7. Sanktionen
Die DSGVO ist kein zahnloser Tiger – auch wenn zuweilen der Eindruck entsteht. Sie sieht verschiedene Sanktionen vor.
7.1 Überblick
Die DSGVO sieht verschiedene Instrumente vor, wie ihr Geltung verschafft werden kann:
- Verwaltungsrechtliche Anordnungen der Datenschutzaufsichtsbehörden (Art. 58 DSGVO)
- Nach Art. 83 DSGVO können Geldbußen verhängt werden.
- Nach Art. 82 DSGVO können betroffene Personen (auch immaterielle) Schadensersatzansprüche geltend machen.
7.2 Maßnahmen der Datenschutzaufsichtsbehörden
Art. 58 DSGVO sieht verschiedene Instrumente für die Datenschutzaufsichtsbehörden vor, auf welche Weise die Einhaltung der DSGVO durchgesetzt werden kann. Hierbei handelt es nicht um Sanktionen „Sanktionen“ im eigentlichen Sinn, also bspw. Geldbußen oder Schmerzensgeld, dennoch können die erteilten Maßnahmen empfindliche Auswirkungen auf das Geschäftsabläufe des E-Mail-Marketers haben. So kann für die weitere Verarbeitung – also Nutzung für Direktwerbung – angeordnet werden, dass diese dahingehend zu verändern ist, dass sie mit der DSGVO in Einklang steht.
Das OVG Saarlouis bestätigt beispielsweise eine Anordnung der Datenschutzaufsichtsbehörde, die sowohl die Verwendung der Daten für Direktwerbung (im konkreten Fall: Telefonwerbung) als auch die Löschung dieser Daten anordnete (OVG Saarlouis, Beschl. v. 16. Februar 2021, Az. 2 A 355/19).
Diese Maßnahmen können nach den nationalen Verwaltungsvollstreckungsgesetzen auch erzwungen werden. Hierfür kommen vor allem Zwangsgelder in Betracht. Diese Zwangsgelder können neben Geldbußen angeordnet werden und stellen damit ein zusätzliches finanzielles Risiko dar.
7.3 Verhängte Sanktionen aufgrund von DSGVO-Verstößen
Die Datenschutzaufsichtsbehörden können nach Art. 83 DSGVO Geldbußen von bis zu 10 Mio. bzw. 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 bzw. 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist, verhängen. Welcher Sanktionsrahmen zur Anwendung kommt, hängt davon ab, gegen welche Regelung verstoßen wird. Für Verstöße bspw. gegen die Zulässigkeitsvoraussetzung und die Transparenzpflichten greift der größere Rahmen.
Ein erhebliches, in Deutschland verhängtes Bußgeld ist bspw. das Bußgeld des LfDI Baden-Württemberg gegen AOK Baden-Württemberg mit Bescheid vom 25.06.2020 in Höhe von 1.240.000,- Euro, in dem es auch um Einwilligungen in die werbliche Nutzung von Daten ging (siehe https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung, Link mit Stand vom 25.04.2022).
Daraus wird deutlich, dass bei Nichteinhaltung der DSGVO-Vorschriften ein erhebliches Sanktionsrisiko droht.
7.4 Schmerzensgeld statt Bußgeld
Aktuell „populärer“ und wohl auch risikoträchtiger sind Schadensersatzansprüche der betroffenen Personen nach Art. 82 DSGVO, wenn deren Daten unter Verstoß gegen die DSGVO zur Direktwerbung oder zum Profiling bzw. Zur Analyse genutzt werden. Hierfür kann grundsätzlich jeder Verstoß gegen die DSGVO genügen – die Einzelheiten sind zwar noch umstritten und „liegen“ aktuell beim EuGH zur Entscheidung. Aber das Risiko, in Anspruch genommen zu werden, ist hoch. Besonders häufig beklagt und Schadenersatzansprüche gestellt werden bei unzulässiger Zusendung von Direktwerbung, Verletzung der proaktiven Informationspflichten nach Artt. 13, 14 DSGVO und Fehler bei der Auskunftserteilung nach Art. 15 DSGVO. Neben der Frage, ob der bloße Verstoß oder erst ein darzulegender „Schmerz“ Voraussetzung ist, wird vor allem diskutiert, ob der Schadensersatzanspruch auch eine „strafende“ Komponente hat. Das macht den Anspruch gefährlich. Im Bejahensfall können hieraus hohe Schmerzensgelder resultieren.
Das Amtsgerichts Pfaffenhofen hat in seinem Urteil vom 9.9.2021 (Az.: 2 C 133/21) bspw. für eine (!) unverlangt zugesendete E-Mail einen immateriellen Schadensersatzanspruch in Höhe von Euro 300,00 angenommen. Wenngleich diese Entscheidung rechtliche Fragen aufwirft, macht sie das Risiko entsprechender Klageverfahren deutlich.
Eine Besonderheit ist auch der Unterschied zum Bußgeld. Während das Bußgeld nur einmal bestraft, gibt es den Strafzuschlag im schlimmsten Fall bei jedem Anspruch jeder betroffenen Person plus die Rechtsanwaltskosten in jedem Einzelfall.
7.5 Zusammenfassung
Der beste Schutz ist Datenschutz-Compliance. Aber Fehler passieren dennoch. Marketing ist typischerweise innovativ und dadurch risikonah, daher ist es entscheidend, richtig zu handeln, wenn „das Kind in den Brunnen gefallen“ ist. Denn durch die adäquate Reaktion auf einen Vorfall oder Vorwurf lässt sich die Wirkung der vorgenannten Risiken eindämmen.