Rechtsanwalt Dr. Thomas Lapp weist darauf hin: Verantwortliche müssen mit privaten Geldbußen von bis zu 20 Mio Euro rechnen! In einem Beitrag im Internet wird auf die im Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) hingewiesen ( Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG). Der deutsche Gesetzgeber hat reagiert und das Datenschutzrecht angepasst (https://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl&jumpTo=bgbl117s2097.pdf#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27%5D__1500448112131)

Der Jurist erklärt: „Die höchste Geldbuße, die bisher jemals von einer deutschen Datenschutzbehörde verhängt wurde, war 1,3 Mio. Euro, die der Debeka Krankenversicherungsverein 2014 zahlen musste. Auf Basis der Datenschutz-Grundverordnung sind ab 2018 wesentlich höhere Bußgelder zu erwarten.“
Er weist auf die Rechtssituation: Laut Datenschutz-Grundverordnung müssen die Aufsichtsbehörden Sorge tragen, dass sie Geldbußen festsetzen, die in jedem Einzelfall wirksam, verhältnismäßig und abschreckend wirken. Demgegenüber hatte das Bundesdatenschutzgesetz nur vorgeschrieben, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen muss.

Bis zu 4 Prozent des weltweiten Jahresumsatzes als Bußgeld

„Der Bußgeldrahmen ist mit der DSGVO drastisch verschärft. Die beteiligten natürlichen Personen müssen mit Geldbußen bis zu 20 Millionen Euro rechnen. Bei Unternehmen ist eine umsatzbezogene Berechnung der Bußgelder möglich. Je nach Verstoß können dabei gegen Unternehmen Geldbußen von bis zu 2 bzw. 4 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs festgesetzt werden. Dabei können durchaus drastische Geldbußen herauskommen.“ Der NIFIS-Vorsitzende verweist auf den umfangreichen Katalog von Kriterien der DSGVO, nach dem die Geldbußen festzusetzen sind.
Verletzungen der Persönlichkeitsrechte künftig anerkannt

Zudem ist laut Rechtsanwalt Dr. Thomas Lapp in der Datenschutz-Grundverordnung festgelegt, dass neben materiellen auch immaterielle Schäden, die durch Verstöße gegen die Verordnung entstanden sind, zu erstatten sind. Die DSGVO erwähnt im Gegensatz zum Bundesdatenschutzgesetz ausdrücklich immaterielle Schäden. Bislang hatte der deutsche Gesetzgeber ungeachtet der Kritik daran die Datenschutzrichtlinie so umgesetzt, dass bei privater Datenverarbeitung immaterielle Schäden überhaupt nicht und bei automatisierter Datenverarbeitung durch öffentliche Stellen nur bei schweren Verletzungen des Persönlichkeitsrechts Schadensersatz in Betracht kam.