15.04.2021

Ablauf des DSGVO-Bußgeldverfahrens – Ein Praxisleitfaden

Im Jahr 2019 wurden in Deutschland rund 200 Bußgelder aufgrund von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Die Verstöße betreffen vor allem die Rechtmäßigkeit und Sicherheit der Verarbeitung, aber auch die Erfüllung der Informationspflichten und Betroffenenrechte. Dabei ist zu beobachten, dass sowohl die Anzahl der Bußgelder als auch ihre Höhe zunimmt.

Unverbindliches Erstgespräch vereinbaren

Im Oktober 2020 wurde mit 35 Mio. Euro das bisher höchste Bußgeld in Deutschland ausgesprochen. Kurz danach, im November 2020, konnte jedoch ein Bußgeld in Höhe von 9,5 Mio. Euro mithilfe einer Klage auf 900.000 Euro herabgesetzt werden. Dieser Artikel zeigt im Lichte aktueller Entscheidungen und Urteile den Ablauf eines Bußgeldverfahrens nach der DSGVO und gibt hilfreiche Tipps für die Praxis, wie man Bußgeldern vorbeugt oder sich gegen sie wehrt.

Bußgeldverfahren: die Rechtliche Grundlage

Das Bußgeldverfahren richtet sich durch eine Verweisung in § 41 BDSG nach dem Verfahrensrecht des Ordnungswidrigkeitengesetzes (OWiG) und der Strafprozessordnung (StPO). Deswegen gilt, dass für die Einleitung eines Verfahrens ein Anfangsverdacht vorliegen muss. Dieser kann etwa aus der Beschwerde eines Kunden oder einem öffentlich gewordenen Datenleck resultieren. Darüber hinaus gilt nach überwiegender Ansicht das Opportunitätsprinzip (Art. 58, 83 DSGVO und § 47 OWiG): Danach besteht weder eine Pflicht zur Einleitung eines Verfahrens noch eine Pflicht zur Verhängung eines Bußgeldes. Beides liegt wie auch die Entscheidung über die Höhe des Bußgeldes im Ermessen der Behörde. Teilweise wird das Verfolgungsermessen jedoch infrage gestellt, weil der Wortlaut des Art. 83 DSGVO in Teilen eine Pflicht zur Verhängung eines Bußgeldes erkennen lasse. Dem ist jedoch entgegenzuhalten, dass die Abhilfebefugnisse der DSGVO im Stufenverhältnis angelegt sind, sich nach dem Grundsatz der Verhältnismäßigkeit und den Umständen des Einzelfalls orientieren müssen. Gäbe es etwa beim Aussprechen einer (Ver-)Warnung zugleich die Pflicht zur Verhängung eines Bußgeldes, würde dieses Stufenverhältnis komplett außer Kraft gesetzt, was ersichtlich nicht gewollt sein kann. So spricht insgesamt die systematische und teleologische Auslegung für ein Verfolgungsermessen der Aufsichtsbehörde. Im Übrigen tritt die Verjährung von Datenschutzverstößen spätestens nach 3 Jahren ein. Sofern es zu einem Verfahren kommt, ist es zudem wichtig, sich über das Recht auf Akteneinsicht bewusst zu sein.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Was ist die Summe aus 3 und 3?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Umstritten ist, wann ein Datenschutzverstoß einem Unternehmen überhaupt zugerechnet werden kann. Auf der einen Seite wird das sogenannte Rechtsträgerprinzip vertreten, wonach ein Organisationsverschulden notwendig ist, also ein schuldhafter Verstoß gegen Datenschutzvorschriften durch die Geschäftsführung, Leistungspersonen oder Personen mit Überwachungs- und Kontrollbefugnissen (§§ 30, 130 OWiG). Auf der anderen Seite wird das sogenannte Funktionsträgerprinzip vertreten, wonach in Anlehnung an das Kartellrecht eine unmittelbare Verbandshaftung existiert, also ein schuldhafter Verstoß gegen Datenschutzvorschriften nicht von bestimmten Personen im Unternehmen nötig ist, sondern ein Verstoß von irgendeinem Beschäftigten ausreicht. Letzterer Ansicht schloss sich das LG Bonn in seinem Urteil vom 11.11.2020 – Az. 29 OWi 1/20 LG an und begründete dies mit der abschließenden Geltung des Art. 83 DSGVO. Es bleibt abzuwarten, ob sich diese Ansicht auch höchstrichterlich durchsetzen wird oder weiterhin die Zurechnung nach OWiG entsprechend auf die DSGVO anzuwenden ist.

