Während Bußgelder für Datenschutzverstöße privatwirtschaftlicher Stellen in aller Munde sind, bleiben Bußgelder gegen öffentliche Stellen in Deutschland eher die Ausnahme. Die gesellschaftspolitischen Gründe hierfür erscheinen zunächst einleuchtend, da Bußgelder im öffentlichen Bereich oftmals nur zu einer „Umtopfung“ von Steuergeldern führen und insbesondere auf unterster Ebene der Verwaltungshierarchie spürbare Konsequenzen für die Bürger*innen haben können, wenn bspw. Gelder für den Bau eines neuen Spielplatzes fehlen, weil die Gemeinde ihren datenschutzrechtlichen Pflichten nicht nachgekommen ist.
Der folgende Beitrag soll die rechtlichen Grundlagen und den Anwendungsbereich in diesem Kontext erläutern, Alternativen zu Bußgeldern sowie eine unterschiedliche Herangehensweise im Geltungsbereich der DSGVO aufzeigen.
Rechtlicher Rahmen für (keine) Bußgelder gegen öffentliche Stellen
Der europäische Gesetzgeber hat mit Art. 83 Abs. 7 DSGVO eine Öffnungsklausel geschaffen, die es den Mitgliedstaaten ermöglicht, auf Bußgelder gegen öffentliche Stellen komplett zu verzichten oder den Umfang zu beschränken. Der deutsche Gesetzgeber hat davon fast im vollen Maße gebraucht gemacht und in § 43 Abs. 3 BDSG festgelegt, dass gegen die öffentlichen Stellen des Bundes keine Bußgelder verhängt werden können. Die Länder haben ebenfalls nachgezogen und strukturell sehr unterschiedliche, aber vom Wirkungsgrad identische Klauseln in ihre jeweiligen Landesdatenschutzgesetze aufgenommen (vgl. als Beispiele Schleswig-Holstein (§ 19 Abs. 1 LDSG) und Hamburg (§ 2 Abs. 3 HmbDSG)).
Eine staatsrechtliche Begründung für den Ausschluss von Bußgeldern gegen öffentliche Stellen ist nicht eindeutig erkennbar. Eine mögliche Erklärung liefert immerhin der bayerische Gesetzgeber in der Begründung zum BayDSG, der weder eine Erforderlichkeit, noch eine Angemessenheit für ein Bußgeld gegen eine öffentliche Stelle sieht und hervorhebt, dass diese Art der Sanktionierung dem deutschen Verfassungsrecht ohnehin fremd sei.
Wo die Bußgeldausnahme nicht greift
Zumindest eine Ausnahme vom Bußgeldausschluss kann aus § 2 Abs. 5 BDSG hergeleitet werden, wenn öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen. Die Voraussetzung beschränkt sich dabei auf den konkurrierenden Status zu privaten Unternehmen und nicht auf Faktoren wie eine Gewinnerzielungsabsicht oder die Intensität des Wettbewerbs. Typische Beispiele sind Aktivitäten der öffentlich-rechtlichen Kreditinstitute (Sparkassen), Versicherungen oder staatlichen Krankenhäusern in den Bereichen der Werbung, inklusive Kunden- und Personalgewinnung.
Der Fall AOK Baden-Württemberg: Das in jedem Fall bisher höchste Bußgeld von 1,24 Mio. Euro gegen eine öffentliche Stelle in der Bundesrepublik wurde vom ehemaligen baden-württembergischen Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink gegen die AOK Baden-Württemberg verhängt. Im Rahmen eines Gewinnspiels nahm die Krankenkasse zu über 500 Personen Kontakt auf, ohne dass die betroffenen Personen für diesen Zweck der Datenverarbeitung ihre Einwilligung erteilt hatten. Bei einer Untersuchung wurden sodann bußgeldbewährte Mängel an den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO festgestellt, insbesondere bzgl. interner Richtlinien und eines nicht-vorhandenen Schulungskonzepts.
Alternativen zu Bußgeldern
Aufgrund dieses begrenzten Anwendungsbereiches wird oftmals von einem ungerechten „Zwei-Klassen-System“, im Vergleich zwischen öffentlichen und privaten Stellen bei der Bußgeldverhängung, gesprochen. Genießen also öffentliche Stellen weitestgehend Narrenfreiheit im Umgang mit personenbezogenen Daten?
In einem sehr lesenswerten (Abschieds-)Interview auf netzpolitik.org hinterfragt der bereits erwähnte ehemalige baden-württembergische LfDI Dr. Brink die (angebliche) Alternativlosigkeit des Bußgeldmechanismus und deutet andere Wege an: Zwar sei auf der einen Seite die Androhung und Verhängung von Bußgeldern enorm wichtig im Sinne der Abschreckung, auf der anderen Seite seien die Verfahren sehr aufwändig und personalintensiv, sodass diese häufig zu finanziellen „Verlustgeschäften“ für die Aufsichtsbehörden führen würden. Dies sei insbesondere bei öffentlichen Stellen problematisch, weil die Steueraufwendungen beidseitig – das Bußgeld selbst und die Verfahrenskosten der Bußgeldverhängung – anfallen. Daher plädiert Dr. Brink für alternative Herangehensweisen. Er verweist hier explizit auf effektive Maßnahmen wie eine Verwaltungsanordnung, mit der er bspw. erfolgreich gegen den Tübinger Oberbürgermeister Boris Palmer und das Führen einer Liste von sog. „auffälligen Geflüchteten“ intervenierte. Konkret wurde im Rahmen dieser Anordnung das Führen der Liste untersagt, weil eine Zweckentfremdung vorlag sowie keine konkrete Gefährdungssituation für die Behördenmitarbeitenden selbst. Weiterhin lag keine Rechtfertigung vor, weil bei den meisten Asylsuchenden weder die Staatsanwaltschaft noch ein Gericht die Tatvorwürfe abschließend geprüft hatte.
Eine weitere Möglichkeit wäre, die in der öffentlichen Stelle für die Datenschutzverletzung verantwortliche Person im stärkeren Maße (finanziell) zu sanktionieren. Aus datenschutzrechtlicher Sicht muss sich dieser Ansatz insbesondere an Art. 29 DSGVO und einschlägigen arbeitsrechtlichen Bestimmungen messen. Nur im Falle einer absichtlichen Nichteinhaltung der Weisung wäre eine Sanktionierung von der DSGVO gedeckt. Einen ausführlichen Beitrag zum sog. Mitarbeiterexzess finden Sie hier. Oftmals sind dies Fälle, in denen Beamt*innen und Angestellte im öffentlichen Dienst (z. B. bei der Polizei) den Zugang zu Datenbanken nutzen, um nicht-dienstliche Zwecke zu verfolgen bzw. das Maß ihrer hoheitlichen Befugnisse zu überschreiten. Über einen konkreten Fall wurde auch bereits auf diesem Blog berichtet (zum Beitrag „Polizist muss Bußgeld zahlen“). Darüber hinaus wirft ein personalisierter Sanktionsmechanismus arbeitsrechtliche und strafrechtliche Fragestellungen auf, die weit über die Sphären des Datenschutzes hinausgehen.
Weiterhin darf nicht außer Acht gelassen werden, dass das öffentliche Interesse an Missständen bei öffentlichen Einrichtungen im Vergleich zu privaten Stellen grundsätzlich höher anzusetzen ist. Datenschutzverletzungen werden deshalb transparenter und umfänglicher offengelegt und haben i. d. R. größeren Einfluss auf die berufliche Zukunft (demokratische Wiederwahl und Amtsbestellung) der datenschutzrechtlich und auch politisch Verantwortlichen. Dass der öffentliche Druck für die Verantwortlichen somit i. d. R. höher wiegt als ein Bußgeld, ist deshalb auch nicht von der Hand zu weisen.
Kurzer Blick ins europäische Ausland am Beispiel der Niederlande
Einen Vergleich zu Bußgeldverfahren gegen öffentliche Stellen in anderen europäischen Staaten zu ziehen, fällt gar nicht so leicht. Grund hierfür sind fehlende (oder nicht auffindbare) Statistikerhebungen in diesem expliziten Kontext. Grundsätzlich sind Bußgelder gegen staatliche Institutionen z. B. in Italien und den skandinavischen Ländern möglich, in Frankreich oder Österreich wiederum nicht. Der Titel „Bußgeld-Europameister“ im Zusammenhang mit Sanktionen gegen öffentliche Stellen dürfte hingegen den Niederlanden verliehen werden:
So wurde bspw. durch die niederländische Aufsichtsbehörde ein Bußgeld von 2,75 Mio. Euro – und damit mehr als doppelt so viel wie das Bußgeld gegen die AOK – gegen das niederländische Finanzministerium im Rahmen der sog. „Toeslagenaffaire“ (deutsch: „Kindergeldaffäre“) verhängt. Durch Steuerbehörden wurden personenbezogene Daten (in erster Linie die Nationalität der Antragssteller*innen) im Rahmen der Kindergeldvergabe in den 2010er Jahren verarbeitet, um kategorisch Risikobewertungen für potentiellen Steuerbetrug vorzunehmen. Dies betraf insgesamt bis zu 270.000 Personen. Über das Bußgeld hinaus führte dieser Skandal letztendlich sogar zum Rücktritt der Regierung und zu Neuwahlen Ende 2020. Weitere Untersuchungen führten zu einer Anhebung des Bußgeldes auf ca. 3,4 Mio. Euro (Stand: April 2022).
Auch auf kommunaler Ebene gehen die niederländischen Aufsichtsbehörden konsequent vor. Gegen die Gemeinde Enschede wurde 2021 bspw. ein Bußgeld von 600.000 Euro ausgesprochen, weil die Gemeinde Messboxen aufgestellt hatte, um WLAN-Signale in der Stadt zu erfassen und dadurch den Besucherandrang in der Innenstadt zu messen. Da aber den einzelnen Mobiltelefonen der betroffenen Personen Codes zugeordnet und die Daten der einzelnen Messboxen zentralisiert erfasst wurden, war es möglich, die Bewegungen betroffener Personen nachzuvollziehen. Somit lag ein Verstoß gegen die Grundsätze der Rechtmäßigkeit und Transparenz gem. Art. 5 Abs. 1 DSGVO vor. Eine Rechtsgrundlage für die Verarbeitung nach Art. 6 DSGVO lag nicht vor.
Die rechtliche Grundlage für die Verhängung von Bußgeldern gegen alle öffentlichen Stellen in den Niederlanden bildet der Art. 18 des Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), der keine Bußgeldbeschränkungen im Rahmen der Öffnungsklausel des Art. 83 Abs. 7 DSGVO vorsieht. Jedoch müsste ein Bußgeld immer auf 10 Mio. Euro (Art. 83 Abs. 4 DSGVO) bzw. 20 Mio. Euro (Art. 83 Abs. 5 DSGVO) beschränkt sein, da öffentliche Stellen keinen Jahresumsatz erzielen. Trotz der geographischen Nähe scheinen die verfassungsrechtlichen Traditionen zur Verhängung von Bußgeldern zwischen den Niederlanden und der Bundesrepublik komplett gegensätzlich zu sein.
Fazit
Grundsätzlich lässt sich festhalten, dass es gute Gründe dafür gibt, Geldbußen gegen öffentliche Stellen nur im Falle der Wettbewerbsteilnahme zu verhängen, insbesondere um eine „Umtopfung“ von Steuergeldern zu vermeiden und kosteneffizient zu handeln. Außerdem sind Aufsichtsbehörden gegenüber öffentlichen Stellen nicht mittellos, denn sie können Datenschutzverletzungen durch Anordnungen unterbinden und Verletzungen von Weisungen durch Individuen sanktionieren. Auch werden Datenschutzverletzungen transparenter in die Öffentlichkeit getragen, was den öffentlichen Druck auf die verantwortlichen Personen erhöht.
Dennoch muss stets berücksichtigt werden, dass andere Länder im Geltungsraum der DSGVO diesen Bußgeldausschluss nicht anwenden. Dabei sollte man nicht nur auf die verwaltungsrechtlichen Traditionen verweisen. Maßnahmen zur Sanktionierung von DSGVO-Verstößen müssen stets an ihrer Effektivität gemessen werden. Die Möglichkeit der Verhängung eines Bußgeldes kann dabei als ein Vergleichsparameter dienen. Nur so kann dem erwähnten Eindruck eines „Zwei-Klassen-Systems“ entgegengewirkt werden.