Der Begriff „Geldbuße“ klingt so, als ginge es um ein paar Euro. Bei den Geldbußen nach der Datenschutz-Grundverordnung (DS-GVO) sieht das allerdings etwas anders aus. Und auch sonst weisen sie einige Besonderheiten auf, die man kennen sollte.
Geldbußen in maßloser Höhe?
„Irrsinn“ war ein Begriff, den man anfangs häufig hören konnte, wenn es um die mögliche Höhe von Geldbußen nach der DS-GVO ging. Und tatsächlich: Eine maximale Höhe von 20 Millionen Euro ist schon eine Hausnummer. Doch wie so oft im Leben sollte man auch hier genauer hinsehen, um was es eigentlich geht und die nächsten Absätze im Gesetzestext lesen. Die DS-GVO gilt für Kleinstunternehmen genauso wie für Großkonzerne. Das muss sich in der möglichen Höhe von Geldbußen widerspiegeln. Deshalb ist es konsequent, wenn die DS-GVO in ihrem Art. 83 Abs. 6 von „bis zu“ 20 Millionen Euro Geldbuße spricht. Geringfügige, einmalige Verstöße in kleinen Unternehmen werden also nur überschaubare Beträge kosten. Auf Dauer angelegte, bewusste Verstöße in Großunternehmen können dagegen teuer werden. Diese Unterscheidung entspricht dem Prinzip der Verhältnismäßigkeit.
Wer ist „Verantwortlicher“?
Geldbußen sind nur gegen „Verantwortliche“ möglich. Der Begriff legt nahe, dass bei einem Verstoß in einem Unternehmen zunächst der intern Verantwortliche gesucht wird und dass ihn dann die Geldbuße trifft. Doch weit gefehlt: Die DSGVO definiert den Begriff „Verantwortlicher“ in ihrem Art. 4 Nr. 7 ganz anders: „Verantwortlicher“ ist das Unternehmen (die oberste Leitung) selbst, nicht der Mitarbeiter! Geldbußen gegen einzelne Mitarbeiter sieht die DS-GVO nicht vor.
Kein Freibrief für pflichtvergessene Mitarbeiter.
Eine gute Nachricht für Mitarbeiter, die es mit dem Datenschutz nicht so genau nehmen? Mit nichten. Denn eine Geldbuße für ihre Pflichtverletzung wird dann logischerweise gegen das Unternehmen verhängt. Als Folge für die Mitarbeiter selbst stehen Abmahnungen oder arbeitsrechtliche Konsequenzen im Raum, u.a. auch eine fristlose Kündigung. Das wiegt mindestens genauso schwer wie eine Geldbuße.
Der „Freischuss“ – ein rechtliches Märchen.
Immer wieder macht das Gerücht die Runde, dass die Aufsichtsbehörden für Datenschutz bei erstmaligen Verstößen sehr nachsichtig seien. Manche sprechen sogar von einem angeblichen „Freischuss“, der jedem Unternehmen zustehe. Bei näherem Hinsehen stimmt an diesem Gerücht schlicht nichts. Natürlich kann es vorkommen, dass ein leichter, lediglich fahrlässiger Verstoß gegen Vorschriften nur zu einer Ermahnung führt. Das kennt jeder schon von Verkehrsverstößen. Aber wenn der Verstoß gravierend ist, scheidet eine solche Nachsicht aus. Dann kann auch schon ein erstmaliger Verstoß eine Geldbuße in beträchtlicher Höhe nach sich ziehen.
Eine kleine Auswahl bisher verhängter Bußgelder:
https://www.heise.de/newsticker/meldung/Facebook-Zehn-Millionen-Euro-Datenschutzstrafe-in-Italien-4245630.html
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html
Wenn Sie Fragen haben, kontaktieren Sie uns:
per E-Mail consulting@AdOrgaSolutions.de oder
Büro München +49 89 411 726 – 35 / Büro Wien +43 1 253 017- 8177.
18. Dezember 2018