Die Durchsetzung der DS-GVO in der Praxis - Vortragsreihe: Datenschutz in der Praxis
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Vortragsreihe: Datenschutz in der Praxis
Die Durchsetzung der DS-GVO in der Praxis
Rechtsanwalt Jan Spittka
DLA Piper UK LLP
Agenda 1. Überblick 2. Möglichkeiten betroffener Personen 3. Möglichkeiten der Aufsichtsbehörden 4. Möglichkeiten Dritter www.dlapiper.com 2
1. Überblick www.dlapiper.com 3
1. Überblick
1.1 Fälle aus der Praxis
Quelle: https://www.handelsblatt.com/politik/deutschland/dsgvo-bussgeld-wegen-
datenschutzverstoessen-urteil-gegen-1und1-ist-rechtskraeftig/26826800.html?ticket=ST-6554440-
rZSSnHY0KFJa1Vypzub9-ap4
Quelle: https://www.datenschutz-guru.de/ovg-saarland-speicherung-oeffentlich-zugaenglicher-kontaktdaten-fuer-
unzulaessige-werbeanrufe-unzulaessig/
Quelle: https://netzpolitik.org/2020/dsgvo-verstoss-hm-kassiert-35-millionen-euro-strafe/
Quelle: https://www.tagesspiegel.de/berlin/rekordbussgeld-wegen-datenschutzverstoessen-deutsche-wohnen-
muss-14-5-millionen-euro-strafe-bezahlen/25191038.html
Quelle: https://www.heise.de/news/Fast-160-Millionen-Euro-DSGVO-Bussgelder-im-Jahr-2020-5029037.html
www.dlapiper.com 4Datenschutzrechtsverstöße
1.1 Fälle aus der Praxis
Quelle: https://www.spiegel.de/netzwelt/netzpolitik/frankreichs-datenschutzbehoerde-macht-ernst-
google-soll-100-millionen-euro-zahlen-a-7f9f69ec-f184-4ebb-9ba5-b821a6b5f368
Quelle: https://www.lto.de/recht/hintergruende/h/arb-duesseldorf-9ca6557-18-datenschutz-auskunftschadensersatz-82-dsgvo-
beweislast-keine-bagatellschwelle/
Quelle: https://www.spiegel.de/netzwelt/web/easyjet-raeumt-datenleck-ein-neun-millionen-kunden-
betroffen-a-cd0b8847-8a44-46c9-b138-064572555d9e Quelle: https://www.robin-data.io/datenschutz-akademie/news/italienische-datenschutz-
aufsichtsbehoerde-verhaengt-27-mio-bussgeld
www.dlapiper.com 5Überblick
1.2 Verhängte Geldbußen
Quelle: https://www.dlapiper.com/en/us/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-
breach-survey-2021/
www.dlapiper.com 61. Überblick
1.3 Akteure
• Verantwortlicher/Auftragsverarbeiter Dritter
• Betroffene Person
• Datenschutzaufsichtsbehörde Klagen gem.
§§ 1, 2, 3 UKlaG;
• Dritte (Wettbewerber, Verbraucherschutzorganisationen) § 3a, 8 UWG
Aufsichtsbehörde
Verantwortlicher/
Auftragsverarbeiter
Betroffenenrechte (Art. 15 ff.
DS-GVO)
→ nur ggü. Verantwortlichen Informiert (Art. 13, 14 DS-GVO)
Betroffene Person
www.dlapiper.com 72. Möglichkeiten betroffener Personen www.dlapiper.com 8
2. Möglichkeiten betroffener Personen
2.1 Überblick Betroffenenrechte
Informationsrecht Auskunftsrecht
Art. 13, 14 DS-GVO Art. 15 DS-GVO
Recht auf
Berichtigung
Schadensersatz Art. 16 DS-GVO
Art. 82 DS-GVO
Betroffenenrechte
(AT: Artikel 12 DS-GVO)
Recht auf
Löschung/
Widerspruchsrecht Vergessenwerden
Art. 21 DS-GVO Art. 17 DS-GVO
Recht auf Einschränkung der
Datenübertragbarkeit Verarbeitung
Art. 20 DS-GVO Art. 18 DS-GVO
www.dlapiper.com 92. Möglichkeiten betroffener Personen
2.2 Schadensersatz gem. Art. 82 DS-GVO
Voraussetzungen: Umsetzung in der Praxis:
• Verstoß gegen eine Vorschrift der • Eingang Forderungsschreiben
DS-GVO (für Auftragsverarbeiter • Reaktionsmöglichkeiten Unternehmen
durch Art. 82 Abs. 2 S. 2 DS-
GVO eingeschränkt), • Zurückweisung → mögliche
Anspruchshindernisse
• materieller oder immaterieller
Schaden für die betroffene
Person,
• Kausalität zwischen DS-GVO-
Verstoß und Schaden und
• Verschulden
www.dlapiper.com 102. Möglichkeiten betroffener Personen 2.2.1 Voraussetzungen Schadensersatz Art. 82 Abs. 1 DS-GVO: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ 1. Verstoß gegen die DS-GVO 2. Kausaler Schaden: materiell oder immateriell 3. Verschulden des Verantwortlichen oder Auftragsverarbeiters www.dlapiper.com 11
2. Möglichkeiten betroffener Personen
2.2.2 Schadensersatz: Materieller und immaterieller Schaden
Schaden
Wichtig: keine schwere Verletzung erforderlich
Materieller Schaden Immaterieller
Spürbarer Schaden
Nachteil und nicht nur Bagatellverstoß
• Sämtliche Vermögensschäden • Nicht jeder Verstoß gegen die
