Die neue EU-Datenschutz-Grundverordnung (DS-GVO)

Transkript

1 Die neue EU-Datenschutz-Grundverordnung (DS-GVO) (Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG) Am 14. April 2016 haben Parlament und Rat der Europäischen Union die neue DS- GVO beschlossen. Sie wurde am im Amtsblatt der Europäischen Union veröffentlicht und trat 20 Tage später, am , in Kraft. Ihre unmittelbare Wirkung im gesamten EU-Beitrittsgebiet entfaltet die Verordnung ab dem 25. Mai Zu beachten sind jedoch auch die nationalen Datenschutzbestimmungen, da die Mitgliedsstaaten in vielen Bereichen von den Europäischen Standards abweichen können, z. B. beim Datenschutzbeauftragten. Bis zu 25. Mai 2018 haben die Unternehmen, einschließlich der Sozialunternehmen Zeit, ihre Geschäftsprozesse den Neuerungen anzupassen. Eine frühzeitige Befassung mit dem Thema wird empfohlen, da Verstöße gegen Datenschutzregeln, insbesondere auch im Hinblick auf das in Deutschland neu eingeführte Datenschutzverbandsklagerecht leichter und mit empfindlichen Bußgeldern in Höhe von bis zu 4 % des weltweiten Jahresumsatzes geahndet werden können. Nachfolgend sollen die wesentlichen Eckpunkte der neuen Verordnung zusammengefasst werden: I. Anwendungsbereich der DS-GVO 1. Personenbezogene Daten Die DS-GVO bezieht sich, wie die bisher geltende EU-Datenschutz-Richtlinie, nur auf personenbezogene Daten, also Daten von Privatpersonen. Anonymisierte Daten weisen grundsätzlich keinen Personenbezug auf und sind daher aus dem Anwendungsbereich der Verordnung ausgenommen. Dies gilt nicht, wenn Dritte mit zumutbarem Aufwand aus den anonymisierten Daten einen Personenbezug herstellen können. Es ist Aufgabe des Datenverarbeiters, dies fortlaufend zu kontrollieren. Die Verwendung von Pseudonymen und die Verschlüsselung von Daten ändert am Personenbezug nichts, sofern ein Rückbezug zur Person möglich bleibt. Verschlüsselung und Pseudonymisierung können aber eine notwendige und verhältnismäßige Maßnahme des Datenschutzes darstellen und die Rechtmäßigkeit der Datenverarbeitung begründen. So etwa in Artikel 6 Abs. 4 e) Artikel 25 Abs. 1, Artikel 32 Abs. 1a, Artikel 40 Abs. 2d, Artikel 89 Abs. 1 EU-DSGVO.

2 2 Besonders strenge Regeln sieht die Verordnung für besonders sensible Daten vor (siehe unten: II.1.c). Hierunter fallen etwa Gesundheitsdaten, religiöse Einstellungen, die Zugehörigkeit zu einer Gewerkschaft etc. und nun auch biometrische Daten. 2. Bereichsausnahmen, Artikel 1 Abs. 2 4 und Art DS-GVO Folgende Bereiche unterfallen u. a. nicht der Verordnung oder es ist den Mitgliedsstaaten freigestellt, insofern eine besondere Regelung zu treffen: - familiärer und privater Bereich, - Strafverfolgung, -prävention und -vollstreckung, - Archiv-, Forschungs- und statistische Zwecke - Arbeitnehmerdatenschutz, - Berufsgeheimnisträger (Rechtsanwälte, Steuerberater, Ärzte etc.), - freie Meinungsäußerung und Informationsfreiheit, einschließlich der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken; Mitgliedsstaaten haben das Recht der freien Meinungsäußerung und die Informationsfreiheit durch nationale Abweichungen und Ausnahmen von den Vorschriften der EU-DSGVO mit dieser in Einklang zu bringen. 3. Begriffsbestimmung Begriffsbestimmungen enthält Artikel 4 DS-GVO, so z. B. für die Begriffe personenbezogene Daten, Verarbeitung, Profiling, für die an der Datenverarbeitung beteiligten Personen, biometrische Daten etc. II. Prinzipien der Datenverarbeitung, Rechte der betroffenen Privatpersonen und Pflichten der Verantwortlichen Prinzipien der Datenverarbeitung sind in Artikel 5 Abs. 1 DS-GVO genannt. Ihre Einhaltung muss der für die Datenverarbeitung Verantwortliche nach Abs. 2 der Vorschrift nachweisen. Die Prinzipien spiegeln sich in den nachfolgenden Artikeln über die Rechte der Betroffenen und die Pflichten der Verantwortlichen wieder und lauten wie folgt: - Rechtmäßig, Treu und Glauben, Transparenz - Zweckbindung - Datenminimierung - Richtigkeit - Speicherbegrenzung (neu) - Integrität und Vertraulichkeit durch angemessene Sicherheit der Datenverarbeitung (neu) 1. Rechtmäßigkeit der Datenverarbeitung, Einwilligung Damit die Datenverarbeitung rechtmäßig ist, müssen besondere Voraussetzungen erfüllt sein. Für Unternehmen, einschließlich Sozialunternehmen sind insbesondere zwei Bedingungen von besonderer Bedeutung:

3 3 - Entweder ist die Einwilligung der betroffenen Personen zur Datenverarbeitung für bestimmte Zwecke einzuholen, Artikel 6 Abs. 1a DS-GVO oder - die Datenverarbeitung ist zur Erfüllung eines Vertrages oder für von der betroffenen Person gewünschten vorvertraglichen Maßnahmen erforderlich, Artikel 6 Abs. 1b DS-GVO. a) Einwilligung, Artikel 7 und 4 Nr. 11 DS-GVO Für eine wirksame Einwilligung des Betroffenen muss ein eindeutig bestätigende Erklärung oder Handlung vorliegen, mit der die betroffene Person ihr Einverständnis für einen bestimmten Fall der Datenverarbeitung zu einem bestimmen Zweck zu verstehen gibt. Die Einwilligung muss freiwillig sein. Freiwilligkeit setzt voraus, dass die betroffene Person hinreichend über die Folgen ihrer Willensbekundung informiert ist. Schweigen oder eine Opt-out-Entscheidung können daher nicht mehr als Einwilligung verstanden werden. Das Ankreuzen eines Kästchens ( ticking the box ) soll nach Erwägungsgrund 32 jedoch der DS-GVO weiterhin genügen. Dass Browservoreinstellungen ausreichen, ist hingegen eher zweifelhaft. Freiwilligkeit liegt nicht vor, wenn ein Vertragsschluss von der Erteilung der Einwilligung abhängig gemacht wird, obwohl die betreffenden Daten für die Erfüllung des Vertrages nicht erforderlich sind. Der Verantwortliche hat die Einwilligung nachzuweisen. Wird die Einwilligung schriftlich eingeholt, so muss dies in verständlicher, leicht zugänglicher Form in klarer und einfacher Sprache erfolgen und von anderen Sachverhalten unterschieden werden. Die Einwilligung kann jederzeit widerrufen werden. Der Widerruf wirkt jedoch nur für die Zukunft und hat auf die Rechtmäßigkeit der Datenverarbeitung in der Zeit vor dem Widerruf keinen Einfluss. Mit dem Widerruf dürfen keine Nachteile verknüpft werden, da ansonsten die Freiwilligkeit der Einwilligung in Rede steht. b) Einwilligung eines Kindes, Artikel 8 DS-GVO Kinder können bei Angeboten, die ihnen direkt gemacht werden, ohne die Zustimmung ihrer Erziehungsberechtigten spätestens ab dem 16. Lebensjahr selbst in die Datenverarbeitung einwilligen. Die EU-Mitgliedsstaaten können diese Altersgrenze bis auf das 13. Lebensjahr absenken. Die für die Datenverarbeitung Verantwortlichen müssen sich im Rahmen angemessener Anstrengungen und der zum Einsatzzeitpunkt verfügbaren Technik vergewissern, dass die Einwilligung durch die Erziehungsberechtigten oder das Kind selbst (bei entsprechendem Alter) wirksam erteilt wurde. Offen, und damit das Risiko der Unternehmen, bleibt die Frage, wann ein direkt an Kinder gerichtetes Angebot vorliegt insbesondere, ob auch allgemein ein Angebot an jedermann erfasst ist, etwa von sozialen Netzwerken wie Facebook.

