New Gui­de­lines published: will com­pa­nies face hea­vier fines for vio­la­ti­ons of the GDPR?

Die im Euro­pean Data Pro­tec­tion Board (EDPB) zusam­men­ge­schlos­se­nen  euro­päi­schen Daten­schutz­auf­sichts­be­hör­den haben neue Leit­li­ni­en zur Bemes­sung von Geld­bu­ßen wegen Daten­schutz­ver­stö­ßen ver­öf­fent­licht. Ziel der neu­en Leit­li­ni­en, die der­zeit noch Gegen­stand einer öffent­li­chen Kon­sul­ta­ti­on sind, ist, die hete­ro­ge­ne Pra­xis bei der Ver­hän­gung von Buß­gel­dern in den EU-Mitgliedsstaaten zu been­den. Im Ergeb­nis wer­den sich Unter­neh­men bei Daten­schutz­ver­stö­ßen auf deut­lich höhe­re Buß­gel­der ein­stel­len müssen.

Das neue Buß­geld­kon­zept im Überblick

Ent­ge­gen den Befürch­tun­gen sind die tat­säch­lich ver­häng­ten Buß­gel­der wegen Ver­stö­ßen gegen die DSGVO – abge­se­hen von eini­gen spek­ta­ku­lä­ren Fäl­len, wie z.B. gegen den App-Anbieter Grin­dr – bis­her hin­ter den Erwar­tun­gen zurück­ge­blie­ben. Dies liegt unter ande­rem dar­an, dass eini­ge Daten­schutz­auf­sichts­be­hör­den in Euro­pa und auch in Deutsch­land bis­her zurück­hal­tend mit der Ver­hän­gung von hohen Buß­gel­dern waren. Mit dem neu­en Buß­geld­kon­zept wird sich dies ins­be­son­de­re für umsatz­star­ke und gro­ße Unter­neh­men ändern. Bemer­kens­wert ist inso­weit auch, dass das EDPB davon aus­geht, dass alle Hand­lun­gen oder Unter­las­sun­gen natür­li­cher Per­so­nen, die befugt sind, im Namen von Unter­neh­men zu han­deln, dem Unter­neh­men zuzu­rech­nen sind. Im deut­schen Ord­nungs­wid­rig­kei­ten­recht kön­nen sich dem­ge­gen­über Buß­gel­der nach § 30 OWiG nur dann direkt gegen Unter­neh­men rich­ten, wenn eine Lei­tungs­per­son eine Ord­nungs­wid­rig­keit oder Straf­tat began­gen hat. Ob die­se Vor­schrift auf Buß­gel­der wegen Ver­stö­ßen gegen die DSGVO Anwen­dung fin­det, ist durch den EuGH noch nicht ent­schie­den und zur­zeit Gegen­stand eines Vor­ab­ent­schei­dungs­ver­fah­rens.

Wie ver­bind­lich sind die Leitlinien?

In den Leit­li­ni­en wird mehr­fach betont, dass die kon­kre­te Höhe des Buß­gelds von den Umstän­den des Ein­zel­falls abhängt. Das Stu­fen­mo­dell des EDPB ist also kein Buß­geld­rech­ner, bei dem mit mathe­ma­ti­scher Prä­zi­si­on die Höhe eines mög­li­chen Buß­gelds ermit­telt wer­den kann. Aller­dings gibt die Ein­tei­lung in Stu­fen eine Metho­dik vor, die für ein höhe­res Maß an Ratio­na­li­tät und Nach­voll­zieh­bar­keit sor­gen soll. Dar­über hin­aus stellt sich die Fra­ge, inwie­weit das neue Buß­geld­kon­zept die Daten­schutz­auf­sichts­be­hör­den bin­det. Grund­sätz­lich sind Leit­li­ni­en des EDBP unver­bind­li­che Emp­feh­lun­gen, die eine gleich­mä­ßi­ge Anwen­dung und Aus­le­gung der DSGVO sicher­stel­len sol­len. Dies hat das EDPB in der Ver­gan­gen­heit selbst betont. Rein fak­tisch dürf­te zukünf­tig jedoch der Begrün­dungs­auf­wand für die Daten­schutz­auf­sichts­be­hör­den und Instanz­ge­rich­te stei­gen, wenn sie von den Leit­li­ni­en des EDPB abwei­chen wol­len. Schließ­lich kann sich nach den Grund­sät­zen der Selbst­bin­dung der Ver­wal­tung auch eine Bin­dungs­wir­kung für die Zukunft erge­ben, wenn die Daten­schutz­auf­sichts­be­hör­den das Kon­zept in eine gän­gi­ge Ver­wal­tungs­pra­xis überführen.

Kon­se­quen­zen für Unternehmen

Durch die neu­en Leit­li­ni­en könn­te die zuletzt etwas zum Papier­ti­ger gewor­de­ne Buß­geld­pra­xis der Daten­schutz­auf­sichts­be­hör­den wie­der Fahrt auf­neh­men. Daten­schutz muss daher Teil einer jeden Compliance-Strategie in Unter­neh­men sein. Gelingt es trotz eines Datenschutz-Compliance-Managements nicht, einen Daten­schutz­ver­stoß zu ver­hin­dern, und es droht ein Buß­geld, besteht jedoch auch mit den neu­en Leit­li­ni­en kein Anlass zur Panik. Die­se las­sen nach wie vor viel Raum für die Dar­le­gung mil­dern­der Umstän­de und Ver­hand­lun­gen mit den Datenschutzaufsichtsbehörden.

back

Stay up-to-date

We use your email address exclusively for sending our newsletter. You have the right to revoke your consent at any time with effect for the future. For further information, please refer to our privacy policy.