Vorverfahren

Das Vorverfahren beginnt in der Regel mit der Abgabe des Falles an die behördeninterne Sanktionsstelle. Anschließend wird das schriftliche Auskunftsersuchen eingeleitet, bei dem das betroffene Unternehmen die Möglichkeit hat, sich im Rahmen des Anhörungsrechts (§ 55 OWiG) umfassend zum Vorwurf des Datenschutzverstoßes zu äußern. Dabei sollte unternehmensintern genau aufgeklärt werden, ob der Vorwurf so zutrifft bzw. wie der mögliche Vorfall tatsächlich abgelaufen ist. Unter Berücksichtigung der Stellungnahme des Unternehmens prüft die Aufsichtsbehörde anschließend, ob tatsächlich ein Datenschutzverstoß vorliegt. Sie entscheidet dann, ob sie das Verfahren einstellt, etwa weil sich der Vorwurf als gegenstandslos herausgestellt hat, oder ob sie ein Bußgeld verhängt.

Zwischenverfahren

Das Zwischenverfahren beginnt mit der Zusendung des Bußgeldbescheids an das betroffene Unternehmen (§§ 65 ff. OWiG). Dieses sollte den Bescheid gründlich prüfen und hat die Möglichkeit, innerhalb von zwei Wochen Einspruch gegen den Bußgeldbescheid einzulegen (§ 67 Abs. 1 OWiG). Hierbei ist es empfehlenswert, den Einspruch zu begründen, um die eigene Position gegenüber der Behörde zu verdeutlichen und zu zeigen, warum das Bußgeld hinsichtlich des konkreten Vorwurfes eines Datenschutzverstoßes nicht verhältnismäßig ist. Die Aufsichtsbehörde prüft anschließend, ob der Einspruch zulässig, also form- und fristgerecht, ist (§ 69 Abs. 1 S. 1 OWiG). Sofern der Einspruch zulässig ist, prüfen die Aufsichtsbehörde und im weiteren Verlauf auch gegebenenfalls die Staatsanwaltschaft die Begründetheit des Einspruchs wie im Folgenden.

Im Rahmen der Prüfung der Begründetheit hat die Behörde die Möglichkeit, weitere Ermittlungen vorzunehmen. Dabei hat das betroffene Unternehmen gegebenenfalls die Möglichkeit, zusätzliche Tatsachen zur Entlastung vorzubringen (§ 69 Abs. 2 S. 2, 3 OWiG). Anschließend entscheidet die Behörde, ob der Bescheid zurückgenommen (§ 69 Abs. 2 S. 1 OWiG) oder aufrechterhalten und an die Staatsanwaltschaft übermittelt (§ 69 Abs. 2 S. 1, Abs. 3 S. 1 OWiG) wird. Die Staatsanwaltschaft nimmt gegebenenfalls weitere Ermittlungen vor (§ 69 Abs. 4 S. 1 OWiG) und entscheidet, ob das Verfahren mit Zustimmung der Behörde eingestellt (§ 41 Abs. 2 S. 3 BDSG) oder an das zuständige Gericht weitergeleitet (§ 69 Abs. 4 S. 2 OWiG) wird. Welches Gericht zuständig ist, bestimmt sich nach der Höhe des Bußgeldes. Für Bußgelder unter 100.000 Euro ist das Amtsgericht zuständig (§ 69 Abs. 4 S. 2 OWiG), während für Bußgelder ab 100.000 Euro das Landgericht zuständig ist (§ 41 Abs. 1 S. 3 BDSG).

Hauptverfahren

Das Hauptverfahren läuft vor dem zuständigen Gericht. Spätestens dann sollte man Akteneinsicht beantragen. Das zuständige Gericht hat den wahren Sachverhalt von Amts wegen aufzuklären (§ 77 OWiG) und entscheidet darüber, ob das Verfahren eingestellt wird, das Unternehmen zur Zahlung der Geldbuße verurteilt wird oder ein Freispruch erfolgt (§ 72 Abs. 3 S. 1 OWiG). Sofern es zu einer Verurteilung kommt, besteht die Möglichkeit, dagegen Beschwerde vor dem Oberlandesgericht einzulegen (§ 79 Abs. 1 OWiG). Für die Beschwerde gelten dieselben Regeln wie für die Revision (§ 79 Abs. 3 OWiG).

