Die im European Data Protection Board (EDPB) zusammengeschlossenen europäischen Datenschutzaufsichtsbehörden haben neue Leitlinien zur Bemessung von Geldbußen wegen Datenschutzverstößen veröffentlicht. Ziel der neuen Leitlinien, die derzeit noch Gegenstand einer öffentlichen Konsultation sind, ist, die heterogene Praxis bei der Verhängung von Bußgeldern in den EU-Mitgliedsstaaten zu beenden. Im Ergebnis werden sich Unternehmen bei Datenschutzverstößen auf deutlich höhere Bußgelder einstellen müssen.
Das neue Bußgeldkonzept im Überblick
Entgegen den Befürchtungen sind die tatsächlich verhängten Bußgelder wegen Verstößen gegen die DSGVO – abgesehen von einigen spektakulären Fällen, wie z.B. gegen den App-Anbieter Grindr – bisher hinter den Erwartungen zurückgeblieben. Dies liegt unter anderem daran, dass einige Datenschutzaufsichtsbehörden in Europa und auch in Deutschland bisher zurückhaltend mit der Verhängung von hohen Bußgeldern waren. Mit dem neuen Bußgeldkonzept wird sich dies insbesondere für umsatzstarke und große Unternehmen ändern. Bemerkenswert ist insoweit auch, dass das EDPB davon ausgeht, dass alle Handlungen oder Unterlassungen natürlicher Personen, die befugt sind, im Namen von Unternehmen zu handeln, dem Unternehmen zuzurechnen sind. Im deutschen Ordnungswidrigkeitenrecht können sich demgegenüber Bußgelder nach § 30 OWiG nur dann direkt gegen Unternehmen richten, wenn eine Leitungsperson eine Ordnungswidrigkeit oder Straftat begangen hat. Ob diese Vorschrift auf Bußgelder wegen Verstößen gegen die DSGVO Anwendung findet, ist durch den EuGH noch nicht entschieden und zurzeit Gegenstand eines Vorabentscheidungsverfahrens.
Wie verbindlich sind die Leitlinien?
In den Leitlinien wird mehrfach betont, dass die konkrete Höhe des Bußgelds von den Umständen des Einzelfalls abhängt. Das Stufenmodell des EDPB ist also kein Bußgeldrechner, bei dem mit mathematischer Präzision die Höhe eines möglichen Bußgelds ermittelt werden kann. Allerdings gibt die Einteilung in Stufen eine Methodik vor, die für ein höheres Maß an Rationalität und Nachvollziehbarkeit sorgen soll. Darüber hinaus stellt sich die Frage, inwieweit das neue Bußgeldkonzept die Datenschutzaufsichtsbehörden bindet. Grundsätzlich sind Leitlinien des EDBP unverbindliche Empfehlungen, die eine gleichmäßige Anwendung und Auslegung der DSGVO sicherstellen sollen. Dies hat das EDPB in der Vergangenheit selbst betont. Rein faktisch dürfte zukünftig jedoch der Begründungsaufwand für die Datenschutzaufsichtsbehörden und Instanzgerichte steigen, wenn sie von den Leitlinien des EDPB abweichen wollen. Schließlich kann sich nach den Grundsätzen der Selbstbindung der Verwaltung auch eine Bindungswirkung für die Zukunft ergeben, wenn die Datenschutzaufsichtsbehörden das Konzept in eine gängige Verwaltungspraxis überführen.
Konsequenzen für Unternehmen
Durch die neuen Leitlinien könnte die zuletzt etwas zum Papiertiger gewordene Bußgeldpraxis der Datenschutzaufsichtsbehörden wieder Fahrt aufnehmen. Datenschutz muss daher Teil einer jeden Compliance-Strategie in Unternehmen sein. Gelingt es trotz eines Datenschutz-Compliance-Managements nicht, einen Datenschutzverstoß zu verhindern, und es droht ein Bußgeld, besteht jedoch auch mit den neuen Leitlinien kein Anlass zur Panik. Diese lassen nach wie vor viel Raum für die Darlegung mildernder Umstände und Verhandlungen mit den Datenschutzaufsichtsbehörden.
back