Update Datenschutz 14/2016
Die neuen Bußgeldvorschriften unter der Datenschutzgrundverordnung
Am 25.05.2018 tritt die neue Datenschutzgrundverordnung (DSGVO) unmittelbar in Kraft. Bestandteil der DSGVO ist auch die Einführung von neuen Bußgeldvorschriften, die über die aktuellen im BDSG enthaltenen Regelungen hinausgehen. Nachfolgend soll ein Überblick über die neuen Bestimmungen sowie die Unterschiede zur aktuellen Rechtslage gegeben werden. Ebenfalls sollen die daraus resultierenden praktischen Konsequenzen für die datenschutzrechtlichen Verantwortlichen dargestellt werden.
Aktuelle Regelungen des BDSG
1. Das BDSG sieht in § 43 Abs. 1 und 2 BDSG aktuell einen abgestuften Katalog mit verschiedenen Bußgeldtatbeständen vor. Je nach Art des datenschutzrechtlichen Verstoßes kommen unterschiedliche Höchstbeträge in Betracht: Während Verletzungen der in § 43 Abs. 1 BDSG aufgelisteten Bestimmungen mit Bußgeldern bis zu 50.000 Euro möglich sind, können bei Verstößen nach § 43 Abs. 2 BDSG Bußgelder bis zu 300.000 Euro verhängt werden. Daneben sieht das Gesetz explizit auch die Möglichkeit vor, über diesen Wert hinauszugehen.
Neue Bestimmungen der DSGVO
2. Die neuen Bestimmungen der DSGVO sehen nun verschiedene neue, über die aktuellen Regelungen des BDSG hinausgehende Regelungen vor. Dies betrifft insbesondere eine Erweiterung der bußgeldbewährten Tatbestände sowie die Höhe der in Betracht kommenden Bußgelder. Ebenfalls neu ist, dass nicht mehr nur der Verantwortliche selbst bei Verstößen gegen die Regelungen der DSGVO mit einem Bußgeld belangt werden kann, sondern auch eingeschaltete Auftragsdatenverarbeiter. Letztere sind somit nun ebenfalls einem Bußgeldrisiko ausgesetzt. Nicht in der DSGVO geregelt ist die Sanktionierung von den verantwortlichen Akteuren eines Unternehmens. Hierzu enthält aber der aktuelle Entwurf des deutschen Gesetzgebers Bestimmungen für ein direktes Bußgeld. In welcher Form diese Regelungen am Ende verabschiedet werden bleibt abzuwarten. Es ist aber damit zu rechnen, dass auch die Verantwortlichen in Zukunft einem Bußgeldrisiko ausgesetzt sein werden.
Erweiterte Bußgeldtatbestände
3. Ähnlich wie das BDSG differenzieren die Artikel 83 Abs. 4, 5 und 6 DSGVO nach Art der verletzten datenschutzrechtlichen Verpflichtungen und knüpfen hieran unterschiedliche Bußgeldrahmen. Die bußgeldbewährten Tatbestände wurden im Gegensatz zum BDSG ausgeweitet, sodass nunmehr die weitaus meisten Vorschriften der DSGVO, die dem Verantwortlichen oder dem Auftragsdatenverarbeiten Pflichten auferlegen, bußgeldbewährt sind. Hervorzuheben ist insoweit insbesondere die Pflicht des Verantwortlichen zur Ergreifung von geeigneten und angemessenen technischen und organisatorischen Maßnahmen sowie die Verpflichtungen zur datenschutzfreundliche Technikgestaltung („privacy by design“) und zur Vornahme von datenschutzfreundlichen Voreinstellungen („privacy by default“). Verstöße gegen diese Verpflichtungen können demnach nun von den Datenschutzaufsichtsbehörden sanktioniert werden. Zwar bleibt abzuwarten, in welchen konkreten Konstellationen Verstöße seitens der Datenschutzaufsichtsbehörden gegen diese konkreten Pflichten in Zukunft bejaht werden. Es zeigt sich aber durch die Aufnahme in den in Artikel 83 DSGVO enthaltenen Tatbestandskatalog, dass der Gesetzgeber den vorgenannten Verpflichtungen eine hohe Bedeutung zu misst. Sowohl der Verantwortliche, als auch Auftragsdatenverarbeiter sollten somit auch auf deren Einhaltung besonders achten.
Neuer Bußgeldrahmen
4. Neben der Ausweitung der Bußgelbtatbestände wurden auch die in Betracht kommenden Höchstbeträge erweitert. So besteht bei einem Verstoß gegen die in Artikel 83 Abs. 4 enthaltenen Tatbestände die Möglichkeit ein Bußgeld in Höhe von bis zu 10 Mio. Euro zu verhängen. Konkret werden etwa die unterlassene oder fehlerhafte Anfertigung von Verfahrensverzeichnissen nach Artikel 30 DSGVO erfasst. Bei einem Verstoß gegen die Artikel 83 Abs. 5 und 6 DSGVO genannten Tatbestände sehen die neuen Regelungen wiederum Bußgelder bis zu 20 Mio. Euro vor. Hierunter fällt etwa die Verarbeitung von personenbezogenen Daten ohne gesetzliche Erlaubnis oder Einwilligung der Betroffenen.
