Bußgeldverfahren nach der DSGVO: Kompakt erklärt

Die DSGVO wird vor allem mit hohen Bußgeldern in Verbindung gebracht. Diese verfolgen einen Sanktionierungszweck und können bis zu 20 Millionen Euro betragen oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens ausmachen. Einen absoluten Höchstbetrag sieht die DSGVO also nicht vor. Der von der DSGVO vorgegebene Rahmen wird jedoch selten ausgeschöpft werden. Denn damit im Einzelfall keine unverhältnismäßigen Bußgelder verhängt werden, gibt die DSGVO Kriterien vor, die bei der Ermittlung der Bußgeldhöhe berücksichtigt werden sollen. Aktuell ist bei den Datenschutzbehörden in Deutschland noch eine gewisse Zurückhaltung bei der Verhängung von Bußgeldern zu erkennen. Die Datenschutzbehörden begründen dies vor allem damit, dass Unternehmen eine gewisse Übergangsphase (auch nach Wirkung der DSGVO seit dem 25.05.2018) zugestanden wird. Allerdings sind bereits erste Bußgelder verhängt worden und nach Verlautbarungen der Behörden sind eine große Zahl von Verfahren anhängig.

Hintergrund: Kartellrechtlicher Unternehmensbegriff

Die Höhe des Bußgeldes hängt zunächst maßgeblich vom Umsatz des Unternehmens ab. Erhebliche Auswirkung auf die Höhe des Bußgeldes kann also der der DSGVO zugrundeliegende Unternehmensbegriff haben. Erwägungsgrund 150 der DSGVO sowie die Artikel-29-Datenschutzgruppe verweisen darauf, dass beim Unternehmensbegriff nach der DSGVO an den Unternehmensbegriff der Artikel 101 und 102 des AEUV (Vertrag über die Arbeitsweise der EU) angeknüpft werden soll. Dieser kartellrechtliche Unternehmensbegriff geht vom Unternehmen als Wirtschaftseinheit aus. Demnach gehören zu einem Unternehmen neben der Muttergesellschaft auch alle abhängigen Tochtergesellschaften, unabhängig von der Art der Finanzierung. Die Wirtschaftseinheit ist vor allem dann anzunehmen, wenn die Tochtergesellschaft trotz eigener Rechtspersönlichkeit in ihrem Marktverhalten Weisungen und einem erkennbaren Einfluss der Muttergesellschaft unterliegt. In der Literatur wird die Konkretisierung des Unternehmensbegriffs in den Erwägungsgründen mit Blick auf den Bestimmtheitsgrundsatz zum Teil scharf kritisiert. Es ist jedoch davon auszugehen, dass sich die Aufsichtsbehörden dem weiten Unternehmensbegriff schon aus rechtspolitischen Gründen anschließen werden.

Grundlage: Die Bemessung der Bußgeldhöhe

Die Artikel-29-Datenschutzgruppe verweist darauf, dass Bußgelder, wie alle Abhilfemaßnahmen, „wirksam, verhältnismäßig und abschreckend“ sein müssen. Das Bußgeldverfahren setzt daher immer eine Einzelfallbetrachtung und eine Differenzierung nach der Zielrichtung der Abhilfemaßnahme voraus. Erforderlich ist also die Differenzierung danach, ob ein Verstoß behoben oder bestraft werden soll. Bußgelder können daher allein oder neben weiteren Abhilfemaßnahmen verhängt werden; sie können jedoch auch gänzlich ausbleiben.

Die Verhängung von Bußgeldern ist in der DSGVO vor allem in Artikel 83 geregelt. Artikel 83 Absatz 2 legt als Kriterien für die Bemessung von Bußgeldern Art, Schwere und Folgen des Verstoßes fest. Die Differenzierung nach der Art des Verstoßes erfolgt vor allem durch Artikel 83 Absatz 4 und 5 DSGVO. Grundsätzlich weniger schwerwiegende Verstöße sind in Absatz 4 geregelt, schwerere Verstöße finden sich in Absatz 5. Bei Verstößen etwa gegen die Vorgaben zu datenschutzfreundlichen technischen Voreinstellungen (Privacy by design) drohen Bußgelder bis zu 10 Millionen Euro oder bei Unternehmen bis zu 2% des weltweiten Jahresumsatzes. Dagegen sind Verstöße gegen Vorschriften zum Umgang mit besonders sensiblen personenbezogenen Daten (etwa Gesundheitsdaten) mit Bußgeldern bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes belegt. Liegen Verstöße gegen mehrere Vorschriften vor, so legt die Artikel-29-Datenschutzgruppe nahe, die Geldbuße nach dem schwersten Verstoß (also etwa die Verletzung der Vorgaben zum Umgang mit Gesundheitsdaten) zu bemessen.

Bezüglich der Schwere und der Folgen des Verstoßes ist zudem die Anzahl der betroffenen Personen und der Zweck der Datenverarbeitung zu berücksichtigen. So können Verstöße, die sich im gesamten Konzern auswirken mit erheblich höheren Bußgeldern belegt werden, als Verstöße, die sich nur gegenüber den Kunden einer Tochtergesellschaft ausgewirkt haben. Zudem sind die Dauer des Verstoßes und mögliche erlittene materielle oder immaterielle Schäden auf Seiten der Betroffenen zu berücksichtigen. Ebenfalls zu gewichten ist die Art der betroffenen Daten (Ist eine Identifizierung des Betroffenen möglich? Handelt es sich um besonders sensible Daten?).

Weiterhin einzubeziehen ist, ob die Verantwortlichen vorsätzlich (Wurde die Verarbeitung von höchster Geschäftsebene, eventuell sogar der Konzernführung, angeordnet?) oder fahrlässig (Das kann der Fall sein, wenn nicht alle erforderlichen Maßnahmen ergriffen wurden, um der Komplexität der Geschäftsvorgänge gerecht zu werden.) gehandelt haben.
Ebenfalls entscheidende Kriterien sind, wie die Vorgaben zu datenschutzfreundlichen technischen Voreinstellungen und die sonstigen technischen und organisatorischen Maßnahmen umgesetzt worden sind. Außerdem fallen frühere Verstöße gegen das Datenschutzrecht, der Umgang mit diesen und mit anerkannten Verhaltensregeln für Unternehmen ins Gewicht. Die Einzelfallprüfung impliziert, dass auch alle sonstigen erschwerenden und mildernden Umstände berücksichtigt werden.

Die Bußgeldhöhe hängt jedoch nicht nur von der Art des Verstoßes ab. Maßgeblich ist auch, ob Abhilfemaßnahmen nach Bekanntwerden des Verstoßes (etwa Benachrichtigung der Betroffenen, Notfallmaßnahmen bei Datenpannen) ergriffen wurden und wie mit der Aufsichtsbehörde kooperiert wurde. Nach Bekanntwerden des Verstoßes ist daher die freiwillige Kooperation mit Aufsichtsbehörden und Datenschutzbeauftragten dringend angeraten. Weist die Aufsichtsbehörde zur Vorlage von Informationen an, sollte dieser Aufforderung vollständig nachgekommen werden.

Schwerpunkt: Datenschutzmanagementsystem (DSMS) im Konzern

Für Konzerne  ergeben sich daraus besondere Anforderungen. Die Einbeziehung des Umsatzes der Tochtergesellschaften verlangt eine ganzheitliche Perspektive beim Datenschutz. Bei der Einrichtung von Gefährdungsanalysen und Datenschutzmanagementsystemen sollte die Perspektive des gesamten Konzerns berücksichtigt werden. Insbesondere der Austausch von Daten zwischen Konzerngesellschaften aber auch Datenverarbeitungen durch einzelne Tochtergesellschaften sollten dabei zum Gegenstand von einheitlichen Analysen gemacht werden. Die Bestellung eines externen Konzerndatenschutzbeauftragten kann dabei helfen einen Überblick zu bewahren.
Die Artikel-29-Datenschutzgruppe betont zudem ausdrücklich, dass Unternehmen Strukturen einrichten müssen, die der Komplexität ihrer Geschäftstätigkeit gerecht werden, um dem Vorwurf der Fahrlässigkeit zu entgehen. Unternehmen können sich daher nicht darauf berufen, dass zu wenig Ressourcen zur Vermeidung datenschutzrechtlicher Verstöße vorhanden sind. Einheitliche Vorgaben für die gesamte Unternehmensgruppe, etwa hinsichtlich der Umsetzung von datenschutzfreundlichen technischen Voreinstellungen, können das Bußgeldrisiko erheblich reduzieren.
Innerhalb eines Konzerns kann es sich zudem empfehlen Vorgänge, die eine Verarbeitung personenbezogener Daten beinhalten, regelmäßig und in Kooperation mit den Aufsichtsbehörden einer Gefährdungsanalyse zu unterziehen, um die unter Umständen hohen Bußgelder, die aus dem weiten Unternehmensbegriff der DSGVO resultieren, zu vermeiden.

Aktuelle Fälle von Bußgeldern

Als erstes Unternehmen in Deutschland wurde Knuddels mit einem Bußgeld belegt. Hacker hatten auf den Servern der Chat-Plattform gespeicherte Daten abgegriffen und veröffentlicht. Knuddels Verstoß bestand darin, die Daten nicht ordnungsgemäß gesichert zu haben. Das Unternehmen hat sich gegenüber der Datenschutzbehörde umfassend eingelassen und Investitionen in die technische Infrastruktur zugesagt. Deshalb blieb es für Knuddels bei einem Bußgeld von 20.000 Euro. Das Beispiel zeigt, dass eine Kooperation mit den zuständigen Aufsichtsbehörden Auswirkungen auf die Bußgeldhöhe haben kann.

Spitzenreiter in Sachen Bußgeld ist jedoch seit Juli 2019 British Airways. Aufgrund eines Zugriffs unbefugter Dritter auf das Online-Buchungssystem konnten Kundendaten, die u.a. Kreditkarteninformationen enthielten, von ca. 500.000 Kunden nach außen gelangen. Die britische Datenschutzaufsicht sanktionierte diesen Verstoß mit umgerechnet rund 200 Millionen Euro, was 1,5 % des Jahresumsatzes von British Airways entspricht. Kurz danach wurde ebenfalls von der britischen Datenschutzaufsicht ein Bußgeld gegen den Hotelbetreiber Marriott in Höhe von umgerechnet 110 Millionen Euro angedroht. Auch hier ging es um den Zugriff unbefugter Dritter auf Kundendaten, die auf ein Datenleck des 2016 von Marriott übernommenen Unternehmen Starwood zurückzuführen sind.

Diese beiden Fälle betonen die Notwendigkeit, Cybersecurity und Datensicherheit ernst zu nehmen. Verstöße gegen den Grundsatz von Vertraulichkeit und Integrität der Daten durch den Verantwortlichen können zu hohen Bußgeldern führen, wie die aktuellen Fälle zeigen. Insbesondere in der Tourismus- und Reisebranche ist ein sicherer Umgang mit den Kundendaten essenziell, da hier besonders viele personenbezogenen Daten erhoben und benötigt werden, um die Digitalisierung der Branche voranzutreiben. Werden zudem andere Unternehmen aufgekauft, so ist auch auf Datenschutz und Datensicherheit der zu übernehmenden Systeme zu achten.

Ein aktueller Fall aus Polen zeigt, dass das bewusste Verstoßen gegen Regelungen der DSGVO besonders hart sanktioniert wird. Das polnische Unternehmen Bisnode Polska Sp. z o.o. verzichtete aus Kostengründen auf die Erfüllung ihrer Informationspflichten aus Artikel 14 DSGVO. Die polnische Aufsichtsbehörde UODO bemängelte diesen Umstand, woraufhin sich das Unternehmen auf Artikel 14 Absatz 5 lit. b DSGVO berief. Danach kann eine Information unterbleiben, wenn sich die Erteilung als unmöglich erweist oder einen unverhältnismäßig hohen Aufwand erfordern würde. Die Aufsichtsbehörde schloss sich dem nicht an und verhängte daraufhin ein Bußgeld in Höhe von rund 220.000 Euro. Dieser Fall unterstreicht die Tatsache, dass sich eine Kooperation mit den Aufsichtsbehörden als bußgeldmindernd erweisen kann.

Auch in Dänemark wurde ein Sanktionsverfahren gegen das Taxi-Unternehmen Taxa 4×35 eingeleitet. Dem Unternehmen wird vorgeworfen gegen die Grundprinzipien der Datenminimierung und der Speicherbegrenzung verstoßen zu haben. Das Unternehmen gab an, dass die erhobenen personenbezogenen Daten der Fahrgäste nach 2 Jahren gelöscht würden, was tatsächlich nicht der Fall war. Die Daten sollten anonymisiert werden, um diese schließlich weiterverwerten zu können. In Wirklichkeit aber löschte das Unternehmen lediglich die Kundennamen. Ein Personenbezug konnte mit den restlichen Daten der 8,8 Millionen getrackten Taxifahrten problemlos wiederhergestellt werden. Die Aufsichtsbehörde empfahl daraufhin ein Bußgeld von mehr als 160.000 Euro.

Insgesamt sind aktuell über 40 Fälle von verhängten Bußgeldern in Deutschland bekannt, dies gilt auch für fahrlässige Verstöße wie das zufällige Einblenden von Kundendaten anderer Nutzer beim Online-Banking oder im Falle von Webshops, auch von mittleren Unternehmen. Die Aufsichtsbehörden sind darum bemüht, die Umsetzung der DSGVO voranzutreiben und versuchen mögliche Probleme bei der Umsetzung zu ermitteln und Verwarnungen und Hinweise auszusprechen, bevor Bußgelder verhängt werden. So führt Niedersachen gerade eine Überprüfung von 50 Unternehmen durch, um etwaige Hinweise auf Probleme bei der Umsetzung der DSGVO zu erhalten. Allerdings können diese Überprüfungsverfahren auch in Bußgeldern münden, wenn Verstöße erkannt werden. Unternehmen ist daher zu raten die Übergangsphase nicht als Freifahrtschein zu werten und rechtzeitig ein effektives Datenschutzmanagement-System zu etablieren. Die aktuell gegen Google verhängten Bußgelder in Frankreich zeigen, dass auch Bußgelder in Millionenhöhe nicht mehr ausgeschlossen sind.

 

Lesen Sie auch folgende Beiträge:

DSGVO Abmahnungen: Orientierungshilfe für Unternehmen

Vom Datenschutzvorfall zum Bußgeldbescheid: Wie handelt die Aufsichtsbehörde

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.