Im Mai 2018 ist die DSGVO in Kraft getreten. Seitdem hat sich viel getan. Spannend bleibt für die meisten Unternehmen die Frage nach möglichen Bußgeldern.

Gemäß Art. 83 Abs.4 bis 6 DSGVO droht bei datenschutzrechtlichen Verstößen ein Bußgeld von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4% seines weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Nach welchem Kriterienkatalog die Datenschutzaufsichtsbehörden die Bußgeldhöhe ermitteln, haben wir bereits in unserem Blogbeitrag „Wie ermitteln Datenschutzaufsichtsbehörden Bußgelder für Unternehmen?“ berichtet.

Ist also die Sorge vieler Unternehmen ein existenzbedrohendes Bußgeld zu „kassieren“ berechtigt? Dieser Beitrag soll einen kurzen Überblick über das Thema und eine erste Orientierung für die betroffenen Unternehmen bieten.

Wann kommt es zur Verhängung des Bußgeldes? Welche Verstöße nach der DSGVO sind bußgeldbewehrt?

Die allgemeinen Bedingungen für die Verhängung von Geldbußen sind in Art. 83 DSGVO geregelt. Art. 83 Abs.1 DSGVO stellt fest, dass die Verhängung der Geldbußen durch Aufsichtsbehörden, wirksam, verhältnismäßig und abschreckend sein muss. Der Kriterienkatalog für die Höhe der Geldbußen ist in Art. 83 Abs.1 enthalten. Die Bußgeldtatbestände nach Art.83 Abs. 4, 5 und 6 umfassen alle Handlungspflichten des Verantwortlichen und auch des Auftragsverarbeiters nach der DSGVO. Zusätzlich ist das Bußgeld nach Art.83 Abs.5 lit. d für die Verstöße gegen BDSG und andere Rechtsvorschriften der Mitgliedstaaten vorgesehen. Das bedeutet, dass die Aufsichtsbehörden enorme Befugnisse im Bereich der Verhängung von Bußgeldern im Unterschied zu der alten Rechtslage erlangt haben.

Wie kann sich das betroffene Unternehmen gegen das Bußgeld wehren?

Will sich der Betroffene gegen das verhängte Bußgeld wehren, muss er innerhalb einer 2-Wochen-Frist nach der Zustellung des Bußgeldbescheids einen Einspruch bei der Aufsichtsbehörde einlegen. Wird der Einspruch nicht wirksam (z. B. aus formellen Gründen) eingelegt, so wird er von der Behörde als unzulässig verworfen. Ansonsten prüft die Behörde, ob sie dem Einspruch abhilft oder den Bußgeldbescheid aufrechterhält.

Für die Verstöße nach Art. 83 DSGVO gelten die Vorschriften des Gesetzes über Ordnungswidrigkeiten entsprechend. Dies ist in §41 Abs.1 S.1 BDSG geregelt.

Die Behörde leitet sodann die Akten an die zuständige Staatsanwaltschaft, wenn sie an ihrem Bußgeldbescheid festhält. Die Staatsanwaltschaft leitet das Verfahren an das zuständige Gericht weiter, wenn keine weiteren Ermittlungen durchzuführen sind und keine Einstellung des Verfahrens in Frage kommt, §69 OWiG. Die Staatsanwaltschaft kann das Verfahren nur mit Zustimmung der Aufsichtsbehörde einstellen.

Bei welchem Gericht wird geklagt?

Nach § 68 OWiG findet das gerichtliche Verfahren vor Amts- oder Landgerichten statt.

Vor welchem der beiden Gerichte das Verfahren stattfindet, richtet sich nach der Bußgeldhöhe. § 41 BDSG regelt die Betragsgrenze. Das Verfahren wird vor dem Strafrichter als Einzelrichter beim Amtsgericht durchgeführt, wenn die Bußgeldhöhe unter 100.000 Euro liegt. Hat die Aufsichtsbehörde ein höheres Bußgeld verhängt, ist die große Kammer des Landgerichts für die erstinstanzliche Entscheidung zuständig.

Welche Bußgeldverfahren gab es bereits in Deutschland seit dem Inkrafttreten der DSGVO?

Das höchste Bußgeld wurde bisher in Deutschland mit 14,5 Millionen Euro gegen ein Immobilienunternehmen, die Deutsche Wohnen SE verhängt. Das Unternehmen hat nach mehrfacher Aufforderung der Berliner Aufsichtsbehörde das Löschkonzept der gespeicherten Mieterdaten nicht umgesetzt. Zu diesem Fall haben wir bereits einen Blogbeitrag veröffentlicht (14,5 Millionen Euro Bußgeld verhängt wegen eines Daten-Archivs).

