Das neue Datenschutzstrafrecht seit Geltung der DS-GVO

Während die einen vor empfindlichen Geldbußen und weitreichenden Konsequenzen für Unternehmen gewarnt haben, haben andere von Panikmache im Zusammenhang mit der Datenschutzgrundverordnung (DS-GVO) gesprochen. Neben den Berichten der Aufsichtsbehörden über die vergangenen Monate macht eine kürzlich erlassene Geldbuße nun deutlich, dass die Risiken ernst zu nehmen sind: Die Berliner Datenschutzbeauftragte hat am 19. September in einer Pressemitteilunge über ein Bußgeld in Höhe von insgesamt 195.407 Euro inklusive Gebühren informiert.

Sanktionen: „Wirksam, verhältnismäßig und abschreckend“

Seit Geltung der DS-GVO hat nicht nur das Datenschutzrecht allgemein einen Bedeutungszuwachs erfahren. Vor allem sind ordnungswidrigkeitenrechtliche und strafrechtliche Sanktionen bei datenschutzrechtlichen Verstößen in den Fokus der Ermittlungsbehörden wie auch der Öffentlichkeit gerückt. Ein Grund ist die Höhe der Geldbußen, die verhängt werden können und damit ein gravierendes Risiko vor allem für Unternehmen darstellen. Nach Art. 83 DS-GVO hat jede Aufsichtsbehörde sicher zu stellen, dass die Verhängung von Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“. Geldbußen können je nach den Umständen im Einzelfall zusätzlich oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchs. a bis h und j verhängt werden (Abs. 2).

Zwar wird häufig bei kleineren Erstverstößen gegen die DS-GVO eine Abmahnung in Betracht kommen. Jedoch ergibt sich aus der Formulierung, dass unter Umständen auch bereits ein erstmaliger Verstoß mit einer Geldbuße geahnt werden kann. Es ist bisher unklar, ob die Aufsichtsbehörden im Hinblick auf die Frage des „Ob“ einer Verhängung einer Geldbuße ein Entschließungsermessen haben. Dafür spricht insbesondere, dass der Gesetzgeber über die Verweisungsnorm des § 41 Abs. 2 BDSG grundsätzlich auch das Opportunitätsprinzip gem. § 47 OWiG für anwendbar erklärt hat.

Bußgeldhöhe von bis 4 % des weltweiten Jahresumsatzes

Die Aufsichtsbehörden haben jedenfalls aber hinsichtlich der Höhe der Geldbußen ein Ermessen. Die DS-GVO sollte  starke Sanktionen schaffen, die „wehtun sollen“ (LIEBE-Ausschuss des Europäischen Parlaments, EU-Datenschutzgrundverordnung: Stand der Dinge – 10 wichtige Punkte vom 11.6.2015, S. 3). Der Bußgeldrahmen wurde um ein Vielfaches angehoben. Bei Verstößen gegen Art. 83 Abs. 4 DS-GVO (insbesondere Verstöße gegen administrative Pflichten im Sinne von fehlerhaften Maßnahmen bei der Datenschutzorganisation durch Verantwortliche, Auftragsverarbeiter, Zertifizierungs- oder Überwachungsstelle) kommt eine Geldbuße von bis zu 10.000.000 Euro oder im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem welcher Betrag höher ist – in Betracht. Verstöße nach Abs. 5 (hier ist häufig eine konkrete Gefährdung oder Schädigung des Persönlichkeitsrechts gegeben) können sogar mit einer Geldbuße von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem welcher Betrag höher ist – geahndet werden. Gleiches gilt auch für die Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 2 (Abs. 6).

Zumessungskriterien: Strafmilderung durch Kooperation

In Art. 83 Abs. 2 DS-GVO ist eine Vielzahl an – nicht abschließend geregelten – Zumessungskriterien festgelegt, die bei der Entscheidung über die Verhängung und deren Betrag im Rahmen einer Einzelfallentscheidung zu berücksichtigen sind. Hierbei handelt es sich um übliche strafzumessungsrelevante Gesichtspunkte. Wie auch im neuen Entwurf eines „Gesetzes zur Bekämpfung der Unternehmenskriminalität“, ist die Kooperation mit den Behörden ein wesentlicher Zumessungsfaktor. Daneben ist die Einleitung eines Bußgeldverfahrens – allein oder neben weiteren Maßnahmen –  auch dann zu befürchten, wenn schwerwiegende Verstöße vorliegen und/oder der Betroffene uneinsichtig ist, eine große Datenmenge, besondere Datenarten oder wiederholte Verstöße bzw. Mehrfachverstöße vorliegen (LfDI BW, 34. Tätigkeitsbericht S. 73). Eine effektive Compliance-Organisation ist auch – mehr denn je – im Bereich des Datenschutzes von grundlegender Bedeutung.

Blick in die Praxis: Aufsichtsbehörden verhängen erste Bußgelder

Die französische Datenschutzbehörde CNIL hat erst kürzlich einen großen Internetkonzern mit einem Bußgeld i.H.v. 50 Mio. Euro belegt. In Deutschland gab es soweit ersichtlich bisher keine Bußgelder in Millionenhöhe. Aber auch die deutschen Aufsichtsbehörden sind aktiv geworden und haben erste Bußgelder verhängt.