Alternativ können die genannten Höchstbeträge bei Unternehmen auch überschritten werden. So besteht ausdrücklich die Möglichkeit, Bußgelder bis zu 2% (Artikel 83 Abs. 4 DSGVO) bzw. 4% (Artikel 83 Abs. 5 und 6 DSGVO) des weltweiten Jahrumsatzes zu verhängen. Zu beachten ist hierbei insbesondere, dass ausweislich des Erwägungsgrunds 150 der DSGVO der funktionale Unternehmens-Begriff des Kartellrechts anzuwenden ist. Daran anknüpfend geht das Bayrische Landesamt für Datenschutzaufsicht in einer kürzlich veröffentlichten Stellungnahme (abrufbar unter: www.lda.bayern.de/media/baylda_ds-gvo_7_sanctions.pdf) davon aus, dass bei Unternehmen, die einer Unternehmensgruppe oder einem Konzern angehören, nicht allein der Jahresumsatz des zu ahndenden Rechtsträgers, sondern der Jahresumsatz der gesamten Unternehmensgruppe bzw. des gesamten Konzerns maßgeblich ist. Hierdurch bestehen auf Seiten der Datenschutzaufsichtsbehörden nun erhebliche Sanktionierungsmöglichkeiten.
Kriterien für die Bemessung von Bußgeldern
5. Dies wird auch dadurch verstärkt, dass Bußgelder nach dem ausdrücklichen Wortlaut von Artikel 83 Abs. 1 DSGVO zwar stets verhältnismäßig sein müssen, gleichzeitig legt die Vorschrift aber auch fest, dass das Bußgeld eine abschreckende Wirkung entfalten soll. Gerade durch die letzte Komponente haben die Datenschutzaufsichtsbehörden nun grundsätzlich die Möglichkeit in Zukunft ihren Entscheidungsspielraum dahingehend auszuüben, dass einzelne Unternehmen unter Umständen als abschreckendes Beispiel mit erheblichen Bußgeldern belangt werden.
Eine Möglichkeit dies abzuwenden, bietet der Katalog in Artikel 83 Abs. 2 DSGVO. Liegt ein Verstoß gegen eine der in Artikel 83 Abs. 4 bis 6 DSGVO genannten Verpflichtungen vor, muss dies nicht zwangsläufig zur Verhängung eines Bußgeldes führen. Neben der bereits erwähnten allgemeinen Regelung in Artikel 83 Abs. 1 DSGVO, wonach die Verhängung eines Bußgeldes abschreckend sowie verhältnismäßig sein muss, enthält Artikel 83 Abs. 2 DSGVO einen ausführlichen Katalog an Bewertungskriterien, der bei der Entscheidung der Datenschutzaufsichtsbehörde, ob und in welcher Höhe ein entsprechendes Bußgeld verhängt wird, zu berücksichtigen ist. Die Datenschutzaufsichtsbehörden sind somit angehalten, im konkreten Einzelfall eine Gesamtabwägung anhand der jeweiligen Kriterien vorzunehmen. Wie die einzelnen Kriterien letztlich gewertet werden, liegt aber bei der Behörde selbst.
Konkret gehören zu den aufgeführten Kriterien beispielsweise der Verschuldensgrad des Verantwortlichen bei einem Verstoß, gegebenenfalls getroffene Abhilfemaßnahmen zur Minderung eines entstandenen Schadens sowie der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um einem Verstoß abzuhelfen und dessen Auswirkungen zu mindern. Auf der anderen Seite sind aber auch frühere Verstöße sowie andere erschwerende Umstände zu berücksichtigen. Daneben bestehen weitere Kriterien.
Wie der Wortlaut der Vorschrift verdeutlicht, besteht grundsätzlich die Möglichkeit seitens der Datenschutzaufsichtsbehörden - je nach Ausgang der Gesamtabwägung der Kriterien - auf ein Bußgeld zu verzichten. Es empfiehlt sich somit selbst in dem Fall, dass ein datenschutzrechtliche Verstoß eintritt, geeignete Abhilfemaßnahme vorzuhalten und umzusetzen sowie mit den Datenschutzaufsichtsbehörden effektiv zusammenzuarbeiten. Dies auch vor dem Hintergrund, dass das Risiko, dass abschreckende und damit erhebliche Bußgelder verhängt werden, minimiert wird.
Zusammenfassung und Praxishinweise
6. Die obige Darstellung der neuen Bußgeldregelung macht deutlich, dass datenschutzrechtlich Verantwortliche sowie Auftragsdatenverarbeiter weitgehenden Sanktionen ausgesetzt sein werden. Die Einhaltung und Umsetzung der datenschutzrechtlichen Vorgaben, die durch die neue DSGVO insgesamt noch einmal zugenommen haben, sind somit kein Randthema mehr, sondern gehört zu den Kernaufgaben eines jeden Unternehmens. Neben den allgemeinen Befugnissen der Datenschutzbehörden (Artikel 58 DSGVO) bieten gerade die neuen Bußgeldregelungen den Behörden einen weiten Handlungsspielraum Verstöße gegen die Bestimmungen der DSGVO zu sanktionieren.
7. Zur Vermeidung von solchen Risiken empfiehlt es sich, geeignete organisatorische und technische Maßnahmen unternehmensweit zu etablieren, die eine effektive Einhaltung der datenschutzrechtlichen Bestimmungen der DSGVO umfassend sicherstellen. Daneben sind aber auch entsprechende Prozesse vorzusehen, die im Falle eines datenschutzrechtlichen Verstoßes, dessen rasche und effektive Beseitigung ermöglichen. In diesem Zusammenhang empfiehlt es sich die Datenschutzaufsichtsbehörden angemessen einzubinden und mit diesen zu kooperieren. Wie oben aufgezeigt, sind solche Faktoren bei der Verhängung eines Bußgeldes mildernd zu berücksichtigen. Diese Möglichkeiten sollten nicht unterschätzt werden.