05.09.2023
Aktuelles zu DSGVO-Bußgeldern: Was ändert sich für Unternehmen?
Die Datenschutz-Grundverordnung (DSGVO) sieht nicht nur eine Vielzahl von Pflichten für Auftragsverarbeiter:innen und Verantwortliche vor, sondern auch die Möglichkeit, Pflichtverstöße mit Bußgeldern zu sanktionieren. In diesem Zusammenhang gewinnt das laufende Vorabentscheidungsverfahren „Deutsche Wohnen“ vor dem Gerichtshof der Europäischen Union (EuGH) besondere Bedeutung.
Inhalt
- DSGVO-Bußgelder: Unterscheidung, Anforderungen und mögliche Sanktionen
- Das Verfahren „Deutsche Wohnen“: Wann sind Unternehmen bußgeldpflichtig?
- Ausblick: Verantwortlichkeit von Unternehmen bei Datenschutzverstößen?
- Proaktives Datenschutzmanagement: Vorbereitung und Strategie zur Vermeidung von DSGVO Bußgeldern
Denn die Luxemburger Richter:innen müssen klären, ob Unternehmen unmittelbar – und gegebenenfalls verschuldensunabhängig – bebußt werden können. Je nachdem, wie der EuGH entscheidet, könnten Datenschutzverstöße in Zukunft leichter zugerechnet werden. Das Risiko für Bußgelder könnte weiter steigen. Unser Beitrag setzt sich mit dem genannten Verfahren auseinander, zeigt auf, welche Konsequenzen die Entscheidung haben wird, und beleuchtet, was Unternehmen schon heute tun können, um DSGVO-Bußgelder zu vermeiden.
DSGVO-Bußgelder: Unterscheidung, Anforderungen und mögliche Sanktionen
Die rechtlichen Vorgaben für DSGVO-Bußgelder finden sich in Art. 83 und in Art. 58 Abs. 2 lit. i) DSGVO. Danach hat jede Aufsichtsbehörde die Befugnis, unter Berücksichtigung der Umstände des Einzelfalls ein wirksames, verhältnismäßiges und abschreckendes Bußgeld zu verhängen. In der DSGVO wird zwischen zwei Bußgeldrahmen unterschieden. Ein Bußgeld bis zu 10 Millionen Euro oder – je nachdem, was höher ist – 2% des gesamten weltweiten Jahresumsatzes eines Unternehmens kann bei Verstößen gegen Art. 8, 11, 25 bis 39, 42 und 43 DSGVO verhängt werden. Ein solches Bußgeld kommt also beispielsweise in Betracht, wenn ein Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Bei Verstößen gegen Art. 5, 6, 7, 9, 12 bis 22, 44 bis 49 und 58 DSGVO kann die Behörde ein Bußgeld bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes verhängen. Ein solches Bußgeld kommt insbesondere dann in Betracht, wenn Unternehmen personenbezogene Daten nicht rechtmäßig verarbeiten, kein ordnungsgemäßes Aufbewahrungs- und Löschkonzept implementiert haben oder Betroffenenanfragen nicht oder nicht rechtzeitig nachkommen.
Das DSGVO-Bußgeldverfahren: Von der Einleitung zur Entscheidung
Einem DSGVO-Bußgeldverfahren geht regelmäßig ein Verwaltungsverfahren voraus. Bereits im Rahmen dieses Verfahrens prüft die zuständige Aufsichtsbehörde, ob ein Verstoß gegen die DSGVO vorliegt. Stellt die Fachabteilung der Aufsichtsbehörde einen Verstoß fest, gibt sie das Verfahren an die Bußgeldstelle ab, die ihrerseits prüft ob ein sogenannter Anfangsverdacht vorliegt, ob also tatsächliche Anhaltspunkte für das Vorliegen einer Ordnungswidrigkeit bestehen. Anschließend ermittelt die Behörde den Sachverhalt. Sie sammelt die relevanten Informationen und prüft etwaige Verstöße gegen die DSGVO. Auf Grundlage dieser Prüfung kann das Verfahren dann entweder eingestellt oder ein Bußgeld verhängt werden.
Die Festsetzung der DSGVO Bußgelder erfolgt unter Berücksichtigung der individuellen Umstände des Verstoßes, der Art und Schwere der Verletzung sowie unter Berücksichtigung der Abschreckungsfunktion. Im Jahr 2022 hat der Europäische Datenschutzausschuss neue Leitlinien für die Bemessung von Bußgeldern verabschiedet. Für die Adressat:innen eines Bußgelds besteht dann die Möglichkeit, Einspruch gegen das verhängte Bußgeld einzulegen. Wird Einspruch erhoben, prüft die Behörde, die den Bescheid erlassen hat, erneut die Sachlage. In manchen Fällen kann die Behörde dem Einspruch abhelfen, den Bescheid angepasst erlassen oder aufheben. Andernfalls wird das Verfahren an die Staatsanwaltschaft und das zuständige Gericht abgegeben.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Das Verfahren „Deutsche Wohnen“: Wann sind Unternehmen bußgeldpflichtig?
Im Jahr 2017 führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eine Vor-Ort-Kontrolle bei dem Immobilienkonzern „Deutschen Wohnen“ durch. Dabei stellte sich heraus, dass das Unternehmen mehr Daten speicherte, als die Berliner Behörde für erforderlich hielt. Die BlnBDI forderte die „Deutsche Wohnen“ daraufhin zum Löschen der Daten auf. Im Rahmen einer Stichprobenkontrolle wurde dann festgestellt, dass die Daten weiter gespeichert worden waren, obwohl sie nach Auffassung der Behörde hätten gelöscht werden müssen. Infolge dieses Verstoßes verhängte die Behörde ein Bußgeld in Höhe von 15 Millionen Euro gegen „Deutsche Wohnen“. Das Unternehmen legte daraufhin Beschwerde beim Landgericht Berlin (LG Berlin) ein. Da der Bußgeldbescheid aber an die „Deutsche Wohnen“ als juristische Person gerichtet war (und keine Angaben zu einer natürlichen Person (Leitungsperson) enthielt), stellte das LG Berlin das Verfahren ein. Nach Auffassung der Berliner Richter:innen konnte nur eine Führungskraft oder ein Mitarbeiter Adressat eines Bußgeldbescheids sein, nicht aber ein Unternehmen. Die Staatsanwaltschaft legte gegen den Einstellungsbeschluss des LG Berlin Beschwerde beim Kammergericht (KG) ein. Das KG sah in dem Verfahren wesentliche Fragen des Unionsrechts berührt und legte dem EuGH dahingehend Fragen zur Vorabentscheidung vor. Das KG möchte von den Luxemburger Richter:innen wissen, ob
- eine juristische Person als unmittelbarer Adressat eines Bußgeldverfahrens in Betracht kommt und, falls ja, ob
- ob ein objektiver Pflichtverstoß verschuldensunabhängig zu einem Bußgeld führen kann.
Der Ausgang des Verfahrens hat eine erhebliche Bedeutung für die Auslegung der DSGVO und die zukünftige Handhabung von DSGVO-Bußgeldern gegen Unternehmen.
Exkurs: Rechtsträgerprinzip vs. Funktionsträgerprinzip
Den rechtlichen Aufhänger des Verfahrens bildet die Frage, unter welchen Voraussetzungen juristische Personen Adressat:innen eines Bußgeldverfahrens sein können. Die DSGVO macht hierzu keine klaren Vorgaben, enthält aber – in Art. 83 Abs. 8 DSGVO – eine zwingende Öffnungsklausel. Diese Öffnungsklausel schreibt den Mitgliedstaaten vor, angemessene Verfahrensgarantien, wirksame gerichtliche Rechtsbehelfe und ordnungsgemäße Verfahren einzurichten. In Deutschland wurde von dieser Klausel mit § 41 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Dieser Paragraf regelt, dass die Grundsätze des deutschen Ordnungswidrigkeitenrechts bei der Verhängung von Bußgeldern nach der DSGVO sinngemäß Anwendung finden sollen.
Problematisch ist in diesem Fall die Anwendung von § 30 OWiG. Dieser normiert das sogenannte Rechtsträgerprinzip. Danach setzt die Verhängung einer Geldbuße die Feststellung eines Rechtsverstoßes durch eine Person in leitender Stellung voraus. Im Fall „Deutsche Wohnen“ wird deshalb die Frage diskutiert, ob ein Verstoß gegen Datenschutzvorschriften durch sonstige Beschäftigte des Unternehmens ausreicht, um ein Bußgeldverfahren einzuleiten. Hierbei steht das deutsche Konzept im Gegensatz zum sogenannten Funktionsträgerprinzip, das beispielsweise im Kartellrecht Anwendung findet. Letzteres besagt, dass ein Bußgeldverfahren unabhängig von der Identifizierung einer spezifischen Person direkt gegen das Unternehmen gerichtet werden kann. Es genügt, wenn der Verstoß durch eine:n beliebige:n Mitarbeiter:in des Unternehmens begangen wurde.
In „Deutsche Wohnen“ geht es also vor allem um die Frage, ob bei der Verhängung von Bußgeldern bei Datenschutzverstößen das deutsche Rechtsträgerprinzip oder das europäische Funktionsträgerprinzip angewendet werden soll. Diese Auseinandersetzung berührt den grundlegenden Aspekt, ob die individuelle Identifizierung von Tätern notwendig ist oder ob Unternehmen unmittelbar für Verstöße verantwortlich gemacht werden können.
Stellungnahme des Generalanwalts zum Verfahren „Deutsche Wohnen“
Die Stellungnahme des Generalanwalts spielt in Vorabentscheidungsverfahren eine besondere Rolle. Der EuGH ist zwar nicht dazu verpflichtet, die Empfehlungen des Generalanwalts zu berücksichtigen, folgt diesen aber häufig.
In Bezug auf die erste Vorlagefrage sprach sich der Generalanwalt dafür aus, dass es im Unionsrecht keine Hindernisse gäbe, Unternehmen zu bebußen. Die relevanten Art. 4, 58 und 83 DSGVO sehen juristische Personen explizit als mögliche Sanktionsadressat:innen vor. Das Konzept der Täter:inneneigenschaft sei eng mit der datenschutzrechtlichen Verantwortlichkeit verknüpft und ermögliche die unmittelbare Sanktionierung von Unternehmen.
In Bezug auf die zweite Vorlagefrage äußerte der Generalanwalt, dass der Wortlaut von Art. 83 DSGVO gegen die Annahme einer verschuldensunabhängigen Haftung spreche. Die in Art. 82 Abs. 2 lit. b DSGVO festgeschrieben Kriterien („Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“) seien bei der Verhängung von Bußgeldern von entscheidender Bedeutung. Auch Art. 83 Abs. 3 DSGVO setze Verschulden ausdrücklich voraus.
Ausblick: Verantwortlichkeit von Unternehmen bei Datenschutzverstößen?
Folgt der EuGH den Schlussanträgen des Generalanwalts, könnten Unternehmen direkt für Verstöße gegen die DSGVO zur Verantwortung gezogen werden. Erteilt er der verschuldensunabhängigen Haftung eine Absage, stellt sich weiter die Frage, auf wessen Verschulden abzustellen und welcher Verschuldensgrad künftig erforderlich ist. Man wird sehen, ob der EuGH hier der Einschätzung der Berliner Behörde folgt oder zumindest eine Aufsichtspflichtverletzung der Leistungsebene fordert. In jedem Fall wird die Entscheidung des EuGH über die Verantwortlichkeit von Unternehmen und die Zurechnung von Verstößen gegen die DSGVO erhebliche Auswirkungen auf die Datenschutzlandschaft und die Ausgestaltung von Compliance-Systemen haben. Unternehmen werden zukünft möglicherweise verstärkt in die Pflicht genommen, Verstöße gegen Datenschutzbestimmungen zu verhindern und angemessene Kontroll- und Überwachungssysteme einzuführen,
Proaktives Datenschutzmanagement: Vorbereitung und Strategie zur Vermeidung von DSGVO Bußgeldern
Unternehmen sollte die Zeit bis zur EuGH-Entscheidung nicht ungenutzt lassen, sondern bereits jetzt Maßnahmen ergreifen, um Risiken zu minimieren. Ein effektives Datenschutzmanagement und die kontinuierliche Sensibilisierung der Beschäftigten für Datenschutzfragen sind von entscheidender Bedeutung. Zudem sollten Unternehmen Fristen im Auge behalten und sicherstellen, dass Compliance-Pflichten, bestmöglich erfüllt werden. Die unverzügliche Bearbeitung von Betroffenenanfragen, die rechtzeitige Meldung von Datenschutzverstößen und die pflichtgemäße Information von Betroffenen sind weitere Schlüsselelemente, um etwaigen Bußgeldern vorzubeugen. Unternehmen sollten sich der Tragweite ihrer Kooperation mit den Datenschutzbehörden bewusst sein und diese wohlüberlegt gestalten, um ihre Position zu stärken und möglichen Sanktionen erfolgreich zu begegnen.
In Anbetracht der komplexen und sich ständig entwickelnden rechtlichen Rahmenbedingungen ist proaktives Handeln der Schlüssel – professionelle Unterstützung kann den entscheidenden Unterschied machen. Unsere Expert:innen stellen sicher, dass Ihr Unternehmen ideal aufgestellt ist, um Datenschutzverstöße zu vermeiden und bei Krisen schnell handlungsfähig zu sein. Sprechen Sie uns an, wenn gegen Ihr Unternehmen ein Bußgelddroht, ein entsprechendes Verfahren eingeleitet wurde oder Sie bereits Adressat:in eines Bußgeldbescheids geworden sind. Unsere erfahrenen Anwält:innen helfen Ihnen gerne dabei, sich in allen Verfahrensstadien optimal zu verteidigen.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Inhalt
- DSGVO-Bußgelder: Unterscheidung, Anforderungen und mögliche Sanktionen
- Das Verfahren „Deutsche Wohnen“: Wann sind Unternehmen bußgeldpflichtig?
- Ausblick: Verantwortlichkeit von Unternehmen bei Datenschutzverstößen?
- Proaktives Datenschutzmanagement: Vorbereitung und Strategie zur Vermeidung von DSGVO Bußgeldern
Unsere Experten zum Thema
Weitere Neuigkeiten
04.11.2024
EuGH-Urteil zu irreführender Rabattwerbung: Bedeutung für den Handel
11.10.2024
DORA-Verordnung: Frist, Anwendungsbereich & Anforderungen
07.10.2024