• Nichtgewährung eines Kredits DS-GVO löst automatisch
• Nichteinstellung auf Basis einen Anspruch auf
falscher Informationen immateriellen Schadensersatz
• physische Schäden aus
• Kosten infolge der Verletzung • Schwerwiegende
der körperlichen Unversehrtheit Persönlichkeitsverletzung
• Rechtverfolgungskosten (LG nicht mehr erforderlich
Wuppertal, Urt. v. 29.03.2019 - • Konkrete Schwelle umstritten
17 O 178/18)
www.dlapiper.com 122. Möglichkeiten betroffener Personen
2.2.3 Schadensersatz - Bisherige Rechtsprechung in Deutschland
Zurückhaltende Auslegung Großzügigere Auslegung
AG Diez (Urt. v. 07.11.2018 - 8 C 130/18): Kein SE bei Bagatellverstoß ohne ernsthafte ArbG Düsseldorf (Urt. v. 05.03.2020 - 9 Ca 6557/18): Schwere des immateriellen
Beeinträchtigung bzw. nicht für jede bloß individuell empfundene Unannehmlichkeit; Schadens ist für die Begründung der Haftung nach Art. 82 DS-GVO irrelevant und wirkt
spürbarer Nachteil, objektiv nachvollziehbare Beeinträchtigung mit gewissem Gewicht – sich nur noch bei der Höhe des Anspruchs aus; Kontrollverlust über personenbezogene
nicht mehr als 50 Euro Daten genügt; Abschreckungseffekt; Berücksichtigung des Umsatzes des Schädigers –
5.000 Euro (3 x 1.000 Euro + 4 x 500 Euro)
OLG Dresden (Beschl. v. 11.12.2019 - 4 U 1680/19): Bagatellcharakter rechtfertigt ArbG Lübeck (Beschl. v. 20.06.2019 - 1 Ca 538/19): Einzelfallabwägung ohne
immateriellen Schadensersatzes nicht – 0 Euro abstrahierbare Kriterien bei Nutzung von Mitarbeiterfoto – bis zu 1.000 Euro
LG Karlsruhe (Urt. v. 02.08.2019 - 8 O 26/19): Benennbare und insoweit tatsächliche AG Pforzheim (Urt. v. 25.03.2020 - 13 C 160/19): Einzelfallabwägung ohne
Persönlichkeitsverletzung erforderlich; keine generalpräventiven Gründe für abstrahierbare Kriterien bei sensitiven Gesundheitsdaten – 4.000 Euro
automatischen SE bei DS-GVO-Verstoß – 0 Euro
AG Frankfurt a. M. (Urt. v. 10.07.2020 - 385 C 155/19 (70)): Ein Gefühl des Unbehagens LG Darmstadt (Urt. v. 26.05.2020 - 13 O 244/19): Konkrete Benachteiligung durch
ist für einen immateriellen Schaden nicht ausreichend; es bedarf zumindest einer Fehlversendung einer E-Mail im Bewerbungsprozess – 1.000 Euro
öffentlichen Bloßstellung – 0 Euro
LG Frankfurt a. M. (Urt. v. 18.08.2020 - 2-27 O 100/20) – Kein Strafschadensersatz – 0 ArbG Neumünster (Urt. v. 11.08.2020 - 1 Ca 247 c/20): Verstoß gegen Art. 15 Abs. 1
Euro DS-GVO wegen verspäteter Beantwortung eines Auskunftsanspruchs – 1.500 Euro (3 x
500 Euro pro Monat der verspäteten Auskunft)
LG Köln (Urt. v. 07.10.2020 - 28 O 71/20): SE in Bagatellfällen entspricht nicht Sinn & ArbG Dresden (Urt. v. 26.08.2020 - 13 Ca 1046/20): Rufschädigung und
Zweck des Art. 82 DS-GVO – 0 Euro Beeinträchtigung des Rechts, die den Kläger betreffenden pb (Gesundheits-)Daten zu
kontrollieren – 1.500 Euro (+ 201,71 Euro Rechtsverfolgungskosten)
LG Landshut (Urt. v. 06.11.2020 - 51 O 513/20): SE im Sinne eines Schmerzensgelds LG Lüneburg (Urt. v. 14.7.2020 - 9 O 145/19): Falschmeldung (offene Forderung i. H. v.
nicht in Bagatellfällen, konkrete und nicht nur subjektive Verletzung erforderlich – 0 Euro 20 Euro) an Auskunftei – 1.000 Euro.
www.dlapiper.com 132. Möglichkeiten betroffener Personen
2.3 Kommerzialisierung des SE-Anspruchs unter der DS-GVO
Schadensersatz nach
Art. 82 DS-GVO
Prozessstandschaft /
Anwaltliche Vertretung Abtretung/Inkasso Vermittlung
Musterfeststellungsklage
• Eigenes Recht in eigenem • Fremdes Recht im eigenen • Eigenes Recht in eigenem • Vermittlung der
Namen (durch betroffene Namen Name (durch Zessionar) Geschädigten an Anwälte;
Person, anwaltlich • Reichweite des Art. 80 • Ansprüche auf materiellen häufig in gebündelter Form
vertreten) Abs. 1 a. E. DS-GVO? SE nach Art. 82 DS-GVO • Geltendmachung im
• Synergieeffekte durch sind abtretbar Namen der betroffenen
Vielzahl an Mandantinnen • Was ist mit Ansprüchen auf Personen nach üblichen
und Mandanten hinsichtlich Immateriellen SE? prozessualen Regeln
desselben Vorfalls oder • Braucht man eine
ähnlich gelagerter Inkassolizenz? Reicht eine
Sachverhalte Inkassolizenz?
