New Gui­de­lines published: will com­pa­nies face hea­vier fines for vio­la­ti­ons of the GDPR?

Die im Euro­pean Data Pro­tec­tion Board (EDPB) zusam­men­ge­schlos­se­nen  euro­päi­schen Daten­schutz­auf­sichts­be­hör­den haben neue Leit­li­ni­en zur Bemes­sung von Geld­bu­ßen wegen Daten­schutz­ver­stö­ßen ver­öf­fent­licht. Ziel der neu­en Leit­li­ni­en, die der­zeit noch Gegen­stand einer öffent­li­chen Kon­sul­ta­ti­on sind, ist, die hete­ro­ge­ne Pra­xis bei der Ver­hän­gung von Buß­gel­dern in den EU-Mitgliedsstaaten zu been­den. Im Ergeb­nis wer­den sich Unter­neh­men bei Daten­schutz­ver­stö­ßen auf deut­lich höhe­re Buß­gel­der ein­stel­len müssen.

Das neue Buß­geld­kon­zept im Überblick

Ent­ge­gen den Befürch­tun­gen sind die tat­säch­lich ver­häng­ten Buß­gel­der wegen Ver­stö­ßen gegen die DSGVO – abge­se­hen von eini­gen spek­ta­ku­lä­ren Fäl­len, wie z.B. gegen den App-Anbieter Grin­dr – bis­her hin­ter den Erwar­tun­gen zurück­ge­blie­ben. Dies liegt unter ande­rem dar­an, dass eini­ge Daten­schutz­auf­sichts­be­hör­den in Euro­pa und auch in Deutsch­land bis­her zurück­hal­tend mit der Ver­hän­gung von hohen Buß­gel­dern waren. Mit dem neu­en Buß­geld­kon­zept wird sich dies ins­be­son­de­re für umsatz­star­ke und gro­ße Unter­neh­men ändern. Bemer­kens­wert ist inso­weit auch, dass das EDPB davon aus­geht, dass alle Hand­lun­gen oder Unter­las­sun­gen natür­li­cher Per­so­nen, die befugt sind, im Namen von Unter­neh­men zu han­deln, dem Unter­neh­men zuzu­rech­nen sind. Im deut­schen Ord­nungs­wid­rig­kei­ten­recht kön­nen sich dem­ge­gen­über Buß­gel­der nach § 30 OWiG nur dann direkt gegen Unter­neh­men rich­ten, wenn eine Lei­tungs­per­son eine Ord­nungs­wid­rig­keit oder Straf­tat began­gen hat. Ob die­se Vor­schrift auf Buß­gel­der wegen Ver­stö­ßen gegen die DSGVO Anwen­dung fin­det, ist durch den EuGH noch nicht ent­schie­den und zur­zeit Gegen­stand eines Vor­ab­ent­schei­dungs­ver­fah­rens.

Wie ver­bind­lich sind die Leitlinien?

In den Leit­li­ni­en wird mehr­fach betont, dass die kon­kre­te Höhe des Buß­gelds von den Umstän­den des Ein­zel­falls abhängt. Das Stu­fen­mo­dell des EDPB ist also kein Buß­geld­rech­ner, bei dem mit mathe­ma­ti­scher Prä­zi­si­on die Höhe eines mög­li­chen Buß­gelds ermit­telt wer­den kann. Aller­dings gibt die Ein­tei­lung in Stu­fen eine Metho­dik vor, die für ein höhe­res Maß an Ratio­na­li­tät und Nach­voll­zieh­bar­keit sor­gen soll. Dar­über hin­aus stellt sich die Fra­ge, inwie­weit das neue Buß­geld­kon­zept die Daten­schutz­auf­sichts­be­hör­den bin­det. Grund­sätz­lich sind Leit­li­ni­en des EDBP unver­bind­li­che Emp­feh­lun­gen, die eine gleich­mä­ßi­ge Anwen­dung und Aus­le­gung der DSGVO sicher­stel­len sol­len. Dies hat das EDPB in der Ver­gan­gen­heit selbst betont. Rein fak­tisch dürf­te zukünf­tig jedoch der Begrün­dungs­auf­wand für die Daten­schutz­auf­sichts­be­hör­den und Instanz­ge­rich­te stei­gen, wenn sie von den Leit­li­ni­en des EDPB abwei­chen wol­len. Schließ­lich kann sich nach den Grund­sät­zen der Selbst­bin­dung der Ver­wal­tung auch eine Bin­dungs­wir­kung für die Zukunft erge­ben, wenn die Daten­schutz­auf­sichts­be­hör­den das Kon­zept in eine gän­gi­ge Ver­wal­tungs­pra­xis überführen.

Kon­se­quen­zen für Unternehmen

Durch die neu­en Leit­li­ni­en könn­te die zuletzt etwas zum Papier­ti­ger gewor­de­ne Buß­geld­pra­xis der Daten­schutz­auf­sichts­be­hör­den wie­der Fahrt auf­neh­men. Daten­schutz muss daher Teil einer jeden Compliance-Strategie in Unter­neh­men sein. Gelingt es trotz eines Datenschutz-Compliance-Managements nicht, einen Daten­schutz­ver­stoß zu ver­hin­dern, und es droht ein Buß­geld, besteht jedoch auch mit den neu­en Leit­li­ni­en kein Anlass zur Panik. Die­se las­sen nach wie vor viel Raum für die Dar­le­gung mil­dern­der Umstän­de und Ver­hand­lun­gen mit den Datenschutzaufsichtsbehörden.