Aktuelles zu DSGVO-Bußgeldern: Was ändert sich für Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) sieht nicht nur eine Vielzahl von Pflichten für Auftragsverarbeiter:innen und Verantwortliche vor, sondern auch die Möglichkeit, Pflichtverstöße mit Bußgeldern zu sanktionieren. In diesem Zusammenhang gewinnt das laufende Vorabentscheidungsverfahren „Deutsche Wohnen“ vor dem Gerichtshof der Europäischen Union (EuGH) besondere Bedeutung. Denn die Luxemburger Richter:innen müssen klären, ob Unternehmen unmittelbar – und gegebenenfalls verschuldensunabhängig – bebußt werden können. Je nachdem, wie der EuGH entscheidet, könnten Datenschutzverstöße in Zukunft leichter zugerechnet werden. Das Risiko für Bußgelder könnte weiter steigen. Unser Beitrag setzt sich mit dem genannten Verfahren auseinander, zeigt auf, welche Konsequenzen die Entscheidung haben wird, und beleuchtet, was Unternehmen schon heute tun können, um DSGVO-Bußgelder zu vermeiden. 

DSGVO-Bußgelder: Unterscheidung, Anforderungen und mögliche Sanktionen

Die rechtlichen Vorgaben für DSGVO-Bußgelder finden sich in Art. 83 und in Art. 58 Abs. 2 lit. i) DSGVO. Danach hat jede Aufsichtsbehörde die Befugnis, unter Berücksichtigung der Umstände des Einzelfalls ein wirksames, verhältnismäßiges und abschreckendes Bußgeld zu verhängen. In der DSGVO wird zwischen zwei Bußgeldrahmen unterschieden. Ein Bußgeld bis zu 10 Millionen Euro oder – je nachdem, was höher ist – 2% des gesamten weltweiten Jahresumsatzes eines Unternehmens kann bei Verstößen gegen Art. 8, 11, 25 bis 39, 42 und 43 DSGVO verhängt werden. Ein solches Bußgeld kommt also beispielsweise in Betracht, wenn ein Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Bei Verstößen gegen Art. 5, 6, 7, 9, 12 bis 22, 44 bis 49 und 58 DSGVO kann die Behörde ein Bußgeld bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes verhängen. Ein solches Bußgeld kommt insbesondere dann in Betracht, wenn Unternehmen personenbezogene Daten nicht rechtmäßig verarbeiten, kein ordnungsgemäßes Aufbewahrungs- und Löschkonzept implementiert haben oder Betroffenenanfragen nicht oder nicht rechtzeitig nachkommen.

Das DSGVO-Bußgeldverfahren: Von der Einleitung zur Entscheidung

Einem DSGVO-Bußgeldverfahren geht regelmäßig ein Verwaltungsverfahren voraus. Bereits im Rahmen dieses Verfahrens prüft die zuständige Aufsichtsbehörde, ob ein Verstoß gegen die DSGVO vorliegt. Stellt die Fachabteilung der Aufsichtsbehörde einen Verstoß fest, gibt sie das Verfahren an die Bußgeldstelle ab, die ihrerseits prüft ob ein sogenannter Anfangsverdacht vorliegt, ob also tatsächliche Anhaltspunkte für das Vorliegen einer Ordnungswidrigkeit bestehen. Anschließend ermittelt die Behörde den Sachverhalt. Sie sammelt die relevanten Informationen und prüft etwaige Verstöße gegen die DSGVO. Auf Grundlage dieser Prüfung kann das Verfahren dann entweder eingestellt oder ein Bußgeld verhängt werden.  

Die Festsetzung der DSGVO Bußgelder erfolgt unter Berücksichtigung der individuellen Umstände des Verstoßes, der Art und Schwere der Verletzung sowie unter Berücksichtigung der Abschreckungsfunktion. Im Jahr 2022 hat der Europäische Datenschutzausschuss neue Leitlinien für die Bemessung von Bußgeldern verabschiedet. Für die Adressat:innen eines Bußgelds besteht dann die Möglichkeit, Einspruch gegen das verhängte Bußgeld einzulegen. Wird Einspruch erhoben, prüft die Behörde, die den Bescheid erlassen hat, erneut die Sachlage. In manchen Fällen kann die Behörde dem Einspruch abhelfen, den Bescheid angepasst erlassen oder aufheben. Andernfalls wird das Verfahren an die Staatsanwaltschaft und das zuständige Gericht abgegeben. 

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Das Verfahren „Deutsche Wohnen“: Wann sind Unternehmen bußgeldpflichtig?

