Deutscher Bundestag – 17. Wahlperiode
– 201 –
Drucksache 17/5200
n o c h Anlage 6
Konferenz der Datenschutzbeauftragten des Bundes und der Länder
„Ein modernes Datenschutzrecht für das 21. Jahrhundert“
8. Sanktionen
Die erheblichen Vollzugsdefizite im Datenschutz sind unter anderem auch
darauf zurückzuführen, dass Verstöße gegen datenschutzrechtliche Bestimmungen vielfach folgenlos bleiben. Gründe hierfür sind zum einen nicht ausreichende Sanktionsmöglichkeiten und zum anderen praktische Probleme bei der
Verhängung von Bußgeldern oder der Strafverfolgung. So sind z. B. immer
noch wichtige Datenschutzvorschriften nicht bußgeldbewehrt, Haftungsansprüche werden nur selten geltend gemacht, weil die Anspruchsteller nicht nur den
Datenschutzverstoß nachweisen müssen, sondern auch ein Verschulden der
verantwortlichen Stelle und eine konkrete Schadenshöhe. Außerdem fallen
aufgrund fehlender Zuständigkeitsregelungen oft Datenschutzaufsicht und
zuständige Bußgeldbehörde auseinander. Deswegen sind inhaltliche und verfahrensrechtliche Änderungen erforderlich, damit Daten verarbeitende Stellen
aufgrund erhöhten Risikos von sich aus intensiver auf die Einhaltung der geltenden Datenschutzvorschriften achten.
Um die Sanktionsmöglichkeiten und ihren Vollzug effizienter zu gestalten, hält
die Konferenz der Datenschutzbeauftragten des Bundes und der Länder folgende Maßnahmen für erforderlich:
•
Einführung einer Gefährdungshaftung auch für nicht-öffentliche Stellen:
o Nach § 8 Abs. 1 BDSG besteht eine verschuldensunabhängige Haftung für Datenschutzverstöße nur bei öffentlichen Stellen. Da die Gefährdung des Grundrechts auf informationelle Selbstbestimmung aber
bei nicht-öffentlichen Stellen in mindestens gleicher Weise besteht,
sollte auch für diesen Bereich eine vergleichbare Gefährdungshaftung
eingeführt werden. Die Geltendmachung von Schadensersatzansprüchen scheitert vielfach daran, dass die Betroffenen zwar einen Datenschutzverstoß nachweisen können, aber kein Verschulden.
o Konkretisieren sich in der elektronischen Datenverarbeitung immanente Risiken, kann dies nicht zu Lasten der Betroffenen gehen.
•
Einführung eines pauschalierten Schadensersatzes für Datenschutzverstöße:
Nach geltendem Recht kann nach einem Datenschutzverstoß nur dann
Schadensersatz verlangt werden, wenn der/dem Betroffenen ein konkret
bezifferbarer Schaden entstanden ist, den sie/er nachweisen muss. Immaterielle Schäden können nach § 8 Abs. 2 BDSG nur bei schweren Verletzungen des Persönlichkeitsrechts und nur gegenüber öffentlichen Stellen geltend gemacht werden. Allerdings ist dies im Einzelfall u. U. auch nach den
allgemeinen Haftungsregelungen des Bürgerlichen Gesetzbuchs möglich.
31
BfDI 23. Tätigkeitsbericht 2009-2010