DSGVO und Bußgelder

3. Januar 2020

Die Datenschutzaufsichtsbehörden haben in den vergangenen Wochen zwei hohe Bußgelder verhängt, weil aus ihrer Sicht gegen die DSGVO verstoßen wurde: Ein Wohnungskonzern soll 14,5 Millionen Euro und ein Telekommunikationsdienstleister 9,55 Millionen Euro zahlen. Die Bußgelder sind ein guter Anlass, sich die Voraussetzungen für die Verhängung eines Bußgeldes wegen eines Verstoßes gegen die DSGVO mal etwas genauer anzuschauen.

Mehrere Optionen

Um zunächst das Vorliegen eines Verstoßes gegen die DSGVO zu prüfen und ggf. festzustellen, räumt Art. 58 Abs. 1 DSGVO den Aufsichtsbehörden verschiedene Untersuchungsbefugnisse ein. Dazu gehören z. B. die Anweisungsbefugnis zur Informationsbereitstellung oder das Recht, Datenschutzüberprüfungen durchzuführen.

Wenn eine Aufsichtsbehörde der Meinung ist, dass tatsächlich gegen die DSGVO verstoßen wurde, dann stehen ihr gemäß Art. 58 Abs. 2 DSGVO unterschiedliche Abhilfebefugnisse zur Verfügung. So hat sie z. B. das Recht, eine Verwarnung zu erteilen, die Verarbeitung personenbezogener Daten zu beschränken oder zu verbieten oder die Löschung personenbezogener Daten anzuordnen. Zu den Rechten der Aufsichtsbehörde gehört aber auch die Verhängung einer Geldbuße gemäß Art. 83 DSGVO und zwar, je nach den Umständen des Einzelfalls, zusätzlich zu oder anstelle von den übrigen Abhilfebefugnissen.

Die Voraussetzungen des Art. 83 DSGVO

Der Verweis auf Art. 83 DSGVO spannt den Bogen zu dem eigentlichen Thema dieses Beitrages, nämlich zu den Voraussetzungen für die Verhängung eines Bußgeldes.

Ein Blick in Art. 83 Abs. 4 bis 6 DSGVO zeigt, dass die meisten Verstöße gegen die DSGVO mit einer Geldbuße bedroht sind.

Art. 83 Abs. 4 DSGVO sanktioniert Verstöße gegen formelle administrative Pflichten. Darunter fallen gemäß Art. 83 Abs. 4 Buchstabe a DSGVO auch Verstöße gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Der eingangs genannte Bußgeldbescheid gegen den Wohnungskonzern basiert u. a. auf einem angeblichen Verstoß gegen Art. 25 Abs. 1 DSGVO und die Grundlage für den Bußgeldbescheid gegen den Telekommunikationsdienstleister ist Art. 32 DSGVO. Der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO beträgt bis zu 10 000 000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Art. 83 Abs. 5 DSGVO sanktioniert u. a. Verstöße gegen materielle Grundsätze der DSGVO, gegen Betroffenenrechte, gegen Bestimmungen über den Drittlandtransfer und Verstöße gegenüber den Aufsichtsbehörden. Der Wohnungskonzern soll auch gegen Art. 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) verstoßen haben, was unter Art. 83 Abs. 5 Buchstabe a DSGVO fällt. Praktische Relevanz hat insbesondere die Sanktionierung von Verstößen gegen die Betroffenenrechte. Wer also z. B. gegen die Informationspflicht gemäß Art. 13 DSGVO verstößt, geht das Risiko eines Bußgeldes gemäß Art. 83 Abs. 5 Buchstabe b DSGVO ein. Der Bußgeldrahmen des Art. 83 Abs. 5 DSGVO beträgt bis zu 20 000 000 EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Der gleiche Bußgeldrahmen gilt auch für Art. 83 Abs. 6 DSGVO. Diese Regelung sanktioniert die Nichtbefolgung einer Anweisung einer Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO.

Die vorstehenden Ausführungen haben einen Überblick darüber gegeben, wegen welcher Verstöße gegen die DSGVO ein Bußgeld verhängt werden kann. Als Nächstes soll auf die ersten beiden Absätze des Art. 83 DSGVO eingegangen werden.

In Art. 83 Abs. 2 DSGVO wird zunächst etwas wiederholt, was schon in Art. 58 Abs. 2 DSGVO geregelt wird und zwar, dass Geldbußen je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von den übrigen Abhilfebefugnissen des Art. 58 Abs. 2 DSGVO verhängt werden. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag ist eine ganze Reihe von Kriterien gebührend zu berücksichtigen, die in Art. 83 Abs. 2 DSGVO aufgezählt werden. Wichtig ist in diesem Kontext Art. 83 Abs. 1 DSGVO. Danach stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Zu den Kriterien des Art. 83 Abs. 2 DSGVO gehören beispielsweise Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, etwaige einschlägige frühere Verstöße, der Umfang der Zusammenarbeit mit der Aufsichtsbehörde und jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Das Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen

Die deutschen Datenschutzaufsichtsbehörden haben anhand der Vorgaben des Art. 83 DSGVO ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen entwickelt und veröffentlicht. Es findet keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und es ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Es entfaltet ferner keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.

