5 Thesen zu Bußgeldern unter der DSGVO

Dass in der EU-Datenschutz-Grundverordnung (DSGVO) drastisch höhere Bußgelder vorgesehen sind, als im bisherigen Datenschutzrecht, hat mittlerweile wohl jedes Unternehmen gehört. Was aber bedeuten die neuen Bußgeldvorschriften in der DSGVO für die Praxis? Worauf müssen sich Unternehmen konkret einstellen? Während vieles davon abhängt, wie die Datenschutz-Aufsichtsbehörden tatsächlich sanktionieren, können wir einige gut begründete Thesen bereits jetzt aufstellen.

1. Bußgelder werden Pflicht

Datenschutzverstöße müssen künftig geahndet werden (Art. 83 DSGVO). Es steht also nicht mehr im Ermessen der Aufsichtsbehörden, ob ein Verstoß „bestraft“ wird; lediglich über die Höhe des zu verhängenden Bußgeldes ist noch eine Entscheidung möglich. Die DSGVO schreibt den Aufsichtsbehörden eindeutig vor, dass Geldbußen in jedem Einzelfall wirksam, abschreckend und verhältnismäßig sein müssen.

2. Bußgelder werden höher

Das „durchschnittlich“ verhängte Bußgeld wird deutlich steigen. Bisher endete der Regelrahmen für Bußgelder bei 50.000 Euro, in Ausnahmefällen bei 300.000 Euro. In der DSGVO ist das Regelbußgeld nach oben auf 20 Mio. Euro bzw. 4 % des letztjährigen globalen Umsatzes begrenzt. Dabei gilt der kleinere Rahmen von bis zu 10 Mio. Euro bzw. 2 % als Ausnahme für einige konkret bestimmte Fälle (vgl. Art. 83 Abs. 4 DSGVO).

Mit welchen Strafen müssen Unternehmen demnach künftig rechnen? Aktuell liegen durchschnittliche Bußgelder in Deutschland bei 10.000 bis 15.000 Euro, wie die Aufsichtsbehörden selbst mitteilen. Die Aufsichtsbehörden verlangen also etwa 20 bis 25 % der möglichen Maximalstrafe. Bei gleicher Praxis müssten durchschnittliche Bußgelder unter der DSGVO bei 4 bis 5 Mio. Euro liegen.

Zu solch drastischen Strafgeldern wird es vermutlich nicht kommen. Aber es ist klar, dass die Bußen steigen – und so ist es vom Gesetzgeber auch eindeutig beabsichtigt. Wie die Aufsichtsbehörden künftig ahnden, wird man abwarten müssen. Auf einer aktuellen Veranstaltung äußerte sich jedoch ein Landesbeauftragter für Datenschutz beispielhaft zu Fehlern bei der Bestellung des betrieblichen Datenschutzbeauftragten: Bei nicht korrekter Bestellung ist offenbar künftig mit 300.000 Euro Bußgeld zu rechnen!

Interessant bzw. schmerzhaft dürften auch die Regressansprüche gegen Datenschutzbeauftragte werden, wenn diese nicht die persönlichen und fachlichen Voraussetzungen mitbringen – und dies hätten erkennen können. Die Bußgelder erreichen zukünftig Höhen, die Unternehmen nicht mehr einfach „schlucken“.

3. Bußgelder werden häufiger verhängt

Die Aufsichtsbehörden werden künftig häufiger von Datenschutzverletzungen erfahren, denn diese sind unter der DSGVO grundsätzlich innerhalb von 72 Stunden meldepflichtig! Da die Aufsichtsbehörden ahnden müssen (siehe oben), werden sie häufiger Bußgelder verhängen.

Hinzukommt, dass das öffentliche Bewusstsein, ein Recht auf Datenschutz zu haben, deutlich gestiegen ist. Beschwerden bei den Aufsichtsbehörden nehmen bereits seit einiger Zeit zu. Eine solche Beschwerde bei einer Behörde – die jedem möglich ist – ist zudem ein einfaches und unter Umständen sehr taugliches Mittel, um ein Unternehmen, über das man sich geärgert hat, „zurück zu ärgern“.

4. Gerichtsverfahren zu Bußen werden zunehmen

Aktuell zahlen viele Unternehmen ein Bußgeld lieber, als den unangenehmen Datenschutz-Vorfall an die große Glocke zu hängen. Diese Entscheidung ist bei „nur“ 15.000 Euro Bußgeld durchaus nachvollziehbar. Bei sechs- oder siebenstelligen Summen sieht das schon anders aus. Widersprüche, Prozesse und öffentliche Gerichtsverhandlungen sowie veröffentlichte Urteile dürften mit einer gewissen Verzögerung die Regel werden.

Dass Unternehmen im Falle eines Falles auch versuchen werden, sich vom eigentlichen Verursacher wenigstens einen Teil des Bußgeldes zurückzuholen, ist ebenfalls vorhersehbar. Klagen gegen Geschäftsführer, verantwortliche Sachbearbeiter, eingesetzte Dienstleister (Auftragsverarbeiter) oder aber eben auch gegen Datenschutzbeauftragte werden sicher häufiger.

5. Bußgelder werden sich EU-weit angleichen

Zu guter Letzt ist davon auszugehen, dass ein europäischer Angleichungsprozess entsteht. Es kann schließlich nicht weiterhin sein, dass in einigen EU-Mitgliedsländern der Datenschutz eher streng durchgesetzt wird und in anderen kaum. Ebenso wenig sollten in einem Land heftige Bußgelder verhängt werden und in anderen eher milde Strafen. Das würde die Rahmenbedingungen und letztlich den Wettbewerb verzerren.

Spätestens auf Ebene der EU dürfte daher eine aufmerksame Kontrolle und Korrektur stattfinden, wenn es in Einzelstaaten nicht so läuft, wie mit der DSGVO geplant. Einige Länder und die dortigen Unternehmen dürften sich also bald umgewöhnen müssen, was den Verfolgungsdruck angeht.

Aufgrund dieser rechtlichen Harmonisierungsbestrebungen der EU wird es also (zumindest mittelfristig) kaum einen Unterschied machen, ob eine italienische, estnische oder deutsche Aufsichtsbehörde Datenschutz-Verstöße ahndet.

Fazit: Vorsorge ist viel, viel besser, als das Nachsehen zu haben

Zusammengefasst werden Bußgelder unter der Datenschutz-Grundverordnung überall höher und häufiger verhängt werden. Die umtriebigen Vorbereitungen und Umfragen der Aufsichtsbehörden deuten darauf hin, dass mit Anwendbarkeit der DSGVO am 25. Mai 2018 schnell, koordiniert und konsequent gehandelt wird.

Unternehmen ist deshalb nur zu raten, durch entsprechend gute Vorbereitung erst gar nicht in die Verlegenheit zu kommen, sich mit Bußgeldern auseinandersetzen zu müssen. Ein proaktiver Kontakt mit der zuständigen Datenschutzbehörde kann dabei sehr hilfreich sein. Insbesondere die bereits sehr erfahrenen und breit aufgestellten deutschen Aufsichtsbehörden gelten als kooperativ und unterstützen gerne.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.