• Grenzen: UWG, BRAO,
BORA, insb. § 43 lit. b
BRAO (in Form und Inhalt
sachlich; nicht auf die
Erteilung eines Auftrags im
Einzelfall gerichtet)
www.dlapiper.com 143. Möglichkeiten der Aufsichtsbehörde www.dlapiper.com 15
3. Möglichkeiten der Aufsichtsbehörden
3.1 Befugnisse gem. Art. 58 DS-GVO
• Untersuchungs-, Abhilfe-, Genehmigungsbefugnisse
• Absatz 1: Untersuchungsbefugnisse
• Absatz 2: Abhilfebefugnisse
• Absatz 3: Genehmigungsbefugnisse
Ermittlung Sanktionen
(Abs. 1) (Abs. 2)
Beratung
(Abs. 3)
www.dlapiper.com 163. Möglichkeiten der Aufsichtsbehörden
3.2 Ermittlungsbefugnisse
Anweisung zur
Bereitstellung von
Zugang zu den Informationen an
Räumlichkeiten des Verantwortlichen/
verantwortlichen/ Auftragsverarbeiter
Auftragsverarbeiters (lit. a)
(lit. f) Datenschutz-
überprüfung
(lit. b)
Ermittlungs-
befugnisse
(Art. 58 Abs. 1)
Überprüfung der
Zugang zu Zertifizierung gem.
Informationen Art. 42
Hinweis auf
(lit. e) Datenschutzrechts- (lit. c)
verstoß
(lit. d)
www.dlapiper.com 173. Möglichkeiten der Aufsichtsbehörden 3.2 Ermittlungsbefugnisse - Beispiel www.dlapiper.com 18
3. Möglichkeiten der Aufsichtsbehörden
3.3 Sanktionen gem. Art. 58 II DS-GVO
Anordnung/Untersagung Bußgelder (lit. i)
Art. 83 DS-GVO
Anordnung, den Anträgen einer betroffenen
Person zu entsprechen (lit. c) Wofür?
Anordnung, Verarbeitungsvorgänge mit der DS- Grundsatz: jeder
GVO in Einklang zu bringen (lit. d) Datenschutzrechtsverstoß;
Anordnung, betroffene Person zu zusätzlich zu oder anstelle von
benachrichtigen (lit. e) Maßnahmen nach Art. 58 II lit. a–h
und i, j DS-GVO
Vorübergehende/endgültige Beschränkung der Ausnahmen:
Verarbeitung (lit. f.)
Art. 10 DS-GVO
Anordnung zur Berichtigung/Löschung (lit. g) Art. 58 Abs. 1 lit. a-d DS-GVO
Zertifizierungsverweigerung/-widerruf (lit. h) Kriterien?
Anordnung zur Aussetzung der Bewertungskatalog Art. 83 Abs. 2
Datenübermittlung in Drittland (lit. j) DS-GVO
www.dlapiper.com 193. Möglichkeiten der Aufsichtsbehörden
3.3 Verhältnis zwischen Geldbußen und anderen Maßnahmen
Artikel 83 Abs. 2 DS-GVO:
"Geldbußen werden je nach den Umständen des Einzelfalls
zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58
Absatz 2 Buchstaben a bis h und i verhängt."
Erwägungsgrund 148:
"Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser
Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den
Intendiertes Ermessen? geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung
verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen
verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich
VG Ansbach (Urt. v. 16.3.2020 zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche
– AN 14 K 19.00464): NEIN Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt
werden."
www.dlapiper.com 203. Möglichkeiten der Aufsichtsbehörden
Exkurs: Ermittlungs- und Bußgeldverfahren - Verfahrensablauf (vereinfacht)
Ermittlungen der Verwaltungsbehörde
Bußgeldbescheid (wenn nicht Pflicht- oder Opportunitäts-Einstellung)
Einspruch: Prüfung durch die Verwaltungsbehörde
Zwischenverfahren bei der Staatsanwaltschaft
Hauptverfahren beim Amtsgericht bzw. Landgericht (bei Bußgeldern >100k EUR)
Einstellung Freispruch Verurteilung
www.dlapiper.com 213. Möglichkeiten der Aufsichtsbehörden
Exkurs: Ermittlungs- und Bußgeldverfahren - Ermittlungsverfahren (Überblick)
Anfangsverdacht Einleitung des Bußgeldverfahrens, wenn
OWi Anfangsverdacht (+)
Aufklärung des Sachverhalts
Tatnachweis (+) Tatnachweis (+) Tatnachweis (-) o. Anhaltspunkte
Gebot der Ahndung (+) Gebot der Ahndung (-) Verfolgungshindernis für Straftat
Opportunitäts- („Pflicht“-)
Bußgeldbescheid Abgabe an StA
Einstellung Einstellung
www.dlapiper.com 223. Möglichkeiten der Aufsichtsbehörden
Exkurs: Ermittlungs- und Bußgeldverfahren - Erlass Bußgeldbescheid
Prüfung
Ruhe Wer ist der Frist- Vorwurf /
Anhörung Akteneinsicht
bewahren Adressat? verlängerung Stellung-
nahme
www.dlapiper.com 233. Möglichkeiten der Aufsichtsbehörden
Exkurs: Ermittlungs- und Bußgeldverfahren – Stellungnahme nach § 55 Abs. 1 OWiG
• DSGVO keine Regelung zur Beweislast
• Unschuldsvermutung / Selbstbelastungsfreiheit (Art. 48 GRCh, Art. 6 EMRK, Art. 103, 20 Abs. 3 GG)
Tatsächlich • Meldepflicht Art. 33 u. 34 DSGVO – Verwendung OWi-Verfahren nur mit Zustimmung (§ 43 IV BDSG)
• Objektiver + subjektiver Tatbestand
• Zurechnung zu jurist. Personen nach OWiG (str.)
Rechtlich • Verjährung + Verstoß gegen höherrangiges Recht
• Bußgeldzumessung: Zusammenarbeit vs "etwaige einschlägige frühere Verstöße" (Art. 83 II DSGVO)
• Generalprävention: "…wirksam, verhältnismäßig und abschreckend" (Art. 83 I DSGVO)
Strategisch
www.dlapiper.com 243. Möglichkeiten der Aufsichtsbehörden
Exkurs: Ermittlungs- und Bußgeldverfahren - Bußgeldbescheid
Einspruch Frist: Ruhe Ausr. Frist f. Einspruchs-
Akteneinsicht
Betroffener 2 Wochen bewahren! Begründung begründung
www.dlapiper.com 253. Möglichkeiten der Aufsichtsbehörden
3.3.1 Bußgelder in Deutschland - Beispiele
2018 2019 2020/21
Knuddels.de (21.11.2018): Unzureichende Facebook Germany GmbH AOK Baden-Württemberg (30.06.2020): Verstoß
technische und organisatorische Maßnahmen zur (März 2019): Fehlende Benennung eines gegen Art. 32, 5, 6 DS-GVO keine ausreichende
Gewährleistung der Informationssicherheit Datenschutzbeauftragten - 51 000 Euro Gewährleistung der Informationssicherheit -
- 20 000 Euro 1 240 000 Euro
Kolibri Image GbR (17.12.2018): Unzureichende N26 (10.04.2019): Unzureichend gerechtfertigte H&M Hennes & Mauritz Online Shop A.B. & Co.
Datenverarbeitungsvereinbarung - 5 000 Euro Datenverarbeitung - 50 000 Euro KG (01.10.2020): Unzureichend gerechtfertigte
Datenverarbeitung - 35 250 708 Euro
(nach Einspruch v. Behörde aufgehoben)
Delivery Hero (19.09.2019): Verstoß gegen Notebooksbilliger.de (08.01.2021): Unzureichend
Betroffenenrechte aus Art. 15, 17, 21 DS-GVO - gerechtfertigte Datenverarbeitung - 10 400 000 Euro
14.10.2019:
Einführung DSK- 195 407 Euro
Konzept für Deutsche Wohnen SE (30.10.2019): Verstoß gegen
Bußgelder gegen Datenverarbeitungsgrundsätze - 14 500 000 Euro
Unternehmen
1&1 Telecom GmbH (11.11.2020): Verstoß gegen Art.
32 DS-GVO keine ausreichende Gewährleistung der
Informationssicherheit - 9 550 000 Euro
(herabgesetzt LG Bonn auf: 900 000 €)
Rapidata GmbH (09.12.2019): Fehlende Benennung
eines Datenschutzbeauftragten - 10 000 Euro
www.dlapiper.com 143. Möglichkeiten der Aufsichtsbehörde
3.3.2 Bußgelder gem. Art. 83 DS-GVO
korrigiert durch
Konkrete Kriterien in Art. 83 Abs. 2 DS-GVO Art. 83 Abs. 1 DS-GVO
Milderung Schärfung
Leichte kurzfristige Verstöße Schwere dauerhafte Verstöße
Geringe Anzahl an betroffenen Personen Hohe Anzahl an betroffenen Personen
"Jede Aufsichts-
Kein oder geringer Schaden Hoher Schaden
behörde stellt sicher,
Fahrlässigkeit Grobe Fahrlässigkeit und Vorsatz
dass die Verhängung
Maßnahmen zur Schadensminderung
von Geldbußen
Ordnungsgemäße technische und Unzureichende technische und organisatorische gemäß diesem Artikel
organisatorische Maßnahmen Maßnahmen
für Verstöße gegen
Erstverstoß Widerholungstäter
diese Verordnung (…)
Täter meldet Verstoß an Datenschutzbehörde in jedem Einzelfall
Einhaltung Verstoß gegen vorherige Anordnung
nach Artikel 58 Abs. 2 DS-GVO
wirksam,
Einhaltung genehmigter Verhaltensregeln verhältnismäßig und
oder Zertifizierungen
abschreckend ist."
Jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar
oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
www.dlapiper.com 273. Möglichkeiten der Aufsichtsbehörden
3.3.2 Bußgelder gem. Art. 83 DS-GVO
Art. 83 IV: Art. 83 V, VI:
• Geldbußen bis zu 10 Mio. € • Geldbußen bis zu 20 Mio. €
• 2% des gesamten weltweit • 4% des gesamten weltweit
erzielten Jahresumsatzes des erzielten Jahresumsatzes des
vorangegangen Geschäftsjahres vorangegangenen Geschäftsjahres
des Unternehmens des Unternehmens
Herausforderungen für Unternehmen
• Hohe Bußgeldandrohungen
• Wage Vorgaben der DS-GVO
• Zu vielen praxisrelevanten Fragen noch keine Rechtsprechung
• Sehr allgemeine Handlungsempfehlungen von Datenschutzbehörden
www.dlapiper.com 283. Möglichkeiten der Aufsichtsbehörde
3.3.3 Der Unternehmensbegriff in der DS-GVO
Artikel 4 Nr. 18 DS-GVO Erwägungsgrund 150 Satz 3
"„Unternehmen“ ist eine natürliche und juristische Person, "Werden Geldbußen Unternehmen auferlegt, sollte zu
die eine wirtschaftliche Tätigkeit ausübt, unabhängig von diesem Zweck der Begriff „Unternehmen“ im Sinne der
ihrer Rechtsform, einschließlich Personengesellschaften Artikel 101 und 102 AEUV verstanden werden."
oder Vereinigungen, die regelmäßig einer wirtschaftlichen
Tätigkeit nachgehen;"
Deutsche Datenschutzbehörden Artikel-29-Datenschutzgruppe
vs.
"Danach gilt der aus dem Kartellrecht entlehnte weite, "Damit die von den Aufsichtsbehörden verhängten
funktionale Unternehmensbegriff nach Art. 101 und 102 Geldbußen wirksam, verhältnismäßig und abschreckend
des Vertrags über die Arbeitsweise der Europäischen sind, sollte für sie die vom EuGH für die Anwendung der
Union (AEUV). Dies hat zur Folge, dass Mutter- und Artikel 101 und 102 AEUV festgelegte Definition des
Tochtergesellschaften als wirtschaftliche Einheit Begriffs „Unternehmen“ maßgeblich sein, wonach als
betrachtet werden, so dass bei der Bemessung des Unternehmen eine Wirtschaftseinheit verstanden wird, zu
Bußgeldes der Gesamtumsatz der Unternehmensgruppe der gegebenenfalls die Muttergesellschaft und alle
zu Grunde gelegt wird." abhängigen Tochtergesellschaften gehören."
(Datenschutzkonferenz, Kurzpapier Nr. 2 – (Artikel-29-Datenschutzgruppe, Leitlinien für die
Aufsichtsbefugnisse/Sanktionen) Anwendung und Festsetzung von Geldbußen im Sinne
der Verordnung (EU) 2016/679)
www.dlapiper.com 293. Möglichkeiten der Aufsichtsbehörde
3.3.3 Kritische Betrachtung des Unternehmensbegriffs
Bestimmtheitsgrundsatz?
DS-GVO
DS-GVO GDPR
GDPR
ErwG
ErwG 150
150 "Werden
"WerdenGeldbußen
GeldbußenUnternehmen
Unternehmen "Where
"Whereadministrative
administrativefines
finesare
are
auferlegt,
auferlegt,sollte
solltezu
zu diesem
diesemZweck
Zweck der
der imposed
imposedon onan
anundertaking,
undertaking,an an
Folgen der wirtschaftlichen Einheit: Begriff
Begriff„Unternehmen“
„Unternehmen“im im Sinne
Sinneder
der undertaking
undertakingshould
shouldbebeunderstood
understoodtoto
Artikel
Artikel101
101und
und102
102AEUV
AEUVverstanden
verstanden be
bean
anundertaking
undertaking in in accordance
accordance
werden."
werden." with
withArticles
Articles101
101and
and102
102TFEU
TFEU for
for
• Umsatz der wirtschaftlichen Einheit ist those
thosepurposes."
purposes."
Grundlage für Bußgeldberechnung Art.
Art. 44 Nr.
Nr. 18
18 "„Unternehmen“
"„Unternehmen“eineeinenatürliche
natürlicheund
und "‘Enterprise’
"‘Enterprise’means
meansaa natural
naturalor
or
• Gesamtschuldnerische Haftung für Bußgelder juristische
juristischePerson,
Person,die
dieeine
eine legal
legalperson
personengaged
engagedin
in an
aneconomic
economic
wirtschaftliche
wirtschaftlicheTätigkeit ausübt (…);"
Tätigkeitausübt (…);" activity (…);"
activity (…);"
• Haftung für jede Handlung einer Person, die
ermächtigt ist, für das Unternehmen zu Art.
Art. 44 Nr.
Nr. 19
19 "„Unternehmensgruppe“
"„Unternehmensgruppe“eine
eineGruppe,
Gruppe, "‘group
"‘group of undertakings’means
of undertakings’ meansaa
handeln die
dieaus
auseinem
einemherrschenden
herrschenden controlling
controllingundertaking
undertakingand
andits
its
Unternehmen
Unternehmenund
undden
denvon
von diesem
diesem controlled
controlledundertakings;"
undertakings;"
abhängigen
abhängigenUnternehmen
Unternehmenbesteht;"
besteht;"
Art.
Art. 83
83Abs.