Die Grundlage für das Konzept ist der Umsatz des jeweiligen Unternehmens. Knapp zusammengefasst bedeutet das Konzept, dass auf Basis des Jahresumsatzes ein Tagessatz gebildet wird, der dann mit einem Faktor für den Schweregrad der Tat multipliziert wird. Der so errechnete Betrag wird dann anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht bei dem Schweregrad berücksichtigt wurden.

Der Umsatz als Grundlage für die Ermittlung der Bußgeldhöhe führt, wie die eingangs genannten Beträge in Höhe von 14,5 Millionen Euro und 9,55 Millionen Euro zeigen, zu sehr hohen Bußgeldern.

Auf einige Kritikpunkte an dem Konzept der Datenschutzaufsichtsbehörden und an Art. 83 DSGVO soll nachfolgend eingegangen werden.

Kritik

Art. 83 DSGVO muss sich am Bestimmtheitsgrundsatz, der auch für Bußgeldtatbestände gilt, messen lassen. Nach diesem Grundsatz müssen strafrechtliche Normen so konkret sein, dass Tragweite und Anwendungsbereich des Tatbestandes zu erkennen sind und sich durch Auslegung ermitteln lassen. Der Bestimmtheitsgrundsatz ist im deutschen Verfassungsrecht in Art. 103 Abs. 2 GG normiert und ergibt sich im Unionsrecht aus dem Gesetzlichkeitsprinzip, das auf Art. 7 Abs. 1 EMRK und Art. 49 Abs. 1 GRCh beruht. Es ist durchaus fraglich, ob der Bestimmtheitsgrundsatz immer eingehalten wird. Als Beispiel für die Problematik kann Art. 83 Abs. 5 Buchstabe a DSGVO i. V. m Art. 5 DSGVO dienen. Die in Art. 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten sind zumindest teilweise sehr weit gefasst und es zumindest teilweise unklar, was vom europäischen Gesetzgeber konkret gefordert wird.

Nach dieser grundsätzlichen Problematik sollen beispielhaft noch zwei wichtige Probleme bei der Auslegung des Art. 83 DSGVO kurz dargelegt werden.

So ist es streitig, ob die Aufsichtsbehörden ein in seinen Einzelheiten ebenfalls streitiges Ermessen haben, ob sie eine Geldbuße verhängen oder nicht oder ob die Verhängung einer Geldbuße verpflichtend ist. Die letztere Ansicht lässt als Ausnahme von der Pflicht nur Satz 2 des Erwägungsgrundes 148 der DSGVO zu. Danach kann im Falle eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, anstelle einer Geldbuße eine Verwarnung erteilt werden.

Zu dem Kriterienkatalog des Art. 83 Abs. 2 DSGVO gehört auch die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Es ist streitig, ob Vorsätzlichkeit oder Fahrlässigkeit stets vorliegen müssen oder ob die Verhängung einer Geldbuße auch möglich ist, wenn weder vorsätzlich noch fahrlässig gehandelt wurde.

Beim Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen dient der Umsatz als Grundlage für die Ermittlung der Bußgeldhöhe. Dies ist kritikwürdig. Denn der Umsatz des Unternehmens wird in dem Kriterienkatalog des Art. 83 Abs. 2 DSGVO nicht genannt. Es wird also ein Kriterium verwendet, das der Gesetzeswortlaut nicht vorsieht. Es ist daher zweifelhaft, bei der Ermittlung der Bußgeldhöhe stets primär auf den Umsatz des Unternehmens abzustellen. Der Umsatz als Anknüpfungspunkt führt außerdem zu sehr hohen Bußgeldern. Beträge in Höhe von 14,5 Millionen Euro und 9,55 Millionen Euro lassen es fraglich erscheinen, ob sie wirklich verhältnismäßig i. S. v. Art. 83 Abs. 1 DSGVO sind. Zudem ist zu beachten, dass das Vorbild für die Systematik des Art. 83 DSGVO zwar das Kartellrecht ist. Dort ist der Umsatz allerdings nur für den Bußgeldrahmen entscheidend. Einzelne Bußgelder werden dagegen auf der Grundlage des Umsatzes verhängt, der mit Waren oder Dienstleistungen erzielt wird, deren Absatz durch den Kartellrechtsverstoß gefördert wird. Eine vergleichbare Differenzierung fehlt jedoch im Konzept der Datenschutzaufsichtsbehörden, da immer auf den Umsatz als solchen abgestellt wird.

Fazit

Der Wohnungskonzern und der Telekommunikationsdienstleister haben gegen die Bußgeldbescheide Einspruch eingelegt. Damit dürften am Ende die Gerichte über die beiden Sachen entscheiden. Und damit werden hoffentlich zumindest einige der vielen Rechtsfragen zur DSGVO geklärt.

Die beiden hohen Geldbußen zeigen auch, dass man sich auf jeden Fall durch einen Rechtsanwalt beraten lassen sollte, wenn man von einer Datenschutzaufsichtsbehörde mit dem Vorwurf konfrontiert wird, gegen die DSGVO verstoßen zu haben.