Im Jahr 2017 führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eine Vor-Ort-Kontrolle bei dem Immobilienkonzern „Deutschen Wohnen“ durch. Dabei stellte sich heraus, dass das Unternehmen mehr Daten speicherte, als die Berliner Behörde für erforderlich hielt. Die BlnBDI forderte die „Deutsche Wohnen“ daraufhin zum Löschen der Daten auf. Im Rahmen einer Stichprobenkontrolle wurde dann festgestellt, dass die Daten weiter gespeichert worden waren, obwohl sie nach Auffassung der Behörde hätten gelöscht werden müssen. Infolge dieses Verstoßes verhängte die Behörde ein Bußgeld in Höhe von 15 Millionen Euro gegen „Deutsche Wohnen“. Das Unternehmen legte daraufhin Beschwerde beim Landgericht Berlin (LG Berlin) ein. Da der Bußgeldbescheid aber an die „Deutsche Wohnen“ als juristische Person gerichtet war (und keine Angaben zu einer natürlichen Person (Leitungsperson) enthielt), stellte das LG Berlin das Verfahren ein. Nach Auffassung der Berliner Richter:innen konnte nur eine Führungskraft oder ein Mitarbeiter Adressat eines Bußgeldbescheids sein, nicht aber ein Unternehmen. Die Staatsanwaltschaft legte gegen den Einstellungsbeschluss des LG Berlin Beschwerde beim Kammergericht (KG) ein. Das KG sah in dem Verfahren wesentliche Fragen des Unionsrechts berührt und legte dem EuGH dahingehend Fragen zur Vorabentscheidung vor. Das KG möchte von den Luxemburger Richter:innen wissen, ob 

  1. eine juristische Person als unmittelbarer Adressat eines Bußgeldverfahrens in Betracht kommt und, falls ja, ob 
  2. ob ein objektiver Pflichtverstoß verschuldensunabhängig zu einem Bußgeld führen kann. 

Der Ausgang des Verfahrens hat eine erhebliche Bedeutung für die Auslegung der DSGVO und die zukünftige Handhabung von DSGVO-Bußgeldern gegen Unternehmen. 

Exkurs: Rechtsträgerprinzip vs. Funktionsträgerprinzip

Den rechtlichen Aufhänger des Verfahrens bildet die Frage, unter welchen Voraussetzungen juristische Personen Adressat:innen eines Bußgeldverfahrens sein können. Die DSGVO macht hierzu keine klaren Vorgaben, enthält aber – in Art. 83 Abs. 8 DSGVO – eine zwingende Öffnungsklausel. Diese Öffnungsklausel schreibt den Mitgliedstaaten vor, angemessene Verfahrensgarantien, wirksame gerichtliche Rechtsbehelfe und ordnungsgemäße Verfahren einzurichten. In Deutschland wurde von dieser Klausel mit § 41 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Dieser Paragraf regelt, dass die Grundsätze des deutschen Ordnungswidrigkeitenrechts bei der Verhängung von Bußgeldern nach der DSGVO sinngemäß Anwendung finden sollen. 

Problematisch ist in diesem Fall die Anwendung von § 30 OWiG. Dieser normiert das sogenannte Rechtsträgerprinzip. Danach setzt die Verhängung einer Geldbuße die Feststellung eines Rechtsverstoßes durch eine Person in leitender Stellung voraus. Im Fall „Deutsche Wohnen“ wird deshalb die Frage diskutiert, ob ein Verstoß gegen Datenschutzvorschriften durch sonstige Beschäftigte des Unternehmens ausreicht, um ein Bußgeldverfahren einzuleiten. Hierbei steht das deutsche Konzept im Gegensatz zum sogenannten Funktionsträgerprinzip, das beispielsweise im Kartellrecht Anwendung findet. Letzteres besagt, dass ein Bußgeldverfahren unabhängig von der Identifizierung einer spezifischen Person direkt gegen das Unternehmen gerichtet werden kann. Es genügt, wenn der Verstoß durch eine:n beliebige:n Mitarbeiter:in des Unternehmens begangen wurde. 

In „Deutsche Wohnen“ geht es also vor allem um die Frage, ob bei der Verhängung von Bußgeldern bei Datenschutzverstößen das deutsche Rechtsträgerprinzip oder das europäische Funktionsträgerprinzip angewendet werden soll. Diese Auseinandersetzung berührt den grundlegenden Aspekt, ob die individuelle Identifizierung von Tätern notwendig ist oder ob Unternehmen unmittelbar für Verstöße verantwortlich gemacht werden können. 

Stellungnahme des Generalanwalts zum Verfahren „Deutsche Wohnen“

Die Stellungnahme des Generalanwalts spielt in Vorabentscheidungsverfahren eine besondere Rolle. Der EuGH ist zwar nicht dazu verpflichtet, die Empfehlungen des Generalanwalts zu berücksichtigen, folgt diesen aber häufig. 

In Bezug auf die erste Vorlagefrage sprach sich der Generalanwalt dafür aus, dass es im Unionsrecht keine Hindernisse gäbe, Unternehmen zu bebußen. Die relevanten Art. 4, 58 und 83 DSGVO sehen juristische Personen explizit als mögliche Sanktionsadressat:innen vor. Das Konzept der Täter:inneneigenschaft sei eng mit der datenschutzrechtlichen Verantwortlichkeit verknüpft und ermögliche die unmittelbare Sanktionierung von Unternehmen.

In Bezug auf die zweite Vorlagefrage äußerte der Generalanwalt, dass der Wortlaut von Art. 83 DSGVO gegen die Annahme einer verschuldensunabhängigen Haftung spreche. Die in Art. 82 Abs. 2 lit. b DSGVO festgeschrieben Kriterien („Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“) seien bei der Verhängung von Bußgeldern von entscheidender Bedeutung. Auch Art. 83 Abs. 3 DSGVO setze Verschulden ausdrücklich voraus. 


Das könnte Sie auch interessieren:


Ausblick: Verantwortlichkeit von Unternehmen bei Datenschutzverstößen?

Folgt der EuGH den Schlussanträgen des Generalanwalts, könnten Unternehmen direkt für Verstöße gegen die DSGVO zur Verantwortung gezogen werden. Erteilt er der verschuldensunabhängigen Haftung eine Absage, stellt sich weiter die Frage, auf wessen Verschulden abzustellen und welcher Verschuldensgrad künftig erforderlich ist. Man wird sehen, ob der EuGH hier der Einschätzung der Berliner Behörde folgt oder zumindest eine Aufsichtspflichtverletzung der Leistungsebene fordert. In jedem Fall wird die Entscheidung des EuGH über die Verantwortlichkeit von Unternehmen und die Zurechnung von Verstößen gegen die DSGVO erhebliche Auswirkungen auf die Datenschutzlandschaft und die Ausgestaltung von Compliance-Systemen haben. Unternehmen werden zukünft möglicherweise verstärkt in die Pflicht genommen, Verstöße gegen Datenschutzbestimmungen zu verhindern und angemessene Kontroll- und Überwachungssysteme einzuführen, 

Proaktives Datenschutzmanagement: Vorbereitung und Strategie zur Vermeidung von DSGVO Bußgeldern

Unternehmen sollte die Zeit bis zur EuGH-Entscheidung nicht ungenutzt lassen, sondern bereits jetzt Maßnahmen ergreifen, um Risiken zu minimieren. Ein effektives Datenschutzmanagement und die kontinuierliche Sensibilisierung der Beschäftigten für Datenschutzfragen sind von entscheidender Bedeutung. Zudem sollten Unternehmen Fristen im Auge behalten und sicherstellen, dass Compliance-Pflichten, bestmöglich erfüllt werden. Die unverzügliche Bearbeitung von Betroffenenanfragen, die rechtzeitige Meldung von Datenschutzverstößen und die pflichtgemäße Information von Betroffenen sind weitere Schlüsselelemente, um etwaigen Bußgeldern vorzubeugen. Unternehmen sollten sich der Tragweite ihrer Kooperation mit den Datenschutzbehörden bewusst sein und diese wohlüberlegt gestalten, um ihre Position zu stärken und möglichen Sanktionen erfolgreich zu begegnen. 

In Anbetracht der komplexen und sich ständig entwickelnden rechtlichen Rahmenbedingungen ist proaktives Handeln der Schlüssel – professionelle Unterstützung kann den entscheidenden Unterschied machen. Unsere Expert:innen stellen sicher, dass Ihr Unternehmen ideal aufgestellt ist, um Datenschutzverstöße zu vermeiden und bei Krisen schnell handlungsfähig zu sein. Sprechen Sie uns an, wenn gegen Ihr Unternehmen ein Bußgelddroht, ein entsprechendes Verfahren eingeleitet wurde oder Sie bereits Adressat:in eines Bußgeldbescheids geworden sind. Unsere erfahrenen Anwält:innen helfen Ihnen gerne dabei, sich in allen Verfahrensstadien optimal zu verteidigen.

Wir optimieren Ihr Datenschutzmanagement!

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.