Sanktionen sind rechtliche oder organisatorische Maßnahmen, die als Reaktion auf Verstöße gegen geltende Vorschriften, Pflichten oder Verhaltensregeln verhängt werden. Im Datenschutzrecht dienen sie dazu, die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen und Verstöße angemessen zu ahnden. Sie erfüllen sowohl eine präventive als auch eine abschreckende Funktion.
Rechtliche Grundlagen
Im Bereich der katholischen Kirche ergeben sich Sanktionen insbesondere aus dem Gesetz über den Kirchlichen Datenschutz (KDG). Die zuständigen kirchlichen Datenschutzaufsichtsbehörden können bei festgestellten Datenschutzverstößen verschiedene Maßnahmen ergreifen, um einen rechtmäßigen Zustand wiederherzustellen oder weitere Verstöße zu verhindern.
Die konkreten Befugnisse der Datenschutzaufsicht sind im KDG geregelt. Dabei orientiert sich das kirchliche Datenschutzrecht in vielen Bereichen an den Grundsätzen der Datenschutz-Grundverordnung (DSGVO), enthält jedoch eigene Regelungen und Verfahren.
Arten von Sanktionen
Je nach Art, Schwere und Umfang eines Verstoßes können unterschiedliche Sanktionen in Betracht kommen. Hierzu zählen insbesondere:
- Verwarnungen und Beanstandungen
- Anordnungen zur Herstellung eines datenschutzkonformen Zustands
- Einschränkungen oder Verbote bestimmter Datenverarbeitungen
- Verpflichtungen zur Umsetzung technischer und organisatorischer Maßnahmen
- Auflagen gegenüber kirchlichen Stellen
- Geldbußen, soweit diese nach den einschlägigen Vorschriften zulässig sind
Welche Maßnahme im Einzelfall verhängt wird, hängt unter anderem von der Schwere des Verstoßes, dem Umfang der betroffenen Daten, dem Grad des Verschuldens und der Zusammenarbeit mit der Aufsichtsbehörde ab.
Bedeutung in der Praxis
Sanktionen spielen eine wichtige Rolle bei der Durchsetzung des Datenschutzrechts. Sie sollen sicherstellen, dass kirchliche Einrichtungen personenbezogene Daten rechtmäßig verarbeiten und die Rechte betroffener Personen wahren.
Ein Anlass für Sanktionen kann beispielsweise vorliegen, wenn:
- personenbezogene Daten unbefugt offengelegt werden,
- gesetzliche Löschfristen nicht eingehalten werden,
- Betroffenenrechte missachtet werden,
- erforderliche Sicherheitsmaßnahmen fehlen,
- Datenschutzverletzungen nicht ordnungsgemäß gemeldet werden.
In vielen Fällen steht zunächst die Beseitigung des Datenschutzverstoßes im Vordergrund. Die Aufsichtsbehörden verfolgen dabei regelmäßig das Ziel, rechtskonforme Zustände herzustellen und zukünftige Verstöße zu verhindern.