Vertragsstrafe – teure Folge der Unterlassungserklärung
Was genau eine Vertragsstrafe ist, wie sie typischerweise ausgestaltet wird und welche Akteure Sie kennen sollten, erfahren Sie in diesem Rechtstipp.
Seit dem 25. Mai 2018 gilt innerhalb der Europäischen Union die Datenschutz-Grundverordnung (DSGVO). Hauptziel der Verordnung war es, den Schutz der personenbezogenen Daten der EU-Bürger zu stärken, die Rechtsvorschriften an die sich rasch entwickelnde digitale Realität anzupassen und die Datenschutzvorschriften in der gesamten Union zu harmonisieren. Sechs Jahre später ist es nun möglich zu bewerten, welche Auswirkungen die Verordnung hatte, welche Herausforderungen aufgetreten sind und welche Perspektiven für die Zukunft bestehen.
Erfolge der DSGVO
Stärkung der Rechte für EU-Bürger bei der Datenverarbeitung
Die DSGVO hat das Bewusstsein der EU-Bürger für ihre Datenschutzrechte erheblich gestärkt. Wichtige Rechte wie das Auskunftsrecht, das Recht auf Datenübertragbarkeit und das Recht auf Löschung der personenbezogenen Daten (auch bekannt als „Recht auf Vergessenwerden“) sind heute fest verankert und werden zunehmend in Anspruch genommen. EU-Bürger haben dadurch mehr Kontrolle über ihre persönlichen Daten und können besser nachvollziehen, wie diese verarbeitet und verwendet werden.
Erhöhung der Transparenz
Die DSGVO hat Unternehmen, die in der EU tätig sind, zu mehr Transparenz bei der Verarbeitung personenbezogener Daten gezwungen. Die für die Datenverarbeitung Verantwortlichen müssen sicherstellen, dass Nutzer ausführlich über den Zweck der Datenerhebung, die Dauer der Datenspeicherung und ihre Rechte als betroffene Personen informiert werden. Dies gibt den Nutzern einen besseren Einblick in die Verarbeitung ihrer personenbezogenen Daten und ermöglicht ihnen, fundiertere Entscheidungen zu treffen.
Hohe Bußgelder bei Verstößen
Ein bedeutendes Merkmal der DSGVO sind die hohen Bußgelder bei Verstößen. Unternehmen, die gegen die Vorschriften verstoßen, können mit Strafen von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist. Diese strengen Sanktionen haben dazu beigetragen, dass Unternehmen Datenschutz ernst nehmen und ihre Compliance-Bemühungen verstärken. Prominente Fälle, wie die hohen Strafen gegen Google und Facebook, zeigen, dass die Aufsichtsbehörden bereit sind, bei Verstößen gegen die DSGVO konsequent durchzugreifen.
Einheitlicher Datenschutzrahmen in der EU
Vor der DSGVO gab es in der EU eine Vielzahl unterschiedlicher Datenschutzgesetze, was den grenzüberschreitenden Datenverkehr und die Zusammenarbeit erschwerte. Die DSGVO hat einen einheitlichen Rechtsrahmen geschaffen, der dies erheblich erleichtert. Unternehmen müssen sich nicht mehr auf eine Vielzahl nationaler Vorschriften einstellen, sondern können sich auf einen einheitlichen Standard stützen.
Herausforderungen der DSGVO
Komplexität und Umsetzungskosten
Viele kleine und mittelständische Unternehmen kämpfen mit der Komplexität der DSGVO und den damit verbundenen Kosten. Die Anforderungen an die Dokumentation und den Nachweis der Einhaltung sind oft schwer zu erfüllen, insbesondere für Unternehmen, die nicht über die nötigen Ressourcen verfügen. Dies hat zu einer gewissen Überforderung vieler Unternehmen geführt und stellt ein Hindernis für die vollständige Umsetzung der Vorschriften dar.
Durchsetzung und Überwachung
Obwohl die DSGVO strenge Sanktionen vorsieht, ist die Durchsetzung nicht immer effektiv. Viele nationale Datenschutzbehörden sind personell und finanziell nicht ausreichend ausgestattet, um alle Verstöße umfassend und konsequent zu verfolgen. Dies wiederum kann zu Ungleichheiten bei der Durchsetzung der Sanktionen in den unterschiedlichen Mitgliedstaaten führen.
Lange Informationsklauseln
Ein oft genanntes Problem sind die langatmigen Informationsklauseln, die die Unternehmen bei „jeder Gelegenheit“ einfügen müssen, die aber außer den Datenschutzjuristen niemand liest. Leider erweist sich die vermeintliche Informationsfunktion manchmal als etwas illusorisch. Nach Ansicht einiger Unternehmensvertreter tragen Klauseln in dieser Form in keiner Weise zur Sensibilisierung der Betroffenen bei. Das ändert sich erst, wenn es zu einem Streitfall oder einer Beschwerde seitens der betroffenen Person kommt. Dann wird tatsächlich auf diese Inhalte zurückgegriffen, um den Datenschutzverantwortlichen zur Rechenschaft zu ziehen. Einige Unternehmer fordern daher, dass die Pflicht des Datenschutzverantwortlichen nicht darin bestehen sollte, bei jeder Gelegenheit eine „Wand von Text“ zu veröffentlichen, sondern den betroffenen Personen eine einfache und ständige Zugangsmöglichkeit zu bieten, wenn sie diese Informationen tatsächlich benötigen oder anfordern.
