).

Was die Rechtsbehelfe betrifft, die im Falle eines Rechtsstreits entweder gegen die Entscheidung der Aufsichtsbehörde oder gegen den Verantwortlichen oder Auftragsverarbeiter beantragt und erlangt werden können, können wir davon ausgehen, dass diese ebenfalls „verhältnismäßig und abschreckend“ sein werden (diese beiden Wörter zusammen klingen wie ein Widerspruch in sich, entsprechen aber eindeutig nicht dem Geist der DSGVO).

Die Aufsichtsbehörde ist daher allmächtig, was diese Art von Gremien zu Institutionen macht, die drei Gewalten vereinen – Legislative (auch wenn sie nur Gesetze vorschlagen), Exekutive und Judikative –, die in großen Demokratien üblicherweise getrennt sind. Schon die Nichtbefolgung einer Anordnung der Aufsichtsbehörde gemäß Artikel 58-2 kann die Höchststrafe nach sich ziehen (Art. 83-5). Im Falle einer länderübergreifenden Verarbeitung wird die Sanktion gemeinsam von den betroffenen Aufsichtsbehörden beschlossen.

Weitere Sanktionen, „insbesondere für Verstöße, die nicht den in Artikel 83 vorgesehenen Verwaltungsstrafen unterliegen“, können von den Mitgliedstaaten beschlossen werden (Art. 84-1).

Erinnern wir uns noch einmal an das Grundprinzip: Jeder muss das Eigentum und die Kontrolle über seine personenbezogenen Daten behalten. Jede Organisation, die gegen dieses Prinzip verstößt, kann mit Sanktionen belegt werden.