Bußgeld wegen DSGVO und Datenschutzverstoß

Lesezeit: ca. 8 Minuten


In kurzen Abständen gibt es Presseveröffentlichungen zu Bußgeldern und Strafen wegen Verstößen gegen die DSGVO. Während die erwartete „Abmahnwelle“ nach Inkrafttreten der DSGVO bisher ausgeblieben ist, gewinnt das Thema Bußgelder und DSGVO an Bedeutung. In Frankreich hat die Datenschutzbehörde CNIL Google mangelnde Transparenz im Zusammenhang mit der Datenschutzgrundverordnung (DSGVO) vorgeworfen. Nach Presseberichten wurde ein Bußgeld wegen Verstöße gegen die DSGVO in Höhe von 50 Mio. Euro festgelegt. Die CNIL wäre damit die erste europäische Aufsichtsbehörde, die gegen ein globales Unternehmen eine Strafe wegen Datenschutzverstößen verhängt hat.

Ausgangspunkt waren Beschwerden gegen Google. Zum einen wurden von Google die Transparenz- und Informationspflichten verletzt. Wesentliche Informationen über die Zwecke der Datenverarbeitung und zur Dauer der Datenspeicherung sollen erst sehr kompliziert zugänglich gewesen sein. Daher konnten Nutzer bei dem Einrichten eines Google-Accounts auf einem Android-Smartphone im September 2018 nach Ermittlungen der CNIL nicht feststellen, in welchem Umfang Google personenbezogene Daten verarbeitet. Nach Art. 12 DSGVO sollen die notwendigen Informationen transparent und – wie es das Gesetz fordert – leicht zugänglich sein. Beanstandet wurde darüber hinaus auch, dass Google die Nutzer nicht ausreichend darüber informiert, wie viele Google-Dienste eine Zustimmung umfasst. Auch hier fehle es an einer Eindeutigkeit.

Bei der Begründung der Strafe wegen Datenschutzverstößen verweist die CNIL darauf, dass die Schwere der festgestellten Verstöße gegen die wesentlichen Grundsätze der DSGVO eine entsprechende Rekordstrafe rechtfertige. Auch handele es sich nach Auffassung der Behörde nicht um einmalige, zeitlich begrenzte Verstöße.

Bußgeld DSGVO auch in Deutschland

Auch in Deutschland werden Bußgelder festgelegt. Es gab bereits Berichte über ein Bußgeld in Höhe von 20.000 Euro gegen die Plattform Knuddel.de.

Nunmehr wurde auch ein Bußgeld festgelegt, weil ein Unternehmen keinen Vertrag zur Auftragsverarbeitung mit seinem Dienstleister abgeschlossen hatte. Die Hamburgische Datenschutzaufsicht legte hier ein Bußgeld wegen Verstoßes gegen die DSGVO in Höhe von 5.000 Euro fest und verweist auf Art. 28 Abs. 3 DSGVO. Nach dieser Regelung muss es einen Vertrag zur Auftragsverarbeitung geben, um nicht illegal Daten zu verarbeiten.

Insbesondere die Strafe gegen Google hat eine Signalwirkung. Dies auch, da bereits die portugiesische Aufsichtsbehörde gegen eine Klinik ein Bußgeld von 400.000 Euro festgesetzt hat, weil die Klinik kein ausreichendes Rollen- und Rechtekonzept hatte. Auch diese Summe zeigt deutlich, dass die Zeit der niedrigen Bußgelder, wie dies in der Vergangenheit zu beobachten war, nunmehr vorbei ist.

Unter anderem die Schleswig-Holsteinische Landesdatenschutzbeauftragte Hansen zeigte sich zufrieden mit dem in Frankreich verhängten Bußgeld und verweist darauf, dass die Anbieter endlich den Datenschutz ernst nehmen müssen und ihr Datenschutzniveau deutlich verbessern müssen, um Angebote DSGVO-konform zu gestalten.

Lage der Bußgelder DSGVO in Deutschland

Nach Presseberichten sind in Deutschland bisher 41 Bußgelder verhängt worden. Nicht über alle Bußgeldverfahren gibt es Presseveröffentlichungen. Die Aufsichtsbehörde in Baden-Württemberg soll in einem Fall ein Bußgeld in Höhe von 80.000 Euro verhängt haben, weil fahrlässig Gesundheitsdaten im Internet veröffentlicht worden sind. Details sind aber nicht bekannt.

Beim Bayrischen Landesamt für Datenschutzaufsicht sollen aktuell 85 Bußgeldverfahren in der Bearbeitung sein. Es ist damit zu rechnen, dass in den nächsten Wochen und Monaten weitere Bußgeldbescheide hinzukommen.

Insgesamt ist festzustellen, dass zum einen deutlich mehr Bußgelder verhängt werden, als dies vor Inkrafttreten der DSGVO der Fall war, zum anderen sind die Bußgelder deutlich höher. Die deutschen Aufsichtsbehörden sind insgesamt bei der Höhe der Bußgelder noch zurückhaltend. Beispielsweise die portugiesischen und französischen Aufsichtsbehörden sind hier bei Strafen wegen Datenschutzverstößen deutlich massiver unterwegs.

