Buẞgelder bei Verstößen gegen die DSGVO: Ein Ausblick

Verhängung von Bußgeldern bei Verstößen gegen die DSGVO Ein Ausblick

Neben vielen weiteren Herausforderungen, die mit der Einführung der Datenschutz-Grundverordnung (DSGVO) einhergehen, werden sich datenverarbeitende Unternehmen ab dem 25. Mai 2018 insbesondere mit einem neuen Aufsichts- und Sanktionsregime auseinanderzusetzen haben, dessen Dimensionen diejenigen der Sanktionsmöglichkeiten nach dem Bundesdatenschutzgesetz (BDSG) bei Weitem übersteigen.

Die DSGVO sieht in ihrem Artikel 83 die Möglichkeit der Aufsichtsbehörden zur Verhängung von Bußgeldern für einen bunten Strauß von Anwendungsfällen vor. Dies betrifft verschiedenste Konstellationen der Verletzung von Anordnungen. Je nach Art der Verletzung können dabei Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Vorjahresumsatzes eines Unternehmens verhängt werden. Die Datenschutz-Grundverordnung gibt den Aufsichtsbehörden für die Entscheidungsfindung hinsichtlich der Frage, ob und in welcher Höhe ein Bußgeld verhängt werden sollte, überdies einen sehr umfangreich gestalteten Kriterienkatalog an die Hand, dessen abstrakte Formulierungen in der Benennung des Kriteriums „jegliche anderen erschwerenden oder mildernden Umstände […]“ gipfeln.

Auslegung der Vorschriften zu aufsichtsbehördlichen Befugnissen noch nicht gefestigt

Welche Implikationen die neuen Regelungen hervorbringen werden, wird sich erst im Laufe einiger Jahre zeigen, wenn sich durch die Interpretation der entsprechenden Vorschriften durch die europäischen und nationalen Datenschutzbehörden (allein in Deutschland sind dies durch die Datenschutzbehörden der Länder sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit insgesamt 17 Aufsichtsbehörden) eine etablierte Verwaltungspraxis aufzeigen lässt. Rechnet man noch gerichtliche Überprüfungsverfahren für die Fälle hinzu, in denen sich betroffene Unternehmen gegen verhängte Bußgelder und andere Sanktionen zur Wehr setzen, entsteht leicht ein langjähriger Zeitraum der relativen Unsicherheit.

Irische Datenschutzbehörde äußert sich zu künftiger Praxis bei Bußgeldern

Einen ersten Hinweis auf das künftige Verständnis der Vorschriften zur Aufsicht und Verhängung von Sanktionen gibt nun die Leiterin der irischen Datenschutzbehörde, Helen Dixon, in einem viel beachteten Interview mit dem Irish Independent. Der irischen Datenschutzbehörde kommt im europäischen Kontext eine relativ prominente Rolle zu, da zahlreiche insbesondere auch US-amerikanische Unternehmen wie Facebook, LinkedIn oder Apple ihren europäischen Hauptsitz in Irland haben. Der Ort der Hauptniederlassung wird künftig nach der DSGVO auch insofern relevant sein, als die dort ansässige Aufsichtsbehörde im Zuge des „One-Stop-Shop“-Verfahrens die Federführung über die Aufsicht samt der möglichen Verhängung von Bußgeldern innehaben wird.

Auf den zweiten Blick wenig brisant erscheint die Aussage der irischen Datenschutzbeauftragten, wonach sie den von der DSGVO festgelegten Rahmen hinsichtlich der Höhe von Bußgeldern voll auszuschöpfen gedenkt. Im Gegenteil erschiene es geradezu rechtsbrüchig, wenn eine mitgliedstaatliche Behörde eine europarechtlich vorgesehene Höhe von Bußgeldern schlicht ignorieren würde. Die Tatsache, dass den Aufsichtsbehörden ein Ermessen auch in Bezug auf die Bußgeldhöhe eingeräumt ist, kann nicht dazu führen, dass die gesetzliche Wertentscheidung, gerade aus Abschreckungsgründen auch sehr hohe Bußgelder zu verhängen, unterminiert wird.

Aufschlussreicher wirkt die Stellungnahme der irischen Datenschutzbeauftragten insofern, als sie einen ersten Ausblick hinsichtlich der künftigen Ermessensausübung gibt. So kündigt sie an, es werde keine Nachsicht im Hinblick auf notwendige Anpassungsvorgänge bei datenverarbeitenden Unternehmen geben. Etwaige vorhandene Hoffnungen bei Unternehmen, für einen Übergangszeitraum milde behandelt zu werden, erscheinen damit wenig begründet.

