Daten & Lizenzen

Bußgeld wegen Datenschutzverstoß? So nah und doch so fern

Seit Einführung der DSGVO ist das Thema Datenschutz ein Dauerbrenner. Nach und nach trudeln erste Entscheidungen der Datenschutzbehörden und von Gerichten ein, die helfen, langsam ein schärferes Bild der gesetzlichen Anforderungen zu zeichnen.

Nach wie vor ein großes Thema im Datenschutzrecht sind die durch die DSGVO möglichen Bußgelder. Auf der einen Seite steht das Bekenntnis der Datenschutzbeauftragten des Bundes und der Länder, hinsichtlich der Bußgelder nun wirklich Ernst zu machen.

Wie ernst es die Datenschutzbeauftragten des Bundes und der Länder meinen, zeigen die Ergebnisse der „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ aus dem Juni 2019. Dort stellte der „Arbeitskreis (AK) Sanktionen“ ein neues Modell zur Berechnung von Geldbußen vor, das „im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung (Protokoll der 2. Zwischenkonferenz vom 25. Juni 2019, Top 16, https://www.lda.brandenburg.de/sixcms/detail.php/bb1.c.642893.de?_aria=ds)“ gewährleiste. Der Vorschlag wurde mit 16 Zustimmungen und einer Enthaltung angenommen. Erste Datenschutzbehörden haben die Arbeit mit dem neuen Berechnungsmodell bereits aufgenommen.

Das Modell sieht vor, dass zunächst aus dem weltweiten Konzernjahresumsatz ein Tagessatz errechnet wird. Dieser wird dann je nach Schwere des Datenschutzverstoßes mit einem Faktor zwischen 1 und 14,4 multipliziert. „Der Schweregrad wiederum ist das Ergebnis eines Punktesystems, das senkend, gleichbleibend oder erhöhend wirkt. Maßgeblich für die Punktzahl ist unter anderem die Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens.“ (Flick, Eva in Juve „DSGVO: Datenschutzbehörden berechnen Bußgelder nach neuem Modell“). Die Datenschutzbehörden haben angekündigt, in naher Zukunft erhebliche Bußgelder verhängen zu wollen.

Die so entstandene Berechnung wird dann noch je nach Verschuldensgrad durch Aufschläge erhöht. Auf diese Weise errechnen sich ernstzunehmende Summen, die bei der Finanzplanung von Unternehmen berücksichtigt werden müssen.

Auf der anderen Seite weist Härting darauf hin, dass Art. 83 DSGVO keine Zurechnungskriterien enthält, die einen Datenschutzverstoß aus einem Unternehmen heraus auch dem Unternehmen zurechnen. Zurechnungsnormen finden sich allerdings im deutschen Recht. So zu Beispiel im Gesetz über Ordnungswidrigkeiten (OWiG), das nach § 41 Abs. 1 BDSG auch auf DSGVO-Bußgelder angewendet wird. Zusammengefasst setzt das OWiG für eine Zurechnung von Datenschutzverstößen zu einem Unternehmen voraus, dass entweder einem Mitarbeiter in leitender Position ein Verschulden oder dem Unternehmen die Verletzung einer Aufsichtspflicht nachgewiesen werden kann. Die daraus resultierenden Fragen sind weiterhin ungeklärt und angesichts der von den Datenschutzbehörden angekündigten Rekordbußgeldern, werden diese Frage die Justiz in den nächsten Jahren ordentlich auf Trapp halten.