Rechtsgrundlage für eine Strafe und Bußgelder gem. DSGVO

Regelungen zu den Bußgeldern wegen Datenschutzverstößen finden sich in Art. 83 DSGVO. In Art. 83 Abs. 1 heißt es, dass die Aufsichtsbehörde entsprechende Bußgelder bei Verstößen gegen die DSGVO festlegt. Erwartet wird, dass die Bußgelder im Einzelfall wirksam, verhältnismäßig und „abschreckend“ sind. Insbesondere die Formulierung „abschreckend“ ist im Zusammenhang mit Bußgeldern sehr bemerkenswert. Offensichtlich geht der EU-Gesetzgeber davon aus, dass die bisherigen Bußgelder in keiner Weise ausreichend sind, sondern will hier mit der gesetzgeberischen Formulierung ein deutliches Zeichen setzen und seine Erwartungen formulieren. Abschreckende Bußgelder können nur so interpretiert werden, dass nach der Verhängung eines solchen Bußgeldes die wirtschaftliche Bedrohung für das Unternehmen so groß ist, dass möglichst unter keinen Umständen mit einem erneuten Verstoß zu rechnen ist.

In Art. 83 Abs. 2 DSGVO wird dann aufgelistet, welche Aspekte im Einzelfall zu berücksichtigen sind. Beispielsweise ist auf die Art, Schwere und Dauer des Verstoßes abzustellen. Es ist zu prüfen, ob ein Fall der Fahrlässigkeit vorliegt oder der Verstoß vorsätzlich begangen wurde. Auch wird mit in die Bewertung aufzunehmen sein, der Grad der Verantwortung des Verantwortlichen und ob es bereits frühere Verstöße gab. Insgesamt ist die Aufzählung in Art. 83 Abs. 2 die Basis für einen umfangreichen Abwägungsprozess, den die Bußgeldbehörde bei der Festsetzung einer Strafe wegen Datenschutzverstößen vornehmen muss.

In Art. 83 Abs. 4 und in Art. 83 Abs. 5 sind dann zwei Bußgeldstufen im Gesetz festgelegt. In der ersten Bußgeldstufe können Geldbußen von bis zu 10 Mio. Euro und im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres als Bußgeld festgesetzt werden. In der zweiten Bußgeldstufe nach Art. 83 Abs. 5 ist die summenmäßige Begrenzung 20 Mio. Euro oder im Fall eines Unternehmens 4 % des gesamten weltweit erzielten Jahresumsatzes aus dem Vorjahr.

Bedeutsam ist, welche rechtlichen Regelungen jeweils in die erste oder in die zweite Bußgeldstufe untergebracht werden. Unternehmen und Behörden sollten insbesondere die Regelungen aus der zweiten Bußgeldstufe mit besonderer Sorgfalt beachten. Beispielsweise wird auf alle Rechte der betroffenen Personen in den Art. 12 bis 22 verwiesen. Dies umfasst insbesondere die Informationspflichten aus Art. 13 und 14 DSGVO. Dies ist der Verstoß, den Google nach der Auffassung der französischen Datenschutzaufsicht begangen hat. Betroffene sind darüber zu belehren, zu welchem Zweck, auf welcher Rechtsgrund und beispielsweise wie lange personenbezogene Daten verarbeitet und genutzt werden. Diese Information ist nach Art. 13 zum Zeitpunkt der Erhebung der personenbezogenen Daten an den Betroffenen zu übermitteln. Hier sind nach unserer Beobachtung nach wie vor viele Fehler festzustellen. Wird beispielsweise eine E-Mail an einen Kunden versandt und ist dieser bisher noch nicht informiert worden, muss zum Zeitpunkt des Kundenkontaktes die entsprechende Information nach Art. 13 übermittelt werden. Geschieht dies nicht, ist dies ein Verstoß, der mit der zweiten Bußgeldstufe nach Art. 83 Abs. 5 geahndet werden kann. Das gegen Google verhängte Bußgeld zeigt auch, dass die Aufsichtsbehörden diese Pflichten besonders ernst nehmen. Nicht nur die Informationspflichten sind zu beachten, sondern auch der Löschungsanspruch und der Auskunftsanspruch sowie die Berichtigungsrechte der Betroffenen. Insgesamt sollten Unternehmen und Behörden sehr sorgfältig die Geltendmachung entsprechender Betroffenenrechte bearbeiten und auch die zeitlichen Grenzen, die der Gesetzgeber vorgesehen hat, beachten. Beispielsweise müssen Auskunftsansprüche innerhalb eines Monats bearbeitet und beantwortet werden.

Daneben ist nach Art. 83 Abs. 5 lit. a) auch sicherzustellen, dass die Grundsätze der Verarbeitung gemäß Art. 5, die Bedingungen für die Einwilligung gemäß Art. 7 und die Rechtsgrundlagen nach Art. 6 vollständig eingehalten werden. Ansonsten wird auch hier ein hohes Bußgeld in der zweiten Bußgeldstufe wegen eines Datenschutzverstoßes riskiert.

