Читать книгу Datenschutz für Unternehmen - Ricarda Kreindl - Страница 40

Selbst bis über den Atlantik hat es sich herumgesprochen, dass es sich bei der DSGVO um die „world’s toughest privacy rules“[67] handeln dürfte. Dieser Titel wurde jedoch – betrachtet man ihn unter dem Gesichtspunkt der Rechtssicherheit – teuer erkauft:

Einerseits sieht die DSGVO, wie der Blick in Art 83 DSGVO verrät, fast schon absurd hoch anmutende Geldbußen bei Verstößen gegen ausgewählte Bestimmungen der Verordnung vor. Mag man auch über die Sinnhaftigkeit solcher Strafdrohungen (Stichwort Verhältnismäßigkeit) diskutieren, so obliegt deren Einführung selbstredend dem zuständigen Gesetzgeber, zumal es letztlich die zuständigen Aufsichtsbehörden sind, die (wieder: Stichwort Verhältnismäßigkeit) den jeweiligen konkreten Verhaltensverstoß angemessen zu sanktionieren haben. Da vermag bereits aus Präventionsgründen ein potenzielles finanzielles Desaster ein geeignetes Instrumentarium zu sein, zumal, wenn betroffene Unternehmen ihre Organisation danach ausrichten können. Aber genau hier liegt die Crux begraben.

Die DSGVO weist eine Vielzahl strafbegründender, unbestimmter Rechtsbegriffe auf, was sowohl aus Sicht des Legalitäts- als auch Gesetzlichkeitsprinzips zumindest kritisch zu sehen ist. Dem Anspruch des Gesetzgebers, bestimmte Verhaltensweisen zu sanktionieren, ist zugleich die Notwendigkeit immanent, dies auf Basis hinreichend bestimmter Gesetze zu tun („nulla poena sine lege certa“). Dass dieser, ursprünglich im Strafrecht verankerte Rechtsgrundsatz[68] auch im Verwaltungsrecht gilt, ist heute unbestritten.

Sofern es nun aber um zivilrechtliche Rechtsfolgen von Verstößen gegen die DSGVO geht, mag die Rechtslage auf den ersten Blick anders sein. Ganz so liegen die Dinge aber nicht: