Das Bußgeldverfahren unter der DSGVO – Ein Überblick

Einer der Aspekte der seit Mai 2018 verbindlich geltenden Datenschutz-Grundverordnung (DSGVO), der besondere Aufmerksamkeit in der Öffentlichkeit erlangt hat, ist das Bußgeldverfahren, welches auf Datenschutzverstöße folgen kann. Insbesondere die in Großbritannien angekündigten Rekordsummen haben es in die Medien geschafft. Die dortige Aufsichtsbehörde übertraf die bis dahin höchste Geldbuße in Höhe von 50 Mio. EUR gegen Google mit Summen von jeweils 110 und 200 Mio. EUR gegen die Hotelkette Marriott und British Airways. Ihre Abschreckungswirkung werden solche Summen sicherlich nicht verfehlen. Auch in Deutschland, wo bisher maximal von sechsstelligen Geldbußen zu hören war, kündigen sich neuerdings Sanktionen in Millionenhöhe an. Dieser Artikel gibt einen Überblick über die verschiedenen Aspekte des Bußgeldverfahrens, zu denen wir zudem auf unsere weiteren Beiträge zur Vertiefung verweisen.

Der Gang des Bußgeldverfahrens

Wie kommt es für ein Unternehmen also zu einem solchen Bußgeld? Ausgangspunkt für das Bußgeldverfahren kann sowohl ein von der Aufsichtsbehörde gehegter Verdacht auf Datenschutzvorfälle als auch die Beschwerde einer betroffenen Person sein. Kommt die Behörde daraufhin zu dem Schluss, ein Verfahren gegen den Verantwortlichen einleiten zu wollen, wird diese ein Schreiben in Form eines Auskunftsersuchens versenden, das einerseits der Behörde bei ihrer Beurteilung helfen und andererseits dem Verantwortlichen Gelegenheit geben soll, bereits zu Anfang in eigener Person Stellung zu beziehen. Hier wird es in den allermeisten Fällen am sinnvollsten sein, die Fragen schnell und umfassend zu beantworten, da bereits in dieser frühen Phase der Behörde Sanktionsmöglichkeiten aufgrund fehlender oder unzureichender Auskunft an die Hand gegeben sind.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Das eigentliche Bußgeldverfahren wird allerdings erst eingeleitet, wenn die Behörde nach der Anhörung der Auffassung ist, dass tatsächlich ein Datenschutzverstoß vorliegt. Das Procedere dieses Verfahrens richtet sich nach den nationalen Verfahrensvorschriften, die in Deutschland dem Ordnungswidrigkeitengesetz (OWiG) entnommen werden. Dabei gibt es allerdings eine rein datenschutzrechtliche Besonderheit, die zulasten des Verantwortlichen geht: Anders als im OWiG vorgesehen ist diesen die Unschuldsvermutung verwehrt und sie haben daher zu beweisen, dass sie keinen Verstoß gegen die DSGVO begangen haben.

Wurde schließlich ein Bußgeldbescheid erlassen, bleibt nur noch die Möglichkeit des Einspruchs. Je nach Reaktion der Behörde kann der Fall so zur Staatsanwaltschaft oder vor Gericht gelangen. Das Gericht kann am Ende entscheiden oder auch an die Behörde zurückverweisen. In allen möglichen Szenarien kann das Verfahren allerdings sehr lange dauern und entsprechend kostspielig werden, während man in Unsicherheit verbleibt, ob und in welcher Höhe am Ende ein Bußgeld bezahlt werden muss. Daher ist ein rechtlicher Beistand von Anfang an zu empfehlen, auch da man durch eine gute Zusammenarbeit mit den Behörden einen positiven Einfluss auf das Verfahren nehmen kann.

Die Rolle der Aufsichtsbehörden

Grundsätzlich nehmen die Behörden nämlich nicht bloße Sanktions-, sondern auch beratende Funktionen wahr. Nimmt man diese Beratung an und zeigt sich kooperativ, kann man als Unternehmen mit geringeren oder gegebenenfalls auch gar keinen Bußgeldern rechnen.

Damit die Kooperation mit der Behörde gelingt, sollte man sorgfältig vorgehen: Zum einen sollte man als Unternehmen bereits im Vorfeld – vor dem Beginn etwaiger Verfahren – geeignete Datenschutzmaßnahmen ergreifen, um im Fall der Fälle vorbereitet zu sein und behördliche Anfragen angemessen beantworten zu können. Gerade, wenn man neue Geschäftsmodelle etablieren möchte, kann eine initiative Kooperation mit der Behörde zu einer höheren DSGVO-Konformität und einem geringeren Bußgeldrisiko führen. Darüber hinaus muss man auch mit unangekündigten Kontrollen der Behörden rechnen. Hat man dann bereits die notwendigen Konzepte und Maßnahmen eingerichtet, steht man als Unternehmen auf der sicheren Seite und kann mit der Aufsichtsbehörde zielgerichtet zusammenarbeiten.

Auch nach dem Eintritt eines Datenschutzverstoßes zahlt sich ein proaktives Vorgehen aus, wenn man ihn umgehend meldet und darauf entsprechend, das heißt schnell und effektiv, reagiert. Ganz entscheidend ist dies, wenn die Information an die Behörde nicht fakultativ ist, sondern eine Meldepflicht besteht. Das ist nach Art. 33 Abs. 1 DSGVO immer dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist. Das Unternehmen sollte sich dann möglichst schnell, in jedem Fall aber innerhalb der Meldefrist von 72 Stunden, an die Behörde wenden.

Wann muss man mit Bußgeldern rechnen?

Für die Verhängung eines Bußgeldes ist ein Datenschutzverstoß Voraussetzung. Welche Verstöße das sein können, lässt sich in Art. 83 Abs. 4 und 5 DSGVO nachlesen. Darin ist eine Vielzahl von Normen aufgezählt, deren Verletzung Geldbußen nach sich ziehen kann, beispielsweise wenn die Betroffenenrechte missachtet werden. Allerdings kann ein Bußgeld nur verhängt werden, wenn die Stelle, die gegen Datenschutzvorschriften verstoßen hat, zumindest fahrlässig gehandelt hat. Das bedeutet, dass keines zu befürchten ist, wenn der Datenschutzvorfall ohne jedes Verschulden eingetreten ist.

Indes wird ein Bußgeld umso wahrscheinlicher, je fahrlässiger oder wenn gar vorsätzlich der Datenschutzverstoß herbeigeführt wurde. Weitere Kriterien, deren Vorliegen eher für die Verhängung eines Bußgeldes sprechen, sind: Die Größe der Datenmenge, die Anzahl der betroffenen Personen, eine besondere Schutzwürdigkeit der Daten oder wenn der aktuelle Verstoß nicht der erste ist. Nach ähnlichen Kriterien bestimmt sich auch die Höhe des Bußgeldes. Der Höchstrahmen ist wiederum in Art. 83 Abs. 4 und 5 DSGVO gesetzt worden mit den Summen von bis zu 10 bzw. 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes. Um diese Höchstgrenzen zu erreichen, müssen die Datenschutzverstöße aber sehr gravierend sein; wie im Falle der bereits angesprochenen Sanktion gegen British Airways. Hier waren teilweise als äußerst sensibel eingestufte Daten von ca. 500.000 Kunden für unbefugte Dritte über einen längeren Zeitraum hinweg zugänglich.

Was ganz grundsätzlich seit der Einführung der DSGVO festzuhalten ist: Mit Bußgeldern ist einerseits häufiger zu rechnen als zuvor und andererseits können im Einzelnen höhere Beträge erwartet werden – eine Entwicklung, die sich auch zukünftig noch fortsetzen dürfte. Richtet man sein Augenmerk ins EU-Ausland, ergibt sich ein vielfältiges Bild aufgrund unterschiedlicher Fortschritte bei der Umsetzung der DSGVO.

Fazit

Trotz der medienwirksamen Rekordbußgelder und der auch in der Breite häufigeren Sanktionierung gibt es im Zusammenhang mit DSGVO-Bußgeldern keinen Grund in Panik zu geraten. Das mit ihnen verfolgte Ziel ist nicht mehr und nicht weniger eine konsequente Umsetzung der DSGVO, die für jeden möglich ist und Bußgelder im Umkehrschluss zu vermeiden hilft. Und falls es dennoch einmal zu einem Vorfall gekommen ist, kann und sollte die Aufsichtsbehörde als beratende Institution begriffen werden, die bei der Bewältigung der Probleme unterstützt und die eine enge Zusammenarbeit mit geringeren Bußgeldern anerkennt. Wer über das Verfahren also informiert ist, sich gut beraten lässt und schließlich im Umgang mit der Behörde richtig vorgeht, hat auch unter der DSGVO wenig zu befürchten.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.