Nach dem Vorbild des EU-Kartellrechts wird etwa der Strafrahmen massiv erhöht. Nur im Kartellrecht gilt allerdings weiterhin das Konzernprivileg.
Ab dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO): Das neue Datenschutzrecht bringt eine zentrale Systemänderung mit sich: Es bewegt sich fort von einem zentralen Melde- und Genehmigungssystem hin zu einer eigenverantwortlichen, unternehmensinternen Kontrolle. Im Kartellrecht fand eine vergleichbare Zäsur bereits mit Inkrafttreten des aktuellen Kartellgesetzes am 1. Jänner 2006 statt.
Bei genauerer Betrachtung wird erkennbar, dass sich das Datenschutzrecht auch in anderen Aspekten auf den Spuren des Kartellrechts bewegt.
Das beginnt bei den Aufgaben der Datenschutzbehörde (DSB), die bisher eher eine verwaltende Rolle innehatte. Mit Geltung der DSGVO ist diese künftig verpflichtet, die Anwendung der Verordnung aktiv zu überwachen und durchzusetzen. Dies erinnert an die Aufgaben der Bundeswettbewerbsbehörde (BWB). In einem Punkt gehen die Befugnisse der DSB sogar noch weiter: Während die BWB Geldbußen lediglich beim Kartellgericht beantragen kann, wird die DSB künftig sogar unmittelbar Geldbußen verhängen.
Zugleich wird der Strafrahmen nach dem Vorbild des Kartellrechts massiv erhöht: Drohten bei Verstoß gegen das Datenschutzrecht bisher Verwaltungsstrafen von bis zu 25.000 Euro, können nach der neuen Rechtslage Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes verhängt werden. Solche Beträge sind aus dem EU-Kartellrecht bekannt - dort drohen Geldbußen von bis zu 10 Prozent des Vorjahresumsatzes. Zuletzt verhängte etwa die EU-Kommission gegen Google eine Geldbuße von 2,42 Milliarden Euro wegen angeblichen Missbrauchs der Marktmacht bei Preisvergleichen der Suchmaschine. In den Ermittlungen der EU-Kommission gegen deutsche Autohersteller ist ebenfalls mit empfindlichen Geldbußen zu rechnen. Es bleibt abzuwarten, wie die DSB und die Aufsichtsbehörden in den anderen EU-Mitgliedstaaten den neuen Strafrahmen im Datenschutzrecht ausschöpfen werden.
Ein wichtiger Unterschied zwischen Kartellrecht und Datenschutzrecht besteht jedenfalls weiterhin darin, dass (nur) im Kartellrecht das sogenannte Konzernprivileg gilt. Dieses nimmt wettbewerbsbeschränkende Vereinbarungen zwischen Konzernunternehmen vom Kartellverbot aus. Dem Datenschutzrecht ist ein solches Konzernprivileg, das einen freien Datentransfer zwischen Konzernunternehmen ermöglichen würde, fremd. Dieser Datenaustausch unterliegt damit grundsätzlich denselben Regelungen wie zwischen unabhängigen Unternehmen. Folglich muss jedes Konzernunternehmen auch für den Datenaustausch mit anderen Konzernunternehmen stets die relevanten Vorgaben des Datenschutzrechts prüfen und einhalten. In der Praxis wurde das bisher oft vernachlässigt. Bei Verstößen gegen Datenschutzrecht können Betroffene - wie bisher - neben Unterlassungs- und Beseitigungsansprüchen auch solche auf Schadenersatz geltend machen. Neu ist, dass künftig stets auch ein immaterieller Schaden ersetzt werden muss. Dieser kann theoretisch bei jeglicher rechtswidrigen Verarbeitung von Daten entstehen, sofern diese etwa zugleich eine Diskriminierung zur Folge hat. Bisher war ein solcher Schadenersatz nur auf wenige, besonders gravierende Fälle begrenzt. Stellt man hier ebenfalls einen Vergleich an, so wird mit der kürzlich in Kraft getretenen Novelle des Kartellgesetzes die Geltendmachung von Schadenersatz wesentlich erleichtert: In beiden Rechtsgebieten ist nun zur Stärkung der Rechte der Geschädigten ausdrücklich eine Solidarhaftung aller haftpflichtigen Akteure vorgesehen. Unternehmen sollten schon jetzt alle Maßnahmen zur Einhaltung des neuen Datenschutzrechts treffen, bevor die DSB oder die Gerichte Versäumnisse sanktionieren.