Abs. "(…)
"(…) oder
oderimim Fall
Falleines
einesUnternehmens
Unternehmens "" (…)
(…)or
or in
inthe
thecase
caseof of an
an
4,
4,55 und
und66 von
von bis
biszu
zu 44 %
% seines
seinesgesamten
gesamten undertaking,
undertaking, up up to
to 44 %
% of
of the
the total
total
weltweit
weltweit erzielten
erzieltenJahresumsatzes
Jahresumsatzesdes
des worldwide
worldwide annual
annualturnover
turnoverof ofthe
the
vorangegangenen
vorangegangenenGeschäftsjahrs
Geschäftsjahrs preceding
precedingfinancial year (…)"
financialyear (…)"
verhängt,
verhängt, (…)"
(…)"
www.dlapiper.com 303. Möglichkeiten der Aufsichtsbehörden
3.3.4 Höhe der Bußgelder
EU: Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679
DE: DSK-Konzept für Bußgelder gegen Unternehmen
1. Zuordnung des betroffenen Unternehmens in Größenklasse
2. Bestimmung des mittleren Jahresumsatzes der Untergruppe der Größenklasse
3. Ermittlung wirtschaftlicher Grundwert
4. Multiplikation je nach schwere der Tatumstände
5. Anpassung anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände
www.dlapiper.com 313. Möglichkeiten der Aufsichtsbehörden
3.3.4 Höhe der Bußgelder - Bußgeldmodell
• Für Verfahren gegen Unternehmen im Anwendungsbereich der DS-GVO
• Findet keine Anwendung auf Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit
• „Unternehmen“ wird i. S. d. Art. 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff) verstanden
https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
Schritt 1: Einordnung in Schritt 2: Bestimmung des Schritt 3: Bestimmung des
Größenklasse durchschn. Jahresums. wirtsch. Grundwertes
• Abhängig vom gesamten weltweit • Nur relevant für Unternehmen mit • (Durschnittlicher) Jahresumsatz wird
erzielten Jahresumsatzes des weniger als 500 Mio. Euro (bei > 500 durch 360 (Tage) geteilt, um
vorangegangenen Geschäftsjahrs: Mio Euro: tatsächlicher Umsatz) Tagessatz zu ermitteln
o Kleinstunternehmen: bis zu 2 Mio. • Mittlerer Jahresumsatz wird zugrunde • Beispiel:
Euro gelegt • Bei Kleinstunternehmen mit bis zu
o Kleine Unternehmen: 2 bis 10 Mio. • Bestimmung über Referenztabelle 700.000 Euro beträgt Tagessatz
Euro 972 Euro
(350.000 Euro /360)
o Mittlere Unternehmen: 10 to 50 • Für ein Unternehmen mit 500 Mio.
Mio. Euro Euro Umsatz wäre der Tagessatz
o Großunternehmen: mehr als 50 1.388.888 Euro (500.000.000
Mio. Euro Euro/360)
www.dlapiper.com3. Möglichkeiten der Aufsichtsbehörden
3.3.4 Höhe der Bußgelder - Bußgeldmodell
Schritt 4: Berücksichtigung des Schritt 5: Sonstige strafschärfende
Schweregrads der Tat oder -mildernde Gründe
• Tagessatz wird mit Faktor zwischen 1 und 7,2 (Art. • Der errechnete Betrag wird anhand aller für und
83 IV DS-GVO) oder zwischen 1 und 14,4 (Art. 83 V, gegen den Betroffenen sprechenden Umstände
VI DS-GVO) multipliziert angepasst, soweit diese noch nicht unter Schritt 4
berücksichtigt wurden
• Abhängig von Schwere des Verstoßes:
• Nicht Teil des offiziellen Konzepts, aber Beispiele
Schweregrad Faktor (Art. 83 Faktor (Art. 83 aus der Praxis:
IV DS-GVO) IV, V DS-GVO) ✓ Verschuldensgrad (-25% bis +50%)
Leicht 1-2 1-4 ✓ Grad der Verantwortung (-25% bis +50%)
Mittel 2-4 4-8 ✓ Einschl. frühere Verstöße (0% bis +300%)
Schwer 4-6 8-12 ✓ Zusammenarbeit mit Behörde (-25% bis +25%)
Sehr schwer 6-7,2 12-14,4 ✓ Bekanntwerden des Verst. (- 25% bis + 10%)
✓ Einhaltung angeordneter Maßnahmen (0% bis
+50%)
www.dlapiper.com 333. Möglichkeiten der Aufsichtsbehörden
3.3.4 Höhe der Bußgelder – Beispielrechnung nach Bußgeldmodell
Annahme: Globaler Umsatz der „wirtschaftlichen Einheit“ = 3 Mrd. Euro
Verstoß gegen Art. 25 DS-GVO Verstoß gegen Art. 6 DS-GVO
Obergrenze: 60 Mio. Euro Obergrenze: 120 Mio. Euro
Tagessatz: 8,3 Mio. Euro Tagessatz: 8,3 Mio. Euro
Annahme: Schweregrad von 3 Annahme: Schweregrad von 8
→ Bußgeldkorridor 8.3 Mio. Euro bis 25 Mio. Euro → Bußgeldkorridor 8,3 Mio. Euro bis 66,7 Mio.
