Was zunächst überraschend klingen mag, ist außerhalb Deutschlands Normalität. In Polen wurde bspw. vor Kurzem ein Bußgeld gegenüber einer Staatsanwaltschaft in Höhe von ca. 19.900 Euro verhängt. Während in Deutschland die Verhängung eines Bußgeldes gegenüber einer Behörde gesetzlich nicht möglich ist, kann in anderen europäischen Ländern ein behördlicher Verstoß gegen das Datenschutzrecht auch mit einem Bußgeld geahndet werden.
Sachverhalt und Rechtslage in Polen
Die polnische Staatsanwaltschaft hatte während einer Pressekonferenz personenbezogene Daten eines Opfers und weitere Details zu dem strafrechtlich relevanten Vorgang veröffentlicht. So wurden u. a. Vor- und Nachname als auch Tathergang und der Gesundheitszustand des Opfers genannt.
Die zuständige polnische Aufsichtsbehörde bewerte diesen Vorgang als Verstoß gegen die Art. 5, 6 und 9 der DSGVO. So verstieß die Veröffentlichung der Informationen und der Gesundheitsdaten gegen den Grundsatz von „Treu und Glauben“ und der „Rechtmäßigkeit“ der Datenverarbeitung, Art. 5 lit. a DSGVO. Hinzu kam, dass es für die Veröffentlichung der oben genannten Informationen durch die Staatsanwaltschaft keine Rechtsgrundlage gab. Sie handelte sowohl ohne eine Einwilligung der betroffenen Person als auch ohne ein berechtigtes Interesse oder eine andere Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Ob eine Aufsichtsbehörde ein Bußgeld erlassen muss oder sie einen Ermessensspielraum hat, hat der EuGH zugunsten eines Ermessenspielraumes entschieden, der diese das „Ob“ und „Wie“ eines Bußgeldes selbst beurteilen lässt (wir berichteten).
Die deutsche Regelung
In Deutschland kann aufgrund eines datenschutzrechtlichen Verstoßes kein Bußgeld gegenüber einer Behörde verhängt werden. Nach Art. 83 Abs. 7 DSGVO kann jeder Mitgliedstaat selbst darüber entscheiden, ob auch gegenüber einer Behörde eine Geldbuße erlassen werden kann. Diese sog. Öffnungsklausel ermöglicht es den einzelnen Mitgliedstaaten eigenständige nationale Regelungen zu schaffen für die Möglichkeit, entsprechende Bußgelder zu erheben. Deutschland hat davon in § 43 Abs. 3 BDSG Gebrauch gemacht. Hier steht schlicht, dass gegenüber Behörden und sonstigen öffentliche Stellen kein Bußgeld erlassen werden kann.
Die ersten Entwürfe der DSGVO sahen individuelle Gestaltungsmöglichkeiten der einzelnen Mitgliedstaaten nicht vor, da ein umfassender und einheitlicher Ansatz verfolgt wurde, bei dem nicht zwischen den einzelnen datenschutzrechtlichen Verantwortlichen unterschieden werden sollte. Unabhängig von der Möglichkeit, Empfänger eines Bußgeldes zu werden, sind öffentlich-rechtliche Institutionen natürlich auch Verantwortliche im Sinne des Datenschutzes und haben damit auch die Datenschutzgrundsätze nach der DSGVO, dem BDSG und weiteren Gesetzen einzuhalten. Allein die Tatsache, dass sie nicht Empfänger eines Bußgeldes werden können, entbindet sie nicht von der Verpflichtung zur Einhaltung der datenschutzrechtlichen Grundsätze. Hintergrund dieser Sonderregelung, die übrigens auch in Österreich und Kroatien angewendet wird, ist, das staatliche Institutionen sowieso an geltendes Recht gebunden sind und auch außerhalb des Datenschutzes nur aufgrund einer gesetzlichen Rechtsgrundlage handeln dürfen. Öffentliche Stellen und Behörden sind an das gesetzliche Rechtsstaatsprinzip gebunden. Unter Berücksichtigung des deutschen Rechtsverständnisses und des Grundsatzes der Gesetzmäßigkeit der Verwaltung erscheint der Gedanke sehr ungewöhnlich, dass eine Behörde gegen eine andere Behörde, möglicherweise sogar desselben Rechtsträgers, eine Geldbuße verhängt. Bei Streitigkeiten mit der Datenschutzaufsichtsbehörde können die Gerichte über die datenschutzrechtliche Rechtmäßigkeit der Verarbeitungsvorgänge entscheiden. Die Verhängung einer Geldbuße würde auch bloß zu einer Verschiebung der Finanzmittel innerhalb des öffentlichen Haushalts führen.
Einer Aufsichtsbehörde bleibt somit noch die Möglichkeit nach Art. 58 Abs. 2 DSGVO eine Weisung an die Behörde zu richten. Allerdings hat der deutsche Gesetzgeber in § 20 Abs. 7 BDSG vorgesehen, dass die Behörde die sofortige Vollziehung nicht anordnen darf. Die Begründung des Gesetzgebers ist, dass die beteiligten Behörden nicht in einem Subordinationsverhältnis zueinander stehen und eine verbindliche Entscheidung somit nur durch ein Gericht getroffen werden kann.
Die Ausnahmen
Anders ist es dort, wo öffentlich-rechtliche Unternehmen im Wettbewerb zueinander oder mit der klassischen Privatwirtschaft stehen. Diese Unternehmen bzw. Stellen sind nämlich keine öffentlichen Stellen i. S. v. Art. 83 Abs. 7 DSGVO, die von einer Geldbuße ausgeschlossen werden können. Hierzu zählen z. B. städtisch betriebene Krankenhäuser, gesetzliche Krankenkassen, Verkehrsunternehmen oder die städtische Abfallentsorgung. Mehr zu diesem Themenkomplex inklusive eines Busgeldes gegen die AOK finden Sie hier.