Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro vor. Das gab es vorher noch nie. Die Aufsichtsbehörden verhängen teils hohe Geldbußen. