Ab 25. Mai ist die Europäische Datenschutzgrundverordnung (DSGVO) in Deutschland geltendes Recht. Eine gesonderte Gesetzgebung des Bundes und der Länder ist dafür nicht mehr erforderlich. Dadurch werden unter anderem die Möglichkeiten der Aufsichtsbehörden ausgeweitet, bei Datenschutzverstößen empfindliche Bußgelder zu verhängen.
Bislang waren diese bei 300.000 Euro gedeckelt. Auch war nicht jeder Verstoß automatisch bußgeldpflichtig. Ab Mai stehen dagegen Bußgelder bis 20 Millionen Euro und mehr im Raum. Unternehmen können dann im Extremfall mit bis zu vier Prozent ihres weltweit erzielten Jahresumsatzes zur Kasse gebeten werden. Außerdem wurde die Haftung erheblich ausgeweitet.
Es reicht nun aus, dass ein Beschäftigter eines Unternehmens oder auch ein für ein Unternehmen agierender externer Beauftragter gegen die Verordnung verstoßen hat, um eine Firma insgesamt zu belangen. Bislang war das auf Handlungen einer Unternehmensleitung begrenzt.
Zugleich weitet die DSGVO den Unternehmensbegriff aus: Mutter- und Tochtergesellschaften werden nun als wirtschaftliche Einheit betrachtet, sodass bei der Bemessung des Bußgeldes der globale Gesamtumsatz einer Unternehmensgruppe zugrunde gelegt wird. Derartig hohe Geldbußen sind allerdings nur zu erwarten, wenn gegen ausdrückliche Anweisungen der zuständigen Datenschutzbeauftragten als Aufsichtsbehörde verstoßen wird.
Um die künftigen Auskunftsansprüche zu erfüllen, muss jedes Unternehmen, jeder Freiberufler und auch jeder Verein schriftlich oder elektronisch dokumentieren, wo überall personenbezogene Daten verarbeitet werden und wer darauf zugreifen kann. Selbst einfache Adress- und Telefonverzeichnisse dürften betroffen sein.
Ausgangspunkt der Überlegungen für die Verordnung im Europäischen Parlament war vor allem der Befund, dass die Bürger mehrheitlich kein Vertrauen mehr in die Datenverarbeitung von staatlichen und privaten Stellen haben. Das sei für den von der EU gewünschten freien Datenverkehr das größte Hindernis. Verbesserte Auskunftsrechte und mehr Transparenz bei der Datenverarbeitung solle dieses Vertrauen nun wieder herstellen.
Zu den vertrauensbildenden Maßnahmen zählt auch das Marktortprinzip. Danach gilt der europäische Datenschutz auch für Unternehmen außerhalb Europas, sobald sie hier Geschäfte tätigen. Damit liefert die Verordnung erstmals eine Rechtsgrundlage, um Anbieter wie Facebook, Amazon und andere globale Anbieter in Haftung zu nehmen. Bislang hat mit dem Hinweis auf das sogenannte „Auswirkungsprozess“ nur das Bundeskartellamt das Geschäftsgebaren von Facebook untersucht.
Die Behörde sieht eine marktbeherrschende Stellung durch den Datenaustausch des sozialen Netzwerks mit Whatsapp und der Fotoplattform Instagram, die beide zu Facebook gehören. Das Kartellamt bereitet nach eigenem Bekunden darum bereits Sanktionen gegen das Unternehmen vor, sollte es das Sammeln von Daten ohne Widerspruchsmöglichkeit der Nutzer nicht einstellen.