4 4 c) Besonders sensible Daten, Artikel 9 DS-GVO Soziale Einrichtungen dürften es oft mit besonders sensiblen Daten ihrer Klienten zu tun haben, so dass die einschlägigen Vorschriften für sie von besonderer Bedeutung sind. Besonders sensible Daten sind: personenbezogene Daten über die rassische und ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder sexuellen Orientierung. Die Verarbeitung besonders sensibler Daten ist grundsätzlich untersagt, sofern kein Ausnahmetatbestand vorliegt. Die Verarbeitung besonders sensibler Daten ist nach Artikel 9 Abs. 2 DS-GVO beispielsweise gerechtfertigt: - wenn eine ausdrückliche Einwilligung hierzu erteilt wurde (a), - zur Ausübung von Rechten und Pflichten aus dem Arbeitsrecht oder des Sozialschutzes (b), - für Stiftungen, Vereine und sonstige gemeinnützige Organisationen mit einer politischen, weltanschaulichen, religiösen oder gewerkschaftlichen Ausrichtung im Rahmen ihrer rechtmäßigen Tätigkeit und in Bezug auf ihre aktuellen und ehemaligen Mitglieder sowie auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, [sofern] die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offen gelegt werden (d), - zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (f), - für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, auch im Gesundheits- und Sozialbereich (h). Die Mitgliedsstaaten können auf nationaler Ebene schärfere Anforderungen an die Verarbeitung besonders sensibler Daten stellen. 2. Informationspflichten und Transparenzgrundsatz Im Zusammenhang mit der Datenverarbeitung ist der Verantwortliche zur Transparenz verpflichtet. a) Informationspflichten gegenüber der betroffenen Person Informationspflichtig ist der Verantwortliche gegenüber der betroffenen Person. Er hat ihr nach Artikel 14 f. DS-GVO die Eckdaten des Verarbeitungsprozesses mitzuteilen (den Verantwortlichen, den Verarbeitungszweck, die Empfänger etc.), grundsätzlich unabhängig davon, ob die Daten direkt bei dem Betroffenen oder auf andere Weise erhoben werden. Macht der Betroffene sein Auskunftsrecht nach Artikel 15 DS-GVO geltend, so muss der Verantwortliche weitere Informationen zur Verfügung stellen, etwa die Bestätigung, dass die Verarbeitung tatsächlich stattfindet, über die geplante Speicherdauer, weitere Rechte und Rechtsbehelfe, die Herkunft der Daten sowie darüber, ob eine Entscheidungsfindung im automatisierten

5 5 Verfahren, z. B. durch Profiling erfolgt. Macht die betroffene Person weitere Rechte auf Artikel DS-GVO geltend, etwa das Recht auf Berichtigung oder Löschung oder Übertragung von Daten oder sein Widerspruchsrecht, so muss der Verantwortliche ihn nach Artikel 12 Abs. 3 über die ergriffenen Gegenmaßnahmen unverzüglich, grundsätzlich innerhalb eines Monats informieren. Die Information hat nach Artikel 12 Abs. 1, 5 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich zu erfolgen. Lediglich im Falle eines Rechtsmissbrauches, den der Verantwortliche jedoch nachzuweisen hat, kann die Information nach Artikel 12 Abs. 5 DS-GVO verweigert oder ein angemessenes Entgelt verlangt werden. Zudem muss der Verantwortliche nach Artikel 19 DS-GVO den Empfängern von personenbezogenen Daten mitteilen, wenn er die Daten berichtigt oder ihre Verarbeitung einschränkt, sofern die Mitteilung nicht unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist. Ferner treffen den Verantwortlichen Dokumentations- und Informationspflichten gegenüber den Aufsichtsbehörden. Er hat nach Artikel 30 DS-GVO ein Verzeichnis über die Datenverarbeitungstätigkeiten zu führen, das auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen ist. Nach Artikel 31 DS-GVO müssen die Verantwortlichen auf Anfrage mit der