(Ø 16,7 Mio. Euro) Euro (Ø 37,5 Mio. Euro)
Annahme: Selbstanzeige (-25 %), vollständige Annahme: direkter oder bedingter Vorsatz (+25 %),
Kooperation (-25 %) besond. Kat. pb. Daten (+25 %), Beschwerde durch
betr. Person (+10 %), keine Kooperation (+25%)
→ Bußgeldkorridor 4,2 Mio. Euro bis 12,5 Mio. → Bußgeldkorridor 15,4 Mio. Euro bis 120 Mio.
Euro (Ø 8,3 Mio. Euro) Euro (Obergrenze) (Ø 69,4 Mio. Euro)
www.dlapiper.com 343. Möglichkeiten der Aufsichtsbehörde 3.3.5 Kritik des LG Bonn im Urteil vom 11.11.2020 - 29 OWi 1/20 Ansatz DSK: Je größer das Unternehmen ist, desto geringer ist regelmäßig die Ahndungsempfindlichkeit und desto höher ist im Regelfall das Bußgeld zu bemessen, damit es seine spezialpräventive Wirkung entfalten kann. Kritik LG Bonn: „Eine solche Bemessungsmethode mag bei Datenschutzverstößen von mittlerem Gewicht zu angemessenen Ergebnissen führen. Sie versagt jedoch bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen, also in denjenigen Fällen, in denen eine maßgeblich am Umsatz orientierte Zumessung in Widerstreit gerät zu der Zumessung anhand der Kriterien in Art. 83 Abs. 2 S. 2 DS-GVO. Hier haben die tatbezogenen Zumessungsgesichtspunkte in Art. 83 Abs. 2 S. 2 DS-GVO Vorrang. Der Umsatzhöhe kommt zwar weiterhin Bedeutung zu. Im Verhältnis zur Tatschuld verliert der Umsatz jedoch umso mehr an Bedeutung, desto eindeutiger die Bewertung der Schwere des Datenschutzverstoßes anhand der tatbezogenen Umstände in die eine oder andere Richtung ausfällt.“ Argumente: • Wortlaut Art. 83 Abs. 4 DS-GVO • Art. 83 Abs. 1 DS-GVO: Wirksamkeit und Abschreckung bei geringen Verstößen weniger Bedeutung → Verhältnismäßigkeit „Die Geldbuße muss spürbar sein; sie darf jedoch nicht als unangemessene Härte im Sinne einer überzogenen Reaktion auf den konkreten Verstoß erscheinen.“ www.dlapiper.com 35
4. Möglichkeiten Dritter www.dlapiper.com 36
4. Möglichkeiten Dritter
4.1 Klageinstrumente
Dritte: Wettbewerber und Verbraucherschutzverbände
AGB- Verbandsklagerecht
Kontrolle Rechtsbruch
(§§ 3 I 1 Nr. 1 i.V.m.
(§ 1 UKlaG) 2 I, II Nr. 11 UKlaG) (§ 3 a UWG)
• Verbraucherschutzverbände • Verbraucherschutzverbände • Wettbewerber
• Datenschutzhinweise • Tatsächliche Verarbeitung • Verbraucherschutzverbände
grundsätzlich keine AGB, personenbezogener Daten • Anforderungen des § 8 III
Ausnahmen möglich notwendig UWG
www.dlapiper.com 374. Möglichkeiten Dritter 4.1 Klageinstrumente § 2 UKlaG: (1) Wer in anderer Weise als durch Verwendung oder Empfehlung von Allgemeinen Geschäftsbedingungen Vorschriften zuwiderhandelt, die dem Schutz der Verbraucher dienen (Verbraucherschutzgesetze), kann im Interesse des Verbraucherschutzes auf Unterlassung und Beseitigung in Anspruch genommen werden.(…) Bei Zuwiderhandlungen gegen die in Absatz 2 Satz 1 Nummer 11 genannten Vorschriften richtet sich der Beseitigungsanspruch nach den entsprechenden datenschutzrechtlichen Vorschriften. (2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere (…) Nr. 11: die Vorschriften, welche die Zulässigkeit regeln a) der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden, § 3 UKlaG: (1) Die in den §§ 1 bis 2 bezeichneten Ansprüche auf Unterlassung, auf Widerruf und auf Beseitigung stehen zu: 1. qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste qualifizierter Einrichtungen nach § 4 oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. L 110 vom 1.5.2009, S. 30) eingetragen sind, 2. rechtsfähigen Verbänden zur Förderung gewerblicher oder selbständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmen angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, wenn sie insbesondere nach ihrer personellen, sachlichen und finanziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben der Verfolgung gewerblicher oder selbständiger beruflicher Interessen tatsächlich wahrzunehmen, und soweit die Zuwiderhandlung die Interessen ihrer Mitglieder berührt (…) www.dlapiper.com 38