Bußgeldern vorbeugen

Um möglichen Bußgeldern vorzubeugen ist es wichtig, die Anforderungen der DSGVO umzusetzen, ein Datenschutzmanagement zu etablieren und die eigenen Beschäftigten für den Datenschutz zu sensibilisieren. Darüber hinaus sollten Betroffenenanfragen stets ernst genommen und rechtzeitig bearbeitet werden. Denn Beschwerden bei den Aufsichtsbehörden wegen nicht oder nicht richtig beantworteter Betroffenenanfragen sind häufig ein Grund dafür, dass die Behörde Kontakt zum Unternehmen aufnimmt.

Sofern es zu einem Behördenverfahren kommt, sollte eine wohl überlegte Kooperation angestrebt werden, damit nicht aus dem Eindruck einer Kooperationsverweigerung oder Konfrontationsstellung ein Bußgeldverfahren eingeleitet wird. Darüber hinaus ist eine zeitnahe Abstimmung mit wichtigen Beteiligten, insbesondere mit Datenschutzbeauftragten und Anwälten, wichtig. Natürlich müssen auch Fristen und die Verjährung beachtet werden. Außerdem ist Sorgfalt bei der Meldung von Datenschutzvorfällen wichtig. Behördenanfragen sind stets zu priorisieren

Bei alledem ist jedoch auch festzuhalten: Nicht jeder Verstoß gegen den Datenschutz führt zur Einleitung eines Bußgeldverfahrens und nicht jedes Bußgeldverfahren endet mit der Verhängung eines Bußgeldes. Und sofern doch ein Bußgeld verhängt wird, besteht die Möglichkeit dagegen zu klagen – und durchaus mit Erfolg, wie die Herabsetzung des Bußgeldes in Höhe von 9,5 Mio. Euro auf 900.000 Euro durch das LG Bonn in seinem Urteil vom 11.11.2020 – Az. 29 OWi 1/20 LG zeigt. Es entschied, dass das Bußgeld an sich zwar begründet, jedoch viel zu hoch angesetzt war. Es hielt auch das von der Datenschutzkonferenz etablierte Modell zur umsatzbezogenen Bußgeldberechnung für unverhältnismäßig. Hier wird sich in Zukunft zeigen, inwiefern die Aufsichtsbehörden bei dieser Berechnung bleiben oder ein neues Berechnungsmodell nutzen müssen, das sich mehr am Wortlaut des Art. 83 DSGVO orientiert, in dem der Umsatz kein Kriterium für die Höhe des Bußgeldes ist.

Einspruch oder zahlen? Eine Abwägungsfrage!

Erhält ein Unternehmen einen Bußgeldbescheid, stellt sich auch die Frage, ob man das Behördenverfahren schnell mit der Zahlung des Bußgeldes „löst“ oder Einspruch erhebt und sich womöglich auf eine längere Auseinandersetzung mit der Behörde oder sogar später vor Gericht einstellen muss. Diese Frage lässt sich nicht pauschal beantworten und ist immer eine Abwägungsfrage im konkreten Fall. Grundsätzlich kann man aber sagen, dass das Zahlen des Bußgeldes sinnvoll erscheint, wenn man weitere Ermittlungen vermeiden will oder die Erfolgschancen angesichts eines eindeutigen Verstoßes gering sind. Dagegen erscheint ein Einspruch sinnvoll, um gegen unangemessen hohe Bußgelder vorzugehen oder im Falle von klaren formalen oder inhaltlichen Fehlern im Bußgeldbescheid.

Bei Unsicherheiten sollte ein Unternehmen hier stets die Beratung eines erfahrenen Anwalts in Anspruch nehmen. Wir von SRD haben viel Erfahrung im Umgang mit Behördenverfahren. Gerne unterstützen wir Sie und Ihr Unternehmen bei der Bewältigung eines Bußgeldverfahrens.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

12.09.2024

Microsoft Copilot für M365 & Datenschutz: So gelingt der sichere Einsatz im Unternehmen

04.09.2024

AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen

31.07.2024

Digital Health Update 2024