Im Zusammenhang mit dem Datenschutz und der seit Mai 2018 geltenden DSGVO hört man oft, dass nun durch die Aufsichtsbehörden bei Verstößen „empfindliche Bußgelder“ verhängt werden. Begrifflich ist das nicht korrekt. Die DSGVO unterscheidet nämlich lediglich zwischen Geldbußen und Geldstrafen. In Art. 83 DSGVO wird der Begriff „Geldbuße“ verwendet, so dass es sich – zur Vermeidung von Missverständnissen – empfiehlt, diesen Begriff auch so zu übernehmen. Geldstrafen können demgegenüber nur verhängt werden, wenn eine Straftat vorliegt. „Datenschutz- Straftaten“ sind in § 42 Abs. 1 und 2 Bundesdatenschutzgesetz (im Folgenden BDSG) geregelt. § 42 BDSG gibt es deshalb, weil Art. 84 Abs. 1 DSGVO die Mitgliedsstaaten der EU dazu verpflichtet, ergänzende Sanktionen neben Art. 83 DSGVO vorzunehmen (sog. Öffnungsklausel“).
In diesem Newsletter werden wir das Thema Geldbußen näher beleuchten und auch beispielhaft konkrete Unternehmen anführen, bei denen bereits Geldbußen verhängt wurden.
1. Rechtsgrundlage und Befugnis
Die nationalen Aufsichtsbehörden können oder müssen nach der DSGVO Geldbußen für bestimmte Datenschutzverstöße verhängen. Diese Befugnis ergibt sich für jede Aufsichtsbehörde eines Mitgliedsstaates aus Art. 83 Abs. 4-6 DSGVO. Ein Datenschutzverstoß ist sehr weit auszulegen und kann eine nicht ordnungsgemäß dokumentierte Datenpanne, fehlende Verarbeitungsverzeichnisse, mangelhafte technisch-organisatorische Maßnahmen oder ähnliches sein. Die Geldbußen werden dann zusätzlich oder anstelle von weiteren Bei- oder Abhilfebefugnissen der Aufsichtsbehörde verhängt. Solche Befugnisse der Behörde könnten wie folgt ausgestaltet sein:
Anordnung, den Verstoß unmittelbar zu beenden
Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben entsprechend anzupassen
Ausspruch eines zeitlich begrenzten oder endgültigen Verbots der Datenverarbeitung
An diese Befugnisse kann die Behörde eine etwaige Geldbuße koppeln.
2. Voraussetzungen und Höhe
Aus dem Erwägungsgrund 148 zur DSGVO ergibt sich, dass bei der Verhängung einer Geldbuße immer eine Abwägung für den konkreten Einzelfall getroffen werden muss. Die Geldbuße muss verhältnismäßig sein, aber gleichzeitig auch abschreckende Wirkung haben. Zur Verhängung von Geldbußen werden im Einzelfall die folgenden Umstände berücksichtigt:
Art, Schwere und Dauer des Verstoßes Charakter des Verstoßes (vorsätzlich / fahrlässig)
Maßnahmen, die zur Minderung des entstandenen Schadens geführt haben
Grad der Verantwortlichkeit
Ggfs. frühere Verstöße
Fehlende Kooperation mit der Aufsichtsbehörde
Die DSGVO sieht für Datenschutzverstöße Geldbußen von bis zu 20 Mio. EUR vor oder 4 % des weltweit erzielten Jahresumsatzes; je nach dem, was höher ausfällt. Dies ergibt sich aus Art. 83 Abs. 5 DSGVO. Dieser lautet:
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des
Kapitels IX erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.
Hieraus wird deutlich, dass die ordnungsgemäße Verarbeitung von personenbezogenen Daten, insbesondere aber auch die Wahrung der Kunden-Rechte (Art. 12-22 DSGVO) einen hohen Stellenwert in der DSGVO genießen.
3. Beispiele Deutschland
Generell ist in Bezug auf die Verhängung von Geldbußen eine Trendwende zu beobachten. Eine Umfrage des Handelsblatts unter den Datenschutzbeauftragten der Länder hat ergeben, dass im Jahr 2019 auf Basis der DSGVO 187 Geldbußen verhängt wurden. Im Jahr zuvor hatten die Aufsichtsbehörden erst 40 Geldbußen ausgesprochen. (Siehe hier, abgerufen am 17.02.2021)
Beispiele für bisher verhängte Geldbußen und ihren
jeweiligen Hintergrund können Sie der nachfolgenden Tabelle entnehmen:
Unternehmen | Bußgeld | Art des Verstoßes |
Deutsche Wohnen SE | 14,5 Mio. EUR |
|
Delivery Hero Germany GmbH | 200.000 EUR |
|
notebooksbilliger.de AG | 10,4 Mio. EUR | Unzulässige Videoüberwachung der Beschäftigten und Kunden über einen Zeitraum von zwei Jahren |
H&M Online Shop | 35,3 Mio. EUR | Bespitzelung hunderter Mitarbeiter des Service Centers Nürnberg |
Rechtsanwalt | 8.000 EUR | Unerlaubte Verarbeitung der Daten eines mutmaßlichen Schuldners und eines unbeteiligten Ehepaars |
AOK Baden- Württemberg | 1,2 Mio. EUR | Verwendung der Daten von 500 Gewinnspielteilnehmern für Werbezwecke |
Wie Sie der Tabelle entnehmen können, werden Bußgelder häufig als Folge wiederholter Verstöße des Verantwortlichen verhängt. Eine Garantie dafür, dass eine bloße Verwarnung vorweg geht, gibt es allerdings nicht.
Sollten Sie zu diesem Themenkomplex weitere Fragen haben, stehen wir Ihnen jederzeit gerne zur Verfügung.
Ihr Team der RKM Data GmbH