Das Berliner Unternehmen Delivery Hero „kassierte“ fast 200.000 Euro Bußgeld. Das Unternehmen hat nicht gelöschte Kundendatensätze rechtswidrig aufbewahrt und die Kunden mit unzulässigen Werbemails kontaktiert.

Das Chatportal Knuddels musste ein 20.000 Euro hohes Bußgeld nach einer Datenpanne zahlen. Aus dem System des Unternehmers wurden durch einen Hacker Angriff über 800.000 E-Mail-Adressen und etwas 2.000.000 Nutzernahmen und Passwörter veröffentlicht. Die Datenpanne ereignete sich, weil die Daten auf einem alten Server unverschlüsselt gespeichert waren.

Eine kleine Firma Kolibri Image musste 5.000 Euro Bußgeld wegen fehlender Auftragsverarbeitungsverträge zahlen. Die Firma wandte sich an den Hamburger Landesbeauftragten und fragte an, was sie tun sollte, wenn der externe Dienstleister nach mehrfachen Anfragen keinen Auftragsverarbeitungsvertag vorgelegt hat. Die Antwort war: das Unternehmen müsse in solchen Fällen selbst einen Vertrag erwirken und den Dienstleiter erst nach Vertragsschluss beauftragen. Hinterher folgte der Bußgeldbeschied.

Dies waren nur die prominentesten Beispiele der in Deutschland verhängten Bußgelder.

Wie oft wurden die Bußgelder im Jahr 2019 verhängt?

Bis heute haben bereits zwei Landesdatenschutzbehörden ihre Tätigkeitsberichte für das Jahr 2019 veröffentlicht. Diese enthalten eine klare Aussage zur steigenden Anzahl der Bußgeldverfahren. Die Landesdatenschutzbehörden melden bereits ein Jahr zuvor in ihren Tätigkeitsberichten mehrere Hunderte geführte Verfahren. Nur einige davon endeten mit Erlass der Bußgeldbescheide. Nichts desto trotz zeigt sich eine klare Tendenz: die Aufsichtsbehörden werden aktiver und greifen immer härter durch.

Die Landesdatenschutzbehörde Baden-Württemberg meldet in dem Tätigkeitsbericht für das Jahr 2019 fast 200 anhängige Bußgeldverfahren (Tätigkeitsbericht 2019, Landesbeauftragter für Datenschutz Baden-Württemberg). Die Anzahl der monatlich neu eingegangenen Verfahren hat sich im Vergleich zum Vorjahreszeitraum um 20 % erhöht, so der Landesbeauftragter für Datenschutz in Baden-Württemberg. Insgesamt verhängte die Behörde 19 Busgeldbescheide. Auch die Bayerische Landesdatenschutzbehörde berichtet, dass ca.100 Bußgeldverfahren im Jahr 2019 abgeschlossen worden sind (Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht). Ein Verfahren endete mit einem Bußgeldbescheid. Darüber hinaus sind einige Verfahren im Anhörungsstadium anhängig. Für einige davon droht voraussichtlich der Erlass eines Bußgeldbescheids.

Wie lassen sich Geldbußen vermeiden?

Die Sanktionierungen der Verstöße in den ersten 18 Monate nach dem Inkrafttreten der DSGVO zeigten, dass die Umsetzung der gesetzliche Pflichten nach dem DSGVO für die Unternehmen unvermeidbar ist und schnellstmöglich nachgeholt werden muss, soweit noch nicht geschehen. Gute datenschutzrechtliche Dokumentation und kompetente Beratung sind für ein Unternehmen wichtig wie nie zuvor.

Ist das Verfahren bereits eingeleitet worden, lohnt sich die Kooperation mit der Aufsichtsbehörde und die Bemühungen die angezeigten Mängel zu beheben. Oft wird dies mit der Einstellung des Verfahrens oder mit Senkung der verhängten Geldbuße belohnt. Die Kooperationspflicht der Verantwortlichen mit der Aufsichtsbehörde ist in Art.31 DSGVO geregelt.

Die Erfahrung der letzten Monate zeigt jedoch, dass die Sanktionierung der besonders schwerwiegenden Verstöße deutlich härter ausfiel, als dies nach der alten Rechtslage der Fall war.

Fazit:

Das Thema Bußgeld bleibt einer der beliebtesten und heiß diskutiertesten im Bereich Datenschutz. Da die deutschen und auch die europäischen Datenschutzbehörden immer aktiver werden, werden uns die Berichte der Datenschützer über verhängte Bußgelder in der Zukunft immer öfter begleiten. Die Entwicklung nach dem Inkrafttreten der DSGVO zeigt, dass die Verhängung der Bußgelder ein immer höheres Risiko für viele Unternehmen darstellt.