Erhöhte Aktivitäten der Aufsichtsbehörden zu erwarten

Die in der Vergangenheit verhängten Bußgelder dürften künftig nicht nur qualitativ, sondern auch quantitativ zunehmen. Dies liegt neben dem gesetzlich vorgesehenen schlicht breiter ausfallenden Anwendungsbereich für die Verhängung von Bußgeldern durch die DSGVO auch in der Tatsache begründet, dass die EU-Mitgliedstaaten wie die Bundesrepublik Deutschland sich künftig europarechtlich verpflichtet sehen werden, die Datenschutzvorgaben strikter umzusetzen. Wenn sie etwa durch eine passive Haltung oder eine evident unzureichende (auch personelle) Ausstattung der Aufsichtsbehörden einer solchen Verpflichtung nicht oder lediglich unzureichend nachkommen, droht ihnen die Einleitung eines Vertragsverletzungsverfahrens durch die Europäische Kommission.

Den ansteigenden Erwartungen an die aufsichtsbehördliche Tätigkeit wird auch insoweit bereits nachgekommen, als zahlreiche deutsche Aufsichtsbehörden aktuell ihren Mitarbeiterstab zum Teil recht massiv aufstocken, wie unter anderem Heise schreibt. Beinahe alle Landesaufsichtsbehörden sollen einen Zuwachs an Stellen erhalten, im Falle Mecklenburg-Vorpommerns beispielsweise beinahe eine Verdopplung. Der Mitarbeiterstab der Bundesdatenschutzbeauftragten wird allein im Jahr 2017 eine Aufstockung um 49 Stellen erfahren.

Gleiches gilt im internationalen Kontext: Die irische Aufsichtsbehörde beispielsweise verfügte im Jahr 2014 über 26, aktuell bereits über etwa 70 Stellen und soll in zwei Jahren circa 130 Mitarbeiter beschäftigen. Das britische Pendant plant trotz des anstehenden Brexits die Neueinstellung von 200 zusätzlichen Beschäftigten. Zweifelsohne wird die erhöhte Anzahl von Mitarbeitern auch zu einer Verdichtung des Kontrollnetzes im Hinblick auf die Einhaltung datenschutzrechtlicher Vorschriften führen.

Präzise und professionelle Umsetzung der DSGVO-Anforderungen unerlässlich

Die Datenschutz-Grundverordnung erhöht, wie gezeigt, die Gefahr für datenverarbeitende Unternehmen, bei einer Verletzung datenschutzrechtlicher Vorschriften erhebliche Einbußen erleiden zu müssen. Dies gilt umso mehr, als unter Umständen parallel zu der möglichen Verhängung von Sanktionen durch Aufsichtsbehörden auch Schadensersatzansprüche bestehen können. Neben die bereits nach bisheriger Rechtslage bestehenden zivilrechtlichen Ansprüche aus dem Bürgerlichen Gesetzbuch (BGB) tritt künftig auch ein eigener Schadensersatzanspruch aus der DSGVO selbst, der insofern eine Erweiterung des bisherigen Anspruchsumfangs nach dem Bundesdatenschutzgesetz darstellt, als die ersatzberechtigte Person nunmehr nicht mehr zwingend identisch mit der Person sein muss, deren Daten rechtswidrig verarbeitet wurden.

Überdies sieht die DSGVO eine gemeinschaftliche Haftung des Verantwortlichen und des Auftragsverarbeiters für etwaige auftretende Schäden vor, die entweder durch den Verantwortlichen selbst oder durch den Auftragsverarbeiter verursacht wurden. Die Ersatzpflicht ist damit nicht strikt auf eigenes Fehlverhalten beschränkt, was eine genaue Überwachung etwa des Auftragsverarbeiters noch notwendiger werden lässt.

Um sowohl die Gefahr von Schadensersatzansprüchen als auch des aufsichtsbehördlichen Eingreifens zu minimieren, sollten datenverarbeitende Unternehmen darauf hinwirken, nicht selbst zum Anwendungsfall des europarechtlich vorgesehenen Abschreckungseffekts zu werden. Bis sich eine gefestigte und zuverlässige Verwaltungspraxis auf nationaler und europäischer Ebene etabliert hat, werden Unternehmensjuristen, Datenschutzbeauftragte und Compliance Officer nicht umhinkommen, sich auf das bestehende Maß an Rechtsunsicherheit insofern einzustellen, als sie die Vorgaben der DSGVO im Zweifel für sich eher konservativ auslegen und passgenau umsetzen sollten, ohne freilich das wirtschaftliche Ziel und die unternehmerischen Notwendigkeiten dabei aus den Augen zu verlieren.

Mit kompetentem Rat steht Ihnen unser Expertenteam dabei gerne zur Seite.

Dr. Till Gerhardt
Geposted von Dr. Till Gerhardt

Dr. Till Gerhardt berät für Osborne Clarke führende Unternehmen und Start-ups aus dem Sektor Digital Business rund um datenschutzrechtliche Aspekte der IT-Compliance.

1 Kommentar

  1. Die Uhr tickt und die Umsetzungsfrist Endet Ende Mai 2018. Mir kommt vor als ob noch niemand so richtig die Dimension an Verantwortung und Arbeit überblickt, die auf ihn zukommt. Selbst kleine Betriebe sind davon betroffen.
    Nachlässigkeit wird hier hart bestraft.

Kommentieren

Pflichtfelder sind markiert*