Datenschutz für Unternehmen. Ricarda Kreindl,
Читать онлайн.| Название | Datenschutz für Unternehmen |
|---|---|
| Автор произведения | Ricarda Kreindl, |
| Жанр | Юриспруденция, право |
| Серия | |
| Издательство | Юриспруденция, право |
| Год выпуска | 0 |
| isbn | 9783854023791 |
1.5 Überblick über das Sanktionen- und Haftungsregime
Die DSGVO stieß nicht zuletzt aufgrund ihres scharfen Sanktionsregimes auf besondere Aufmerksamkeit in der Öffentlichkeit. Die Strafrahmen wurden im Vergleich zur DS-RL massiv ausgeweitet. Der Hauptgrund dafür ist, dass die mangelnde Effektivität der DS-RL unter anderem darauf zurückgeführt wurde, dass die Sanktionen nicht abschreckend genug gewesen sein dürften. Der EU-Gesetzgeber orientierte sich bei der Festlegung der Strafhöhe in der DSGVO daher am europäischen Kartellrecht.[62]
1.5.1 Strafen
Die Verhängung von Geldbußen ist in Art 83 DSGVO geregelt. Demnach können bei Verstößen gegen die datenschutzrechtlichen Bestimmungen Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
In Österreich ist die Verhängung von Verwaltungsstrafen in § 30 DSG verankert. Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden. Die Verwaltungsstrafen fließen dem Bund zu. Nach § 30 Abs 1 DSG kann eine Verwaltungsstrafe direkt gegen eine juristische Person verhängt werden. Der österreichische Gesetzgeber normierte in Anlehnung an § 99d BWG gewissermaßen die vorrangige Bestrafung der juristischen Person vor ihren vertretungsbefugten Organen und den verantwortlichen Beauftragten nach § 9 VStG.[63]
1.5.2 Haftung
In der DSGVO wurde auch eine eigenständige Haftungsbestimmung eingeführt.[64] Jede betroffene Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat gemäß Art 83 DSGVO Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Bestimmung gewährt den betroffenen Personen einen direkten Anspruch gegen den Verantwortlichen bzw. den Auftragsverarbeiter.[65]
Die DSGVO normiert eine solidarische Haftung für alle Beteiligten.[66] Für denjenigen Verantwortlichen oder Auftragsverarbeiter, der den Schaden ersetzt, besteht ein Regressanspruch (siehe Kapitel 2.8).
1.6 Fazit
Das durch die DSGVO neu etablierte EU-Datenschutzregime hat zwar die bisherige datenschutzrechtliche Regelungssystematik nicht vollends umgestaltet, brachte jedoch einige wesentliche Neuerungen mit sich – seien es neue Begrifflichkeiten, ein veränderter Anwendungsbereich oder verschärfte Sanktionen. Datenverarbeitende Unternehmen müssen sich darüber im Klaren sein, dass mit der DSGVO zwar eine stärkere Harmonisierung des europäischen Datenschutzrechts gelungen ist, eine echte Vollharmonisierung allerdings – aufgrund bestehender Regelungslücken und Öffnungsklauseln – nicht erreicht wurde. Die daraus resultierenden – und speziell für ein noch junges Regelungswerk oftmals typischen – Rechtsunsicherheiten dürften daher auch in Zukunft nicht gänzlich ausgeräumt werden können. Dennoch wird der europäische Datenschutz in Zukunft weiteren Entwicklungsschritten ausgesetzt sein, die sich auch positiv auf die Datenschutzpraxis auswirken dürften.
1Diregger, Handbuch Datenschutzrecht 1.
2Georgieva in Bergauer/Jahnel/Mader/Staudegger, jusIT Spezial: DSGVO 3 (4).
3Georgieva in Bergauer/Jahnel/Mader/Staudegger, jusIT Spezial: DSGVO 3 (11).
4Souhrada-Kirchmayer in Baumgartner, Jahrbuch Öffentliches Recht 61.
5Zerdick in Ehmann/Selmayr, DSGVO2 Art 2 Rz 3.
6Kühling/Raab in Kühling/Buchner, DSGVO/BDSG2 Art 2 Rz 15.
7Heißl in Knyrim, DatKomm, Art 2 Rz 49 (Stand 01.12.2018 rdb.at); Kühling/Raab in Kühling/Buchner, DSGVO/BDSG2 Art 2 Rz 16.
8„Die Formulierung ‚gespeichert werden sollen‘ ist dabei weit zu verstehen. Sie meint nicht etwa ein zielgerichtetes Verhalten, sondern es genügt bereits die Aussicht, dass die Daten in ein Dateisystem aufgenommen werden können, auch wenn dies von Bedingungen abhängig ist (zB von einer Entscheidung. des Personalchefs).“ (Ernst in Paal/Pauly, DSGVO BDSG2 Art 2 Rz 10.)
9Kühling/Raab in Kühling/Buchner, DSGVO/BDSG2 Art 2 Rz 18.
10Heißl in Knyrim, DatKomm, Art 2 Rz 55 (Stand 01.12.2018, rdb.at).
11ErwGr 16 DSGVO nennt diesbezüglich etwa die nationale Sicherheit betreffende Tätigkeiten.
12Laut ErwGr 18 DSGVO darf die Tätigkeit somit keinerlei Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aufweisen.
13Die Verarbeitung ist daher nicht zwingend von der Niederlassung selbst durchzuführen, sondern es ist ausreichend, dass die Tätigkeit unzertrennbar mit der betreffenden Datenverarbeitung zusammenhängt (Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 10; Leissler/Wolfbauer in Knyrim, DatKomm, Art 3 Rz 8 (Stand 01.10.2018, rdb.at)).
14Piltz in Gola, DSGVO2 Art 3 Rz 9.
15Piltz in Gola, DSGVO2 Art 3 Rz 11.
16Leissler/Wolfbauer in Knyrim, DatKomm, Art 3 Rz 7 (Stand 01.10.2018, rdb.at).
17Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 9.
18Piltz in Gola, DSGVO2 Art 3 Rz 14.
19Ein Wohnsitz ist dafür nicht Voraussetzung. Es ist ausreichend, dass sich die von der Datenverarbeitung betroffene Person innerhalb der EU bzw. im Hoheitsgebiet eines MS aufhält, auch wenn dies nur vorübergehend ist (Zerdick in Ehmann/Selmayr, DSGVO2 Art 3 Rz 17).
20Es spielt folglich keine Rolle, ob die Waren oder Dienstleistungen entgeltlich oder unentgeltlich angeboten werden.
21Klar in Kühling/Buchner, DSGVO/BDSG2 Art 3 Rz 81.
22Leissler/Wolfbauer in Knyrim, DatKomm, Art 3 Rz 16 (Stand 01.10.2018, rdb.at).
23Klar in Kühling/Buchner,