Die größten Bußgelder
Insgesamt 2.086 Verstöße und Bußgelder in Höhe von fast 4,5 Milliarden Euro – das ist die Sechs-Jahres-Bilanz der DSGVO-Verstöße in der EU laut einer Analyse der Kanzlei CMS, basierend auf gesammelten Daten aus der GDPR Enforcement Tracker Datenbank.
Bei deutschen Unternehmen wurden insgesamt 186 Verstöße festgestellt, die mit Bußgeldern in Höhe von insgesamt 55 Millionen Euro bestraft wurden. Größter Verstoß: Der Online-Shop von H&M wurde wegen unzureichender Rechtsgrundlage für die Datenverarbeitung zu einem Bußgeld von 35 Millionen Euro verurteilt.
EU-Spitzenreiter bei Verstößen gegen die DSGVO ist mit Abstand Meta. Sechs der zehn höchsten Bußgelder entfallen dabei auf das Unternehmen – vier bei Meta, eins bei Facebook und eins bei WhatsApp. 2023 kostetet der schwerwiegendste Verstoß Meta 1,2 Milliarden Euro wegen unzureichender Rechtsgrundlage für die Datenverarbeitung.
Aber auch andere große Unternehmen wurden bereits sanktioniert: 2021 musste Amazon in Luxemburg 746 Millionen Euro an die Datenschutzbehörde zahlen. Google wurde im selben Jahr gleich zweimal wegen Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung sanktioniert, die Bußgelder beliefen sich dabei auf insgesamt 150 Millionen Euro. Für ähnliche Verstöße gegen die DSGVO musste TikTok 2023 rund 345 Millionen Euro zahlen.
Mit 635 Fällen seit 2018 und Bußgeldern in Höhe von insgesamt 1,6 Milliarden Euro ist die häufigste Bußgeldursache eine unzureichende Rechtsgrundlage für die Datenverarbeitung, dicht gefolgt von der Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung mit 578 Fällen und Gesamtkosten von 2 Milliarden Euro.
Blick in die Zukunft
Anpassung an neue Technologien
Die rasante Entwicklung neuer Technologien stellt die DSGVO vor neue Herausforderungen. Künstliche Intelligenz, Cybersicherheit, Big Data und das Internet der Dinge werfen Fragen auf, die von der DSGVO nicht immer klar beantwortet werden. Um mit dem technologischen Fortschritt Schritt zu halten, müssen zukünftig neue Leitlinien der Datenschutzaufsichtsbehörden und neue EU-Verordnungen auf diese Themen stärker eingehen.
Internationale Zusammenarbeit
Eine internationale Zusammenarbeit im Datenschutz ist für einen effektiven und vor allem sicheren grenzüberschreitenden Datenverkehr unerlässlich. Die EU strebt aus diesem Grund verstärkt Abkommen mit Drittstaaten an, um einen vergleichbaren Datenschutzstandard zu fördern und den grenzübergreifenden Datentransfer zu erleichtern und gleichzeitig besser zu schützen. Solche Abkommen sollen sicherstellen, dass personenbezogene Daten auch außerhalb der EU angemessen geschützt werden. Im Juli 2023 hat die Europäische Kommission einen lang erwarteten Angemessenheitsbeschluss für den Datenschutzrahmen EU-USA angenommen (EU-US Data Privacy Framework). Darin wird festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die innerhalb des neu festgelegten Rahmens aus der EU an US-Unternehmen übermittelt werden.
Stärkere Unterstützung für kleine und mittelständische Unternehmen
Um kleinen und mittleren Unternehmen die Einhaltung der DSGVO zu erleichtern, wären zusätzliche Unterstützungs- und Sensibilisierungsmaßnahmen durch die Datenschutzaufsichtsbehörden und die branchenspezifischen Wirtschaftsverbände sinnvoll. Neben speziellen Schulungen, könnten auch die Entwicklung kostengünstiger Compliance-Tools dazu gehören, die individuell auf die Bedürfnisse kleinerer Unternehmen zugeschnitten sind.
Fazit
Sechs Jahre nach ihrem Inkrafttreten hat die DSGVO die Landschaft des Datenschutzes in Europa und darüber hinaus nachhaltig verändert. Sie hat die Rechte der Verbraucher gestärkt, zu mehr Transparenz beigetragen und durch hohe Sanktionen dafür gesorgt, dass Unternehmen Datenschutz ernst nehmen. Trotz dieser Erfolge gibt es weiterhin Herausforderungen, insbesondere in Bezug auf die Komplexität der Vorschriften, die Durchsetzung und die Anpassung an neue Technologien und die sich ständig wandelnde digitale Welt. Durch internationale Zusammenarbeit und gezielte Unterstützung für kleine und mittlere Unternehmen, kann die DSGVO weiterhin ein wirksames Instrument zum Schutz der Datenrechte in einer zunehmend digitalisierten Welt bleiben.
25.06.24
