Nach welchen Regelungen Bußgelder verhängt werden, ist in der DSGVO (Datenschutzgrundverordnung) festgelegt. Es gibt ein zweistufiges Bußgeldsystem, bei dem von der Art des Verstoßes abhängt, wie hoch die Strafe angesetzt wird. Die Bußgelder können sich entweder auf bis zu € 20.000.000,00 oder 4 Prozent des Gesamtumsatzes eines Unternehmens weltweit im Jahr belaufen. Aufgrund des sehr weiten Sanktionsrahmens und des gegebenen Spielraums kommt es darauf an, wie und wann die zuständigen Behörden von diesen Sanktionen Gebrauch machen.
In der Bußgeldpraxis hatten sich die Aufsichtsbehörden der Länder seit Einführung der DSGVO zunächst passiv verhalten. Die Behörden begründeten das mit personellen Engpässen und damit, dass man nach Inkrafttreten der Verordnung zunächst mehr beratend als strafend vorgehen wollte.
Seit Beginn des Jahres 2019 zeichnet sich allerdings ab, dass diese Zurückhaltung aufgegeben wird. Mittlerweile werden deutlich höhere Bußgelder aufgerufen.
Berlin geht voran: Bußgeld in Millionenhöhe
Schon im August 2019 setzte die Berliner Datenschutzbeauftragte das bis dato bundesweit höchste Bußgeld fest. Gegen einen Online-Essensbestelldienst wurde eine Sanktion in Höhe von € 195.407,00 verhängt. Diese Entscheidung ist mittlerweile rechtskräftig. In der am 19.09.2019 dazu veröffentlichten Pressemitteilung wurde betont, dass aufgrund der hohen Anzahl an wiederholten Verstößen von grundsätzlichen, strukturellen Organisationsproblemen auszugehen sei. Daraus ergebe sich, so die Datenschutzbeauftragte, ein erster Anhaltspunkt, der als besonders strafverschärfend berücksichtigt werde.
In einer am 5.11.2019 veröffentlichten Entscheidung der Berliner Datenschutzbeauftragten wurde gegen ein deutsches Immobilienunternehmen ein Bußgeld in Höhe von mehr als € 14.500.000,00 erlassen. Hintergrund war die Speicherung personenbezogener Daten der Mieter ohne Anlass. Die Immobiliengesellschaft hatte deren Daten über viele Jahre hinweg in einem Archivsystem gespeichert. Die Gesellschaft prüfte nicht regelmäßig, ob die gespeicherten Informationen noch benötigt werden.
Wie wird ein Bußgeld bemessen?
Die Datenschutzbehörde gab zur Bemessung der Bußgeld-Höhe unter anderem an, dass belastend berücksichtigt worden sei, dass die Praxis der Datenspeicherung über einen langen Zeitraum praktiziert wurde. Außerdem sei die beanstandete Archivstruktur bewusst angelegt worden. Das vorsätzliche Handeln, hier unterstellt, sei allerdings nicht als Voraussetzung für die Verhängung des Bußgeldes angesehen worden. Die Berücksichtigung dieser Tatsache habe dann erst in seiner Höhe Berücksichtigung gefunden. Das Bußgeld ist noch nicht rechtskräftig. Die Behörde erklärte im Rahmen der Pressemitteilung außerdem, dass es solche „Datenfriedhöfe“ in der Aufsichtspraxis häufig gebe.
Was heißt das für die Praxis?
Die Datenschutzbehörden werden aktiver und bußgeldfreudiger. Dabei konzentrieren sich die Behörden augenscheinlich auf Unternehmen, bei denen strukturelle und systematische Verstöße begangen werden. Einen speziellen, folgenschweren Einzelfall braucht es dafür nicht. Auch das reine Sammeln und Archivieren von Daten kann einen Verstoß darstellen. Es wirkt sogar strafverschärfend, wenn eine Archivierung schon seit vielen Jahren und schon vor Einführung der DSGVO (beanstandungslos) gelebt wurde.
Wir empfehlen, die derzeitige Praxis der Datenverarbeitung einem DSGVO-Check zu unterziehen. In den meisten Fällen reicht es allerdings aus, die Datenschutzpraxis schnellstmöglich umzustellen.