Ausnahme für die öffentliche Verwaltung

Gemäß Art. 83 Abs. 7 kann jeder Mitgliedsstaat festlegen, ob gegen Behörden und öffentliche Stellen ein Bußgeld wegen Datenschutzverstößen festgelegt werden kann. Von dieser Möglichkeit haben nach unserer Kenntnis alle Landesgesetzgeber und der Bundesgesetzgeber Gebrauch gemacht. Im Bundesdatenschutzgesetz und den landesdatenschutzrechtlichen Regelungen sind die Behörden und öffentlichen Stellen von der Bußgeldbedrohung ausgenommen. Die Gegenausnahme, die sich in einigen Datenschutzgesetzen wiederfindet, bezieht sich auf öffentliche Stellen, die im Wettbewerb zu Privatunternehmen stehen. Diese sollen im Zweifel auch ein Bußgeld wegen Verstöße gegen die DSGVO erhalten können.

Ob die Herauslösung der Behörden und öffentlichen Verwaltung aus den Bußgeldvorschriften eine gute Idee ist, muss bezweifelt werden. In einigen Erörterungen, die wir mit Vertretern der öffentlichen Hand in der Vergangenheit geführt haben, kommt unterschwellig zum Ausdruck, dass mangels Bußgeldbedrohung die Dynamik zur Einhaltung der Vorschriften der DSGVO nachgelassen hat, nachdem klar ist, dass ein Bußgeld nicht verhängt werden kann. Dennoch gibt es einen großen Anwendungsbereich für die Gegenausnahme. Beispielsweise Krankenhäuser, die mit privaten Anbietern in Konkurrenz stehen, oder IT-Dienstleister, wie z. B. Dataport, die ebenfalls in Konkurrenz zu anderen Unternehmen stehen, bleiben möglicher Adressat von Bußgeldern wegen DSGVO-Verstößen.

Abwehr von Bußgeldern und Strafen aufgrund von Datenschutzverstößen

Bei dem Erlass eines Bußgeldes können diverse rechtliche Fehler auftreten. Wenn ein Unternehmen einen Bußgeldbescheid erhalten hat, sollte auf jeden Fall ein spezialisierter Anwalt eingeschaltet werden, der Erfahrung mit der Bearbeitung solcher Bußgeldbescheide hat. Zumeist wird vorab ein Anhörungsverfahren durchgeführt, in welchem dem betroffenen Unternehmen die Möglichkeit zu einer Stellungnahme gegeben wird. Von dieser Möglichkeit sollte nach einer Akteneinsicht auf jeden Fall Gebrauch gemacht werden, um einen Bußgeldbescheid und ggf. eine langwierige gerichtliche Überprüfung des Bußgeldbescheides zu vermeiden.

Im Rahmen der rechtlichen Überprüfung ist zu klären, ob die verschiedenen Aspekte aus Art. 83 Abs. 2 bei der Bemessung des Bußgeldes berücksichtigt worden sind. Es ist zu prüfen, ob daneben auch ein Verstoß gegen die Vorschriften der DSGVO vorliegt, der überhaupt mit einem Bußgeld geahndet werden kann.

Wir unterstützen Unternehmen bundesweit, die einen Bußgeldbescheid wegen eines DSGVO-Verstoßes erhalten. Nutzen Sie unsere jahrelange Erfahrung bei der rechtlichen Überprüfung solcher Bußgeldbescheide wegen Datenschutzverstößen und im Umgang mit Aufsichtsbehörden.

Bußgeldbescheid DSGVO und die Folgen

Wenn ein Bußgeldbescheid ergangen ist, ist das betroffene Unternehmen verpflichtet, den rechtswidrigen Zustand zu beseitigen und zu klären, wie ein DSGVO-konformes Verhalten möglich ist.

In dem oben zitierten Fall des Unternehmens, das eine Datenverarbeitung ohne Vertrag zur Auftragsverarbeitung durchgeführt hat, musste die Geschäftsbeziehung mit dem Vertragspartner mangels Auftragsverarbeitungsvertrag sofort beendet werden. Nur so konnte eine weitere illegale Datenverarbeitung vermieden werden. Der Fokus ist also nicht nur auf die Abwehr oder dem Umgang mit dem Bußgeldbescheid zu legen, sondern es ist darüber hinaus zu klären, wie der aus Sicht der Aufsichtsbehörde bestehende rechtswidrige Zustand beseitigt werden kann und ob dies kurzfristig notwendig ist. Nur wenn auch dieser Aspekt mitberücksichtigt wird, werden rechtliche Weiterungen und weitere Aufsichtsmaßnahmen vermieden. Die Aufsichtsbehörde hat beispielsweise auch die Möglichkeit, die jeweiligen konkreten Datenverarbeitungen, die tatsächlich oder angeblich rechtswidrig sind, zu untersagen. Dies können erhebliche Eingriffe in die Geschäftsprozesse eines Unternehmens sein. Es ist also sowohl ein juristischer als auch kaufmännischer Rundumblick notwendig, wenn Sie einen Bußgeldbescheid wegen Datenschutzverstößen erhalten haben.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen