Sanktionen bei Datenschutzverstößen
Bei Verstößen gegen Datenschutzbestimmungen drohen
- Unterlassungsansprüche
- Schadensersatzansprüche
- Bußgelder wegen einer Ordnungswidrigkeit
- Geld- oder Freiheitstrafe wegen einer Straftat.
Eine Straftat liegt vor, wenn Daten unrechtmäßig gegen Entgelt, in Bereicherungsabsicht oder gewerbsmäßig verarbeitet werden. Ein solcher Sachverhalt ist auch in einem Sportverein denkbar.
Beispiel: Der Verein übermittelt die Mitgliederliste an einen Sponsor, damit dieser die Mitglieder bewerben kann. Haben die Mitglieder hierzu keine Einwilligung erteilt, dürfte die Weitergabe der Daten rechtswidrig sein.
Die DS-GVO sieht einen umfangreichen Katalog an Tatbeständen vor, bei deren Vorliegen ein Bußgeld verhängt werden kann. Dabei reicht der Bußgeldrahmen bis zu 20 Millionen Euro bzw. bei Unternehmen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes.
Dass ein gemeinnütziger Sportverein mit einem Bußgeld in dieser Größenordnung belegt wird, ist doch sehr unwahrscheinlich. Die hohen Bußgelder sollen in erster Linie die sogenannten Global Player abschrecken. Gleichwohl kann den Verein auch ein Bußgeld in drei- oder vierstelliger Höhe bereits empfindlich treffen.
Die für die Ahndung zuständige Aufsichtsbehörde hat sicherzustellen, dass die Verhängung einer Geldbuße aufgrund eines Verstoßes in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Dabei sind insbesondere die folgenden Umstände gebührend zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes sowie die Anzahl der betroffenen Personen und das Ausmaß des Schadens
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- die getroffenen Maßnahmen, um den Schaden zu mindern
- den Grad der Verantwortung unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- etwaige einschlägige frühere Verstöße
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um die Auswirkungen zu mildern
- die von dem Verstoß betroffenen Kategorien der personenbezogenen Daten.
Geldbußen drohen insbesondere bei folgenden Verstößen:
- Nichtbenennung eines Datenschutzbeauftragten trotz Verpflichtung
- Verstoß gegen die Informationspflichten
- Datenverarbeitung ohne ausreichende Rechtsgrundlage, insbesondere aufgrund einer nicht ordnungsgemäßen Einwilligung.