Strafen nach der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) ist derzeit in aller Munde. Diese trat am 24.05.2016 in Kraft und wird ab 25.05.2018 auch in Österreich unmittelbar anwendbar sein. Ein Schwerpunkt in der medialen Berichterstattung liegt auf den Sanktionsbestimmungen der DSGVO. Tatsächlich sieht diese Geldstrafen vor, die sich ihrer Höhe nach deutlich von jenen, die nach derzeit geltender Rechtslage verhängt werden können, abheben.

Bestimmte Verstöße werden mit Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet (Artikel 83 Abs 5 DSGVO). Diese Strafen können nicht nur über global agierende Konzerne, sondern genauso über kleine und mittelständische Unternehmen verhängt werden.

Hinzutritt, dass im österreichischen Verwaltungsstrafrecht das Kumulationsprinzip gilt. Danach werden Strafen für jede Tat nebeneinander verhängt und somit addiert. Dies gilt auch, wenn durch eine Tat mehrere Bestimmungen übertreten wurden. Im schlimmsten Fall droht daher eine Gesamtstrafe, die die genannten Strafsätze deutlich übersteigt.

Ganz allgemein ist derzeit ein Trend diagnostizierbar, die Nichteinhaltung von Rechtsvorschriften mit existenzgefährdenden Geldbußen zu sanktionieren. So sieht etwa auch die Ende Februar 2016 verabschiedete Versicherungsvertriebsrichtlinie (IDD - Insurance Distribution Directive) eine Höchststrafe von mindestens EUR 5 Mio bzw. 5 % des jährlichen Gesamtumsatzes des Unternehmens bis zum Zweifachen des infolge des Verstoßes erzielten Gewinns bzw. verhinderten Verlustes vor (Artikel 33 Abs 2 e IDD).

In beiden Fällen (DSGVO und IDD) normiert der „EU-Gesetzgeber“ eine Behördenzuständigkeit für die Verhängung der Strafen. Dies steht in einem Spannungsverhältnis zur Judikatur des österreichischen Verfassungsgerichtshofes. Dieser judiziert, dass die Verhängung hoher Geldstrafen den ordentlichen Gerichten vorbehalten ist. Wenngleich er dabei keine konkrete Grenze gezogen hat, wurde eine Verwaltungsstrafe in der Höhe von EUR 72.000,00 bereits als nicht mehr zulässig erachtet. Es ist daher durchaus möglich, dass nach Ansicht des Verfassungsgerichtshofs (hohe) Strafen nach der DSGVO bzw. der IDD nur von den ordentlichen Gerichten verhängt werden können.

Die DSGVO enthält eine Ausnahmebestimmung, wonach Geldbußen zwar von der zuständigen Behörde „in die Wege geleitet“, aber letztlich von einem Gericht verhängt werden (Artikel 83 Abs 9 DSGVO). Gestützt auf diese Bestimmung könnte der österreichische Gesetzgeber das Spannungsverhältnis zwischen der DSGVO und dem nationalen Verfassungsrecht auflösen.

Derzeit ist abzuwarten, inwieweit der Gesetzgeber davon Gebrauch macht und eine Gerichtszuständigkeit im Zusammenhang mit Geldbußen nach der DSGVO vorsieht. Gleiches gilt für die IDD, die als Richtlinie einer Umsetzung in nationales Recht bedarf, wofür dem Gesetzgeber noch bis zu 23. Februar 2018 Zeit bleibt.

Losgelöst von den noch ausständigen Umsetzungsakten steht bereits jetzt fest, dass Verstöße gegen die DSGVO und die IDD mit exorbitanten Geldstrafen geahndet werden. Zusätzlich können im Ernstfall auch Schadenersatzforderungen, Imageschäden und Wettbewerbsnachteile drohen. Vor diesem Hintergrund ist (Versicherungs)unternehmen zu empfehlen, sich so früh wie möglich mit den neuen Vorgaben zu beschäftigen, um eine fristgerechte Umstellung auf die in Zukunft geltende Rechtslage zu gewährleisten und Strafen zu vermeiden.

BLS Rechtsanwälte berät Sie gerne in allen Fragen des Datenschutzrechts wie auch des Versicherungsrechts und steht Ihnen insbesondere auch bei der Vorbereitung auf die Herausforderungen der DSGVO bzw. der IDD unterstützend zur Seite.