4. Möglichkeiten Dritter 4.1 Klageinstrumente § 3a UWG: Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen. § 8 UWG: (1) Wer eine nach § 3 oder § 7 unzulässige geschäftliche Handlung vornimmt, kann auf Beseitigung und bei Wiederholungsgefahr auf Unterlassung in Anspruch genommen werden. Der Anspruch auf Unterlassung besteht bereits dann, wenn eine derartige Zuwiderhandlung gegen § 3 oder § 7 droht. (3) Die Ansprüche aus Absatz 1 stehen zu: 1. jedem Mitbewerber; 2. rechtsfähigen Verbänden zur Förderung gewerblicher oder selbständiger beruflicher Interessen, soweit ihnen eine erhebliche Zahl von Unternehmern angehört, die Waren oder Dienstleistungen gleicher oder verwandter Art auf demselben Markt vertreiben, wenn sie insbesondere nach ihrer personellen, sachlichen und finanziellen Ausstattung imstande sind, ihre satzungsmäßigen Aufgaben der Verfolgung gewerblicher oder selbständiger beruflicher Interessen tatsächlich wahrzunehmen und soweit die Zuwiderhandlung die Interessen ihrer Mitglieder berührt; 3. qualifizierten Einrichtungen, die nachweisen, dass sie in der Liste der qualifizierten Einrichtungen nach § 4 des Unterlassungsklagengesetzes oder in dem Verzeichnis der Europäischen Kommission nach Artikel 4 Absatz 3 der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates vom 23. April 2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen (ABl. L 110 vom 1.5.2009, S. 30) eingetragen sind (…) www.dlapiper.com 39
4. Möglichkeiten Dritter
4.2 Aktivlegitimation - Bisherige Rechtsprechung in Deutschland
Aktivlegitimation Dritter Keine Aktivlegitimation Dritter
LG Würzburg (Beschluss vom 13.09.2018 - 11 O 1741/18 LG Bochum (Teilversäumnis- und Schlussurteil vom
UWG): für Wettbewerber (+) aber Problematik übersehen 07.08.2018 - I-12 O 85/18):für Wettbewerber (-), Kapitel VIII
DS-GVO als abschließende Regelungen
OLG Hamburg (Urteil vom 25.10.2018 – 3 U 66/17 ): LG Wiesbaden (Urteil vom 5.11.2018 – 5 O 214/18): Kapitel
Wortlaut der Art. 77 I, 78 I und II, 79 I und 82 I DS-GVO sowie VIII als abschließende Regelungen; keine Aktivlegitimation von
der Öffnungsklausel nach Art. 84 DS-GVO; differenzierende Wettbewerbern
Ansicht zur DS-GVO als Marktverhaltensregeln
OLG Stuttgart (Urteil vom 27.2.2020 – 2 U 257/19 (LG LG Stuttgart (Urteil vom 20.05.2019 - 35 O 68/18 KfH):
Stuttgart)): kein abschließender Charakter für privatrechtliche DS-GVO als abschließende Regelung, folgt LG Bochum und
Rechtsdurchsetzung; § 3a UWG als Marktverhaltensregel LG Wiesbaden
KG (Urteil vom 20.12.2019 – 5 U 9/18): kein abschließender LG Magdeburg (Urteil vom 18.1.2019 – 36 O 48/18): keine
Charakter für privatrechtliche Rechtsdurchsetzung; § 3a UWG Aktivlegitimation für Wettbewerber; DS-GVO ist
als Marktverhaltensregel abschließendes Sanktionssystem, das nur der Person, deren
Rechte verletzt worden sind, oder der Aufsichtsbehörde oder
der Klage eines Verbandes eine Rechtsdurchsetzung erlaubt.
www.dlapiper.com 40Möglichkeiten Dritter
4.2 Aktivlegitimation
Vorgeschaltete Frage:
Haben Dritte überhaupt eine
Aktivlegitimation?
www.dlapiper.com 41Möglichkeiten Dritter 4.2 Aktivlegitimation Art. 80 DS-GVO (1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. (2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind. www.dlapiper.com 42
Möglichkeiten Dritter
4.2 Aktivlegitimation - Streitfragen
Stellen die Durchsetzungsregelungen der DS-GVO eine abschließende unionsrechtliche
Regelung dar oder sind im jeweiligen nationalen Recht Erweiterungen zulässig?
(+) (-)
Folgen Weitere
Voraussetzungen/Fragen:
Verbraucherschutz-
Wettbewerber (-) § 3a UWG als
verbände (+), wenn UKlaG, Umfang § 2 UKlaG?
UWG unter Art. 80 II Marktverhaltensregel?
DSGVO subsumiert werden
können
www.dlapiper.com 434. Möglichkeiten Dritter
4.2 Aktivlegitimation - Meinungsstand
Art. 80 DS-GVO nicht abschließend Art. 80 DS-GVO als abschließende Regelungen
• Wortlaut der Art. 77 I, 78 I und II, 79 I und 82 I • DS-GVO enthält eine detaillierte Regelung des
DS-GVO sowie der Öffnungsklausel nach Art. 84 anspruchsberechtigten Personenkreises
DS-GVO
• Mitbewerber, Verbände und Einrichtungen gem. • Regelungen der DS-GVO abschließend, sodass
§ 8 III UWG weiterhin befugt, • Aktivlegitimation für Wettbewerber (-)
Unterlassungsansprüche im Sinne von § 4 Nr. 11 • Aktivlegitimation für Verbraucherschutz-
UWG aF, § 3a UWG durchzusetzen verbände unter den Voraussetzungen von
Art. 80 II DS-GVO
EuGH-Vorlage (Rs. C-319/20): BGH, 28.05.2020, Az. I ZR 186/17
• Kapitel VIII der DS-GVO mit abschließenden Regelungen?
• Vereinbarkeit UKlaG, UWG mit Art. 80?
• Aussagen zu nationalen Vorschriften: Marktverhaltensregeln?
www.dlapiper.com 44Vielen Dank!
Fragen?
Jan Spittka
Rechtsanwalt | Counsel
T +49 221 277 277 392
jan.spittka@dlapiper.com
www.dlapiper.com 45Sie können auch lesen
