Datenschutz-Aufsichtsbehörden: Umfrage zu Ressourcen, Bußgeldern und Gerichtsverfahren

Der Europäische Datenschutzausschuss (EDSA) hat eine Befragung der europäischen Aufsichtsbehörden hinsichtlich finanzieller und personeller Ressourcen sowie Anzahl von datenschutzrechtlichen Fällen durchgeführt. In erster Linie soll dadurch gezeigt werden, wie die Aufsichtsbehörden drei Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) aufgestellt sind und ihre Aufgaben erfüllen können. Jedoch lassen sich aus diesen Befragungen auch andere Erkenntnisse ziehen, etwa, wie sinnvoll es sein kann, gegen Bußgelder der Behörden vorzugehen.

Finanzielle und personelle Ressourcen

Eine wichtige Rolle für die Aufsichtsbehörden spielen zunächst die finanziellen und personellen Mittel, die zur Verfügung stehen. Ohne selbige wäre eine Bearbeitung der Aufgaben schlichtweg nicht möglich. Interessant ist hierbei, dass besonders die ressourcenstarken Länder unzufrieden mit den verfügbaren Mitteln sind.

  • Sowohl bei Personal als auch Finanzen liegt Deutschland an der Spitze der vorhandenen Ressourcen, allerdings zeigen sich die Aufsichtsbehörden hinsichtlich der Gelder nicht zufrieden; Personal sei ausreichend vorhanden.
  • Auch die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) gehört zu einer der ressourcenstärksten Behörden, allerdings wurden auch hier fehlende finanzielle Mittel angezeigt.
  • Dort, wo weniger Gelder und Personal zur Verfügung steht, wie etwa in Ungarn oder der Tschechischen Republik, ergibt die Umfrage, dass zwar finanziell keine Probleme bestünden, jedoch mehr Personal von Nöten sei.

Diese Zahlen sollten jedoch nicht ausschließlich alleine betrachtet werden, sondern stehen auch immer im Zusammenhang mit Anfragen von Betroffenen und der Bearbeitung gemeldeter Verstöße. Gehen mehr Anfragen und Meldungen von Verstößen ein oder wird der Amtsermittlungsgrundsatz stark vorangetrieben, sind damit auch mehr Mittel notwendig, um diesen sowohl fachlich als auch zeitlich akkurat nachgehen zu können.

Betroffenenbeschwerden nach Art. 77 DSGVO

Art. 77 DSGVO gibt Betroffenen das Recht, sich an die Aufsichtsbehörden zu wenden, wenn sie der Ansicht sind, die Verarbeitung der personenbezogenen Daten widerlaufe den Vorgaben der DSGVO. Die Befragung ergab, dass auch hier Deutschland wieder mit den meisten Anfragen anführt, alleine im Jahr 2020 waren es 40.309 Beschwerdefälle. Dazu hat die französische Aufsichtsbehörde, die die zweitmeisten Beschwerden zu verbuchen hat, im Vergleich nur 13.585 solcher Fälle im Jahr 2020 zu bearbeiten. Die irische Behörde meldete für 2020 beispielsweise 5.014 Beschwerden.

Diese Zahlen für sich sind bereits beachtlich, geben aber durch Hinzuziehen des Bearbeitungsstatus weitere Erkenntnisse, zum Beispiel einen Einblick in die zeitliche Dauer solcher Verfahren.

  • Die irische Behörde hat aktuell (unter Einbeziehung der Beschwerdemeldungen seit 2018 bis zum 31. Mai 2021) 14.500 solcher Verfahren zum Abschluss gebracht, in 2.672 steht eine Entscheidung noch aus.
  • Aus Frankreich meldet CNIL den Abschluss von 32.009 Beschwerdeverfahren seit Einführung der DSGVO, 10.103 seien noch offen.
  • Auch bei den noch offenen Verfahren liegen die deutschen Aufsichtsbehörden wieder vorne: Hier sind noch 19.752 Beschwerdeverfahren zu entscheiden, 25.849 Fälle konnten bereits erledigt werden.

Stellt man diese Zahlen nunmehr prozentual nebeneinander, ergibt sich ein noch deutlicheres Bild.

  • 15,56% der irischen Beschwerdeführer warten noch auf eine Entscheidung.
  • in Frankreich belaufen sich die ausstehenden Verfahren auf 23,99%.
  • Dahingegen sind fast die Hälfte, nämlich 43,31% der Beschwerdeverfahren in Deutschland noch keiner Entscheidung zugeführt worden.

Eine Rolle spielt sicherlich auch das jeweilige Verfahrensrecht der Länder sowie die oben dargestellten Ressourcen. Jedenfalls zeigt diese Aufstellung deutlich, wo sich Beschwerdeführer und -gegner auf ein längeres Verfahren einstellen müssen.