Aufsichtsbehörde zusammenarbeiten und Datenschutzverletzungen der Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden melden. Der Verantwortliche hat die Aufsichtsbehörde zu konsultieren, wenn die Datenverarbeitung mit einem hohen Risiko für die betroffenen natürlichen Personen verbunden ist, sofern er keine Gegenmaßnahmen trifft. Der Verantwortliche hat der betroffenen Person nach Artikel 34 DS-GVO unverzüglich mitzuteilen, wenn eine Datenschutzverletzung voraussichtlich mit einem sehr hohen Risiko für die persönlichen Rechte und Freiheiten der Person verbunden ist. Dies gilt nicht, wenn effektive Gegenmaßnahmen ergriffen werden (z. B. Verschlüsselung) oder wenn die Informationen mit unverhältnismäßigem Aufwand verbunden sind und die Verletzung öffentlich bekanntgegeben wird. 3. Weitere Rechte der betroffenen Personen Neben einer Auskunft kann die von der Datenverarbeitung betroffene Person verlangen: - Berichtigung und Vervollständigung ihrer Daten, Artikel 16 DS-GVO, - Löschung ihrer Daten in bestimmten Fällen, Artikel 17 DS-GVO, - Recht auf Einschränkung der Verarbeitung in bestimmten Fällen, Artikel 18 DS- GVO, - Herausgabe der Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur barrierefreien Übermittlung an einen anderen Verantwortlichen oder die direkte Übermittlung an einen anderen Verantwortlichen. Voraussetzung ist, dass die Verarbeitung auf einer Einwilligung beruht und mit Hilfe eines

6 6 automatisierten Verfahrens erfolgt sowie dass die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden, Artikel 20 DS-GVO, - nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Datenverarbeitung beruht (Beispiel: Profiling), sofern keine Ausnahmetatbestand vorliegt, Artikel 22 DS-GVO. - Die betroffene Person kann zudem gegen die Verarbeitung der sie betreffenden personenbezogenen Daten jederzeit Widerspruch einlegen, aus Gründen, die sich aus ihrer besonderen Situation ergeben. Der Widerspruch ist ohne Einschränkungen möglich, wenn es um die Datenverarbeitung zum Zwecke von Direktwerbung geht, insbesondere auch durch automatisierte Auswahl durch Profiling, Artikel 21 DS-GVO. Relevant für Sozialunternehmen sind die Regelungen zu Direktwerbung und Profiling, wenn es z. B. um die Werbung um Spendengelder und Investoren geht. III. Organisatorische Anforderungen 1. Technische und organisatorische Anforderungen Der für die Datenverarbeitung Verantwortliche hat in mehrfacher Hinsicht geeignete technische und organisatorische Maßnahmen durchzuführen, um die Grundsätze der Datenverarbeitung sowie die Rechte und Freiheiten der betroffenen Personen sicherzustellen bzw. ihre Risiken einzudämmen, vgl. Kapitel 4 der Verordnung. Zu den Maßnahmen kann die Pseudonymisierung personenbezogener Daten zählen. Weitere Ausführungen, welche Maßnahmen geeignet sind, macht die Verordnung nicht. 2. Mehrere Verantwortliche Sind nach Artikel 26 der Verordnung mehrere verantwortlich, müssen sie eine Vereinbarung treffen und den betroffenen Personen zur Verfügung stellen, in der u. a. geregelt ist, wer welchen Informationspflichten nachkommt und wer die Anlaufstelle für die betroffene Person bereit hält. Nimmt der Verantwortliche zur Datenverarbeitung einen Dritten in Anspruch, so muss er durch verschiedene Maßnahmen sicherstellen, dass auch dieser die Anforderungen der Verordnung einhält, Artikel 28 DS-GVO. Dieser sog. Auftragsverarbeiter ist grundsätzlich verpflichtet, die Daten ausschließlich im Rahmen der Weisung des Verantwortlichen zu verarbeiten, Artikel 29 DS-GVO. 3. Datenschutz-Folgenabschätzung, Artikel 35 DS-GVO Bei einem voraussichtlich hohen Risiko der Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche eine Daten- Folgenabschätzung vorzunehmen. Dies gilt insbesondere bei Verwendung neuer Technologien. Dies ist zum Beispiel notwendig bei der Verarbeitung besonders sensibler Daten (Abs. 3b) sowie bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung, einschließlich Profiling begründet (Abs. 3a). Die Aufsichtsbehörde soll