Die Tätigkeitsberichte der Landesbeauftragten für Datenschutz ergeben einen ersten Einblick in die Praxis der Aufsichtsbehörden: So wurde im November 2018 gegen einen baden-württembergischen Social-Media-Dienstleister, der Passwörter der Nutzer unverschlüsselt gespeichert hatte, sodass diese bei einem Hackerangriff in 330.000 Fällen abgegriffen und online veröffentlicht wurden konnten, ein Bußgeld in Höhe von 20.000 Euro festgesetzt. Eine höhere Strafe konnte insbesondere dadurch verhindert werden, dass das Unternehmen kooperativ war und mit den Behörden zusammenarbeitete, Vorgaben zügig umgesetzt wurden und mit Geldbuße und aufgewendeten und avisierten Maßnahmen für IT-Sicherheit insgesamt ein sechsstelliger Betrag aufgewendet wurde.

Ebenfalls noch Ende 2018 wurde in Baden Württemberg ein weiterer Verstoß mit einer Geldbuße in Höhe von 80.000 Euro geahndet. In diesem Fall wurden aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten veröffentlicht, die versehentlich auch personenbezogene Daten enthielten.

Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren erlassen. Dem Bescheid zugrunde lagen diverse datenschutzrechtliche Einzelverstöße des Unternehmens, vor allem die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch (Pressemitteilung vom 19. September 2019).

Die Anzahl der geführten Bußgeldverfahren schwankt beträchtlich je nach Bundesland. In Baden Württemberg wurden im Zeitraum Juni bis Oktober 2018 bereits rund 120 Bußgeldverfahren (unter Berücksichtigung von Altfällen) geführt, von denen allerdings einige auch wieder eingestellt wurden. In einer Vielzahl von Fällen liefen oder laufen die Verfahren noch (Tätigkeitsbericht Datenschutz 2018 Baden-Württemberg, S. 73 f.).

Auch in NRW wurden seit 25.5.2018 bis Ende des Jahres zumindest 52 Bußgeldverfahren anhängig. In 36 Fällen wurden Bußgeldbescheide erlassen (24. Datenschutz- und Informationsfreiheitsbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, S. 31). Hingegen wurden beispielsweise in Brandenburg bis Ende 2018 noch keine Geldbußen nach neuer Rechtslage festgesetzt (Tätigkeitsbericht Brandenburg, Datenschutz der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht 2018, S. 50) wie auch in Schleswig-Holstein (Tätigkeitsbericht unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, S. 13).

Das Risiko steigt

Während viele Berater seit geraumer Zeit vor massiven Bußgeldern warnen, halten einige Stimmen die Bedenken und den Fokus auf die Höhe der Bußgelder für maßlos übertrieben. Die Wahrheit liegt wohl dazwischen. Sicherlich wurden zumindest in Deutschland bisher – soweit ersichtlich – keine Millionenbußgelder festgesetzt. Ein erster Blick in die Praxis zeigt auch, dass die deutschen Aufsichtsbehörden nicht ohne jegliches Maß vorgehen.

Andererseits wurden bereits die ersten Verstöße mit nicht unerheblichen Bußgeldern geahndet und es zeichnet sich auch ein Trend ab, der durchaus zu befürchten lässt, dass zukünftig sowohl mehr wie auch höhere Bußgelder festgesetzt werden könnten. So stellt beispielsweise der baden-württembergische Landesbeauftragte für Datenschutz in seinem Tätigkeitsbericht fest, dass der Wunsch des europäischen Verordnungsgebers nach höheren Bußgeldern „unmissverständlich“ ist und von allen europäischen Datenschutzaufsichtsbehörden umgesetzt werden muss. Ergänzend fügt er hinzu, dass in seiner Dienststelle derzeit einige Verfahren anhängig sind, die nach derzeitigem Stand die Festsetzung von Bußgeldern im fünfstelligen und auch vereinzelt im sechsstelligen Bereich liegen werden (Tätigkeitsbericht Datenschutz 2018 Baden-Württemberg, S. 74).

Weitere Verschärfung durch neues Berechnungsmodell

Eine weitere Verschärfung ist durch einheitliche Richtlinien oder Berechnungsmodelle auf nationaler wie auch europäischer Ebene zu befürchten. Insoweit befinden sich die Aufsichtsbehörden bereits in Abstimmung. Erst kürzlich wurde auf der 2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein vom Arbeitskreis Sanktionen erstelltes Konzept zur Bußgeldbemessung vorgestellt. Das Konzept wurde begrüßt, da „im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ gewährleistet werde. Nach einem JUVE-Bericht vom 6.9.2019 hat die Datenschutzbehörde in Niedersachsen bestätigt, bereits damit zu arbeiten.

Wie bedenklich eine schematische, auf festgelegten Werten beruhende Herangehensweise im Rahmen der Zumessung von Sanktionen ist, zeigt bereits seit vielen Jahren die Diskussion um den Einsatz sogenannte Strafmaßtabellen. Kommt es zusätzlich zu einer Angleichung auf europäischer Ebene, ist stark davon auszugehen, dass die bisher zurückhaltende Praxis der deutschen Aufsichtsbehörden schnell vorbei sein wird und bedeutend höhere Sanktionen verhängt werden.

Fazit

Die weitere Praxis der Aufsichtsbehörden bleibt abzuwarten. Unternehmen sind gut beraten, in den Auf- oder Ausbau ihrer Compliance-Systeme zu investieren und datenschutzrechtliche Anforderungen ernst zu nehmen, um gravierende Sanktionen zu vermeiden. Steht ein Bußgeldbescheid im Raum, muss insbesondere auch aufgrund der wesentlichen zumessungsrelevanten Bedeutung einer umfassenden Zusammenarbeit mit den Behörden frühzeitig die richtige Verteidigungsstrategie festgelegt werden.