Ermittlung von Amts wegen

Ein gänzlich anderes Bild ergibt sich bei Ermittlungen von Amts wegen, also wenn Aufsichtsbehörden von sich aus datenschutzrechtliche Untersuchungen in Unternehmen anstoßen. In einigen Mitgliedstaaten wird von diesem Recht nach Art. 58 DSGVO deutlich öfter Gebrauch gemacht als anderswo. Im Jahr 2020 wurden in Rumänien 398 Ermittlungsverfahren von Amts wegen eingeleitet und auch abgeschlossen. Auch in Österreich und Frankreich sollten sich Unternehmen auf eine Ermittlung von Amts wegen einstellen. Hier wurden 337 (Österreich) und 247 (Frankreich) Amtsermittlungen durchgeführt, wovon einige Verfahren allerdings noch nicht entschieden wurden. Im Vergleich hierzu leitete die spanische Aufsichtsbehörde vergangenes Jahr nur 26 Verfahren ein. Zahlen der deutschen Aufsichtsbehörden liegen zu diesem Thema nicht vor.

Datenschutzverstöße

Weiterer Fokus der Befragung waren die Meldungen von Datenschutzverstößen. Sowohl deutsche (27.652 im Jahr 2020) als auch niederländische (24.055 im Jahr 2020) Verantwortliche stehen nach erfolgter Meldung einem Verfahren gegenüber. Dahingegen verzeichnen die Aufsichtsbehörden in Frankreich (12 für 2020) oder Spanien (81 für 2020) deutlich weniger Meldungen. Diese Zahlen sollten jedoch nicht dahingehend interpretiert werden, dass Datenschutzverstöße in Deutschland oder der Niederlande häufiger auftreten. Vielmehr dürften hier die Ausgestaltungen der Meldewege sowie die Amtsermittlungen ihre Auswirkungen zeigen.

Gerichtliche Entscheidungen zu Bußgeldverfahren

Für Verantwortliche von besonders hohem Interesse dürfte die Aufstellung über die Status der gerichtlichen Berufungsverfahren gegen Bußgelder sein. So wurden seit Inkrafttreten der DSGVO in Deutschland 65 Bußgelder zur gerichtlichen Entscheidung gebracht, wovon bislang keines vor Gericht standhielt. 42 dieser Verfahren sind noch anhängig, die übrigen wurden zurückgewiesen oder angepasst.

Die italienischen Gerichte änderten bzw. wiesen bislang 39 der 233 Verfahren zurück, 144 Entscheidungen stehen hier aber noch aus. Auch in Spanien haben Bußgelder vor den Gerichten nicht immer Bestand. Hier wurden 266 Verfahren eingeleitet, bei ca. einem Drittel (90 Verfahren) hatte das Bußgeld in der ursprünglichen Form keinen Bestand. Am meisten mussten sich bislang die belgischen Gerichte mit datenschutzrechtlichen Bußgeldern befassen, insgesamt 328 Verfahren, wovon nur noch zwei anhängig sind, waren zu entscheiden. Auch hier wurde in ca. einem Drittel der Fälle das Bußgeld reduziert oder gänzlich abgewiesen.

Länderübergreifend ist aus diesen Zahlen vor allem zu verzeichnen, dass sich für verantwortliche Unternehmen, die einem Bußgeldbescheid gegenüberstehen, ein gerichtliches Verfahren durchaus lohnen kann. Eine Reduzierung bis hin zur gänzlichen Abweisung eines Bußgeldes wurde bisher in jedem Mitgliedstaat zumindest bei einem guten Teil der vor Gericht gebrachten Fälle erzielt. Diese statistischen Werte sollten daher immer bei der Entscheidung, ein Bußgeld zu akzeptieren oder dagegen vorzugehen, einbezogen werden.

Lesen Sie dazu auch unseren Ratgeber zu DSGVO-Bußgeldverfahren. Die Experten unserer Partnerkanzlei activeMind.legal stehen Ihnen außerdem gerne für eine gerichtliche Anfechtung eines Bußgeldbescheides zur Verfügung!

Fazit: Bedeutung von DSGVO-Compliance nimmt zu

Der EDSA hat mit seiner Befragung der Aufsichtsbehörden nicht nur klare Zahlen geliefert, sondern auch zahlreiche damit einhergehende Erkenntnisse für Unternehmen und Betroffene. Bei allen abgefragten Themen ist mitgliedstaatübergreifend Jahr für Jahr ein Anstieg zu verzeichnen. Betroffene nehmen mehr und mehr ihr Recht nach Art. 77 DSGVO wahr, auch Amtsermittlungsverfahren werden immer häufiger durchgeführt. Parallel dazu steigen die Ressourcen der Behörden, um solche Verfahren auch weiterhin vorantreiben zu können.

Unternehmen sollten daher stets ihren datenschutzrechtlichen Pflichten, wie etwa das Vorhalten eines aktuellen Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO nachkommen. Allerdings ist auch zu verzeichnen, dass sich ein gerichtliches Verfahren gegen Bußgelder in allen Mitgliedstaaten lohnen kann.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.