Sanktionen und Bußgelder sind normalerweise ein schlechter Ratgeber, um gesetzeskonform und compliant als Unternehmen zu agieren. Andererseits sind sie aber ein probates Mittel, um Unternehmen zur Einhaltung von gesetzlichen Vorgaben zu bewegen. Und im Datenschutzrecht geht es schließlich um unser aller Rechte: dem Recht auf Selbstbestimmung und dem Persönlichkeitsrecht – kurzum um das „Recht auf Datenschutz“.
Mit dem Gültig werden der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 schlug gerade die gesetzliche Vorgabe des Bußgeldrahmens – bis zu 20 Mio. Euro bzw. 4 % des weltweiten Vorjahresumsatzes (je nachdem was höher ist) – in Deutschland hohe Wellen. Im Vergleich zu anderen EU-Ländern waren in der Vergangenheit die deutschen Datenschutzaufsichtsbehörden eher zurückhaltend mit Sanktionen und der Höhe des Bußgeldes. Sie waren auch nach dem gültig werden der DSGVO, im Vergleich zu anderen EU-Ländern, zurückhaltend.
Das erste (deutsche) Bußgeld verhängte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) im November 2018. Mit einer Geldbuße von 20.000 Euro gegen einen Social-Media-Anbieter, welches aufgrund konstruktiver Zusammenarbeit mit dem Unternehmen eher glimpflich ausgefallen ist https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/ .
Dagegen verhängte im Oktober 2019 die rumänische Aufsichtsbehörde (ANSPDCP) ein Bußgeld i.H. v. 150.000 Euro wegen unzureichender technischer und organisatorischer Maßnahmen zur Gewährleistung der Informationssicherheit. Und die griechische Aufsichtsbehörde (HDPA) verhängte gegen einen TK-Provider 200.000 Euro aufgrund der Nichteinhaltung der allgemeinen Grundsätze der Datenverarbeitung gemäß Artt. 21 und 25 DSGVO. Und die spanische Aufsichtsbehörde, AEPD, verhängte ein Bußgeld in Höhe von 30.000 Euro wegen nicht korrekter Cookie-Konfiguration auf der Firmenwebseite (17.10.2019; https://edpb.europa.eu/news/national-news/2019/spanish-data-protection-authority-fined-company-vueling-cookie-policy-used_de) . Um nur einige zu nennen.
Das derzeit letzte deutsche Bußgeld i.H.v. 195 T€ verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 19.09.2019. Begründung: Unzureichende Erfüllung der Rechte der betroffenen Personen (Artt. 15, 17, 21 DSGVO) gegen Delivery Hero https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf.
Sie sehen, die Bußgelder erfolgten nicht aufgrund Hacker- und Cyber-Angriffen, sondern aufgrund der Nicht-Einhaltung von elementaren Vorgaben aus der DSGVO, welche bereits auf Basis des BDSG a. F. zu gewährleisten waren.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 25.06.2019 nun auf ein Modell zur Berechnung von Bußgeldern verständigt, welches ähnlich wie im Kartellrecht eine nachvollziehbare Bußgeldpraxis ermöglichen soll.
In der dazu herausgegebenen Pressemitteilung teilt die DSK mit, dass der Entwurf „im Wesentlichen die Vorgaben des Art. 83 DSGVO ausgestalte und auf Fortentwicklung ausgelegt ist.“ […] „Ziel des Konzeptes ist, die Aufsichtsbehörden für Datenschutz eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.“
Die Veröffentlichung des Konzeptes erfolgte jetzt, nachdem erste Verhandlungen auf europäischer Ebene zu diesem Thema stattgefunden haben, in denen die Entwurfsfassung des Konzepts eine Rolle gespielt hat. Gemäß der DSGVO ist eine Harmonisierung der Festsetzung von Geldbußen durch Leitlinien zu fördern (Art. 70 Abs. 1 lit. k DSGVO). Das Konzept ist ein erster Schritt in der Umsetzung.
Mit Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen.
Am 14.10.2019 hat die DSK das Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht, welches hier https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abgerufen werden kann.
Die DSK schlägt darin 5 Schritte für den Bemessungsmaßstab vor:
- Zuordnung des Unternehmens einer Größenklasse.
- Der mittlere Jahresumsatz der Größenklasse wird bestimmt.
- Ein wirtschaftlicher Grundwert wird ermittelt.
- Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert.
- Abschließend wird der unter 4. Ermittelte Wert auf Basis weiterer Umstände angepasst.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: per E-Mail consulting@AdOrgaSolutions.de.
(Autorin: Regina Mühlich ist Expertin für Datenschutz, Datenschutz-Auditoren, Sachverständige für Datenschutz sowie Compliance Officer und verfügt über langjährige Erfahrung im Datenschutz. Sie ist gefragte Dozenten und Referentin; Vorstandsmitglied des Berufsverbandes für Datenschutzbeauftragte Deutschlands (BvD) e. V.)