7 7 Positiv- wie Negativlisten erstellen, welche den Verantwortlichen die Beurteilung erleichtert, wann ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt (Abs. 4 und 5). Bei der Entscheidung, ob und welche Maßnahmen zur Risikominimierung zu treffen sind, holt der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Person ein (Abs. 9) und konsultiert die Aufsichtsbehörde (Artikel 36 DS-GVO). 4. Datenschutzbeauftragter, Artikel DS-GVO In Deutschland ist ein Datenschutzbeauftragter zwingend zu benennen, 4 f Abs. 1 BDSG. Eine solch zwingende Regelung ist von Artikel 37 Abs. 4 Satz 1, 1. Halbsatz DS-GVO gedeckt. 5. Selbstregulierung Die Verordnung erkennt das Problem an, dass die Einhaltung der Verordnung für Kleinstunternehmen sowie kleinere und mittlere Unternehmen mit einem relativ hohen bürokratischen Aufwand verbunden ist. Um diesen möglichst gering zu halten, werden zwei Möglichkeiten der Selbstregulierung zur Verfügung gestellt: a) Verhaltensregeln, Artikel 40 f. DS-GVO Zum einen können Verbände und andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen und Auftragsverarbeitern vertreten, verordnungskonforme Verhaltensregeln für die Datenverarbeitung ausarbeiten, ändern und ergänzen. Die Verhaltensregeln können ein außergerichtliches Streitbeilegungsverfahren vorsehen, Artikel 40 Abs. 2k DS-GVO. Die Verhaltensregeln werden von der Aufsichtsbehörde geprüft und bei Konformität mit der DS-GVO genehmigt und veröffentlicht, Artikel 40 Abs. 5 und 6 DS-GVO. Die EU-Kommission hat nach Artikel 40 Abs. 9 DS-GVO die Möglichkeit, die Allgemeingültigkeit der Verhaltensregeln für das gesamte Unionsgebiet zu beschließen. Die Einhaltung der Verhaltensregeln wird nach Artikel 41 DS-GVO durch eine fachliche und unabhängige Stelle überwacht. b) Zertifizierung, Artikel 42 f. DS-GVO Zudem wird die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datensiegeln und -prüfzeichen gefördert. Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. c) Wirkung Artikel 42 Absatz 4 stellt klar, dass die Verantwortung, die Regelungen der DS-GVO einzuhalten, durch eine Zertifizierung nicht gemindert wird. Unklar bleibt demgegenüber, ob die Einhaltung akkreditierter Verhaltensregeln nach Artikel 40 die Verantwortlichkeit für Datenschutzverletzungen per se entfallen lässt. Denn an mehreren Stellen nennt die DS-GVO sowohl die Einhaltung der Verhaltensregeln als auch die Zertifizierung nur als geeigneten Nachweis für die Einhaltung der DS- GVO. So etwa in: Artikel 24 Abs. 3 und Artikel 32 Abs. 3 DS-GVO. Ferner spielen beide Faktoren bei der Datenschutz-Folgenabschätzung eine Rolle, vgl. Artikel 35 Abs. 8 DS-GVO. Schließlich hat die Aufsichtsbehörde bei Verstößen gegen die DS-

8 8 GVO bei ihrer Entscheidung, ob und in welcher Höhe ein Bußgeld verhängt wird, die Einhaltung von genehmigten Verhaltensregeln und eine Zertifizierung zu berücksichtigen, vgl. Artikel 83 Abs. 2j DS-GVO. Diese Regelungen wären unnötig, wenn die Einhaltung akkreditierter Verhaltensregeln jegliche Haftung von Anfang an ausschließen würde. IV. Rechtsbehelfe, Haftung und Sanktionen, Kapitel 8 DS-GVO Bei Verstößen gegen die DS-GVO stehen den betroffenen Privatpersonen folgende Rechtsbehelfe zur Verfügung: - ein eigeständiges Beschwerderecht bei der Aufsichtsbehörde, Artikel 77 DS- GVO, - ein gerichtlicher Rechtsbehelf gegen die Aufsichtsbehörde nach