NIFIS: Verstöße gegen Datenschutz werden drastisch teurer

Rechtsanwalt Dr. Thomas Lapp: Verantwortliche müssen mit privaten Geldbußen von bis zu 20 Mio Euro rechnen

Frankfurt am Main, 18. Juli 2017 – Verstöße gegen das Datenschutzrecht werden die Unternehmen und die verantwortlichen Führungskräfte künftig deutlich teurer kommen als bisher, sagt die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) voraus. Als Ursache nennt der NIFIS-Vorsitzende Rechtsanwalt Dr. Thomas Lapp neue Bestimmungen der Datenschutz-Grundverordnung (DSGVO), die im Mai nächsten Jahres in Kraft tritt.

Der Jurist erklärt: „Die höchste Geldbuße, die bisher jemals von einer deutschen Datenschutzbehörde verhängt wurde, war 1,3 Mio. Euro, die der Debeka Krankenversicherungsverein 2014 zahlen musste. Auf Basis der Datenschutz-Grundverordnung sind ab 2018 wesentlich höhere Bußgelder zu erwarten.“

Er weist auf die Rechtssituation: Laut Datenschutz-Grundverordnung müssen die Aufsichtsbehörden Sorge tragen, dass sie Geldbußen festsetzen, die in jedem Einzelfall wirksam, verhältnismäßig und abschreckend wirken. Demgegenüber hatte das Bundesdatenschutzgesetz nur vorgeschrieben, dass die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen muss.

Bis zu 4 Prozent des weltweiten Jahresumsatzes als Bußgeld

Der NIFIS-Vorsitzende verdeutlicht: „Der Bußgeldrahmen ist mit der DSGVO drastisch verschärft. Die beteiligten natürlichen Personen müssen mit Geldbußen bis zu 20 Millionen Euro rechnen. Bei Unternehmen ist eine umsatzbezogene Berechnung der Bußgelder möglich. Je nach Verstoß können dabei gegen Unternehmen Geldbußen von bis zu 2 bzw. 4 Prozent des weltweiten Jahresumsatzes  des vorangegangenen Geschäftsjahrs festgesetzt werden. Dabei können durchaus drastische Geldbußen herauskommen.“ Der NIFIS-Vorsitzende verweist auf den umfangreichen Katalog von Kriterien der DSGVO, nach dem die Geldbußen festzusetzen sind.

Verletzungen der Persönlichkeitsrechte künftig anerkannt

Zudem ist laut Rechtsanwalt Dr. Thomas Lapp in der Datenschutz-Grundverordnung festgelegt, dass neben materiellen auch immaterielle Schäden, die durch Verstöße gegen die Verordnung entstanden sind, zu erstatten sind. Die DSGVO erwähnt im Gegensatz zum Bundesdatenschutzgesetz ausdrücklich immaterielle Schäden. Bislang hatte der deutsche Gesetzgeber ungeachtet der Kritik daran die Datenschutzrichtlinie so umgesetzt, dass bei privater Datenverarbeitung immaterielle Schäden überhaupt nicht und bei automatisierter Datenverarbeitung durch öffentliche Stellen nur bei schweren Verletzungen des Persönlichkeitsrechts Schadensersatz in Betracht kam.

Präzedenzfall bald überholt

Der Jurist verweist auf die Entscheidung des OLG Düsseldorf (Urteil vom 21. August 2015 – I-16 U 152/14, 16 U 152/14 –, Rn. 33, juris), das auch unter Berücksichtigung von § 82 S. 2 SGB X keinen Anspruch gewährte. Vom Medizinischen Dienst der Krankenversicherung Nordrhein-Westfalen (MDK Nordrhein) war ein sozialmedizinisches Bewertungsgutachten über die Möglichkeit einer Leistungsgewährung für eine Hyperthermiebehandlung unter Berücksichtigung der Krankengeschichte der Antragstellerin eingeholt worden. Dieses Gutachten ist von der Krankenkasse in nur gering anonymisierter Form in anderen Verfahren verwendet worden. In dem Gutachten war die Person der Versicherten einschließlich ihrer Krankengeschichte nachvollziehbar. Das Gericht hatte erwogen, der Geschädigten Schadensersatz zuzusprechen, dies aber im Hinblick auf die ausdrückliche Entscheidung des deutschen Gesetzgebers abgelehnt.

Dazu der Rechtsanwalt: „Dieser Präzedenzfall wird bald überholt sein. Auf Basis der Datenschutz-Grundverordnung wird in Zukunft in solchen Fällen Schadensersatz auch für immaterielle Schäden, also für Verletzung der Persönlichkeitsrechte, zugesprochen werden.“

NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist eine neutrale Selbsthilfeorganisation, die die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte. Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien ist es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickelt die NIFIS seit ihrer Gründung im Jahr 2005 unterschied­liche Konzepte und setzt diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählen die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.