nationalem Recht, Artikel 78, in Deutschland also etwa eine verwaltungsgerichtliche Verpflichtungs-, Leistungs- oder Unterlassungsklage, - ein gerichtlicher Rechtsbehelf gegen den für die Datenverarbeitung Verantwortlichen oder den Auftragsverarbeiter nach nationalem Recht, Artikel 79 DS-GVO; hier kämen in den Deutschland je nachdem ein verwaltungsgerichtliches Verfahren in Betracht, wenn der Verantwortliche ein Träger der öffentlichen Gewalt ist und ein zivilgerichtliches Verfahren, wenn der Verantwortliche ein Privater ist, etwa ein Sozialunternehmen. Jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erleidet, hat zudem nach Artikel 82 DS-GVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Mehrere Verantwortliche haften gesamtschuldnerisch. Das Verschulden des Verantwortlichen oder der Auftragsverarbeiter wird vermutet, solange diese nicht das Gegenteil nachgewiesen haben. Dies stellt im Vergleich zum deutschen Recht eine Beweislastumkehr dar. Im Übrigen bleiben die nationalen Beweislastregeln erhalten. Im deutschen Recht muss der Verletzte daher die weiteren Anspruchsvoraussetzungen nachweisen (z. B. die Pflichtverletzung). a) Datenschutzverbandsklage, Artikel 80 DS-GVO Die Mitgliedsstaaten können durch nationales Recht vorsehen, dass die betroffenen Personen Verbraucherverbände und ähnliche Organisationen mit der Wahrnehmung ihrer oben genannten Rechte beauftragen können. Darüber hinaus ist eine nationale Regelung möglich, dass diese Organisationen die Rechte auch ohne einen Auftrag der betroffenen Person ausüben können mit Ausnahme des Rechtes auf Schadensersatz. In Deutschland wurde diese Möglichkeit bereits mit Wirkung zum umgesetzt (durch das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechtes vom ). Hier erfolgte zum einen die Klarstellung, dass Datenschutzvorschriften zum

9 9 Verbraucherrecht gehören. Zum anderen wurde die Datenschutzverbandsklage in 2 Absatz 2 Nr. 11 i. V. m. 1, 2a Unterlassungsklagegesetz verankert. Verbraucherschutzorganisationen können danach wegen einer Datenschutzverletzung gegenüber einem Verbraucher private Unternehmen auf Unterlassung in Anspruch nehmen, ohne hierzu vom betroffenen Verbraucher mandatiert worden zu sein. b) Verhängung von Geldbußen, Artikel 83 DS-GVO Die Aufsichtsbehörde hat bei festgestellten Verstößen gegen die DS-GVO Geldbußen zu verhängen, die in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Bei der Entscheidung, ob und in welcher Höhe eine Geldbuße verhängt wird, sind die Umstände des Einzelfalls zu berücksichtigen (Abs. 2). Bei bestimmten Verstößen beträgt das Bußgeld bis zu 10 Mio. Euro oder 2 % des weltweit erzielten Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist (Abs. 4). Bei anderen Verstößen beträgt das Bußgeld bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes (Abs. 5). Werden diese Vorgaben von den Mitgliedsstaaten nicht in nationales Recht umgesetzt, so ist die Vorschrift unmittelbar anwendbar. c) Weitere nationale Sanktionen, Artikel 84 DS-GVO Für Verstöße gegen die DS-GVO, die nicht von den Bußgeldvorschriften erfasst sind, werden die Mitgliedsstaaten verpflichtet, andere Sanktionen festzulegen, die im ebenfalls wirksam, verhältnismäßig und abschreckend sind. Zur weiteren Lektüre zu Rechtsfragen im Zusammenhang mit der DS-GVO verweisen wir auf den Aufsatz von Prof. Gerald Spindler in der Zeitschrift Der Betrieb, Ausgabe Nr. 16/2016, Seite 937 ff. Für Fragen und zur Diskussion über das Thema stehen wir gerne zu Ihrer Verfügung! Berlin, Ansprechpartner_in: Anuschka Novakovic, LL. M., Referentin und Assessorin, pflegesatz@paritaet.org, Tel.: Thomas Pudelko, Datenschutzbeauftragter, thomas.pudelko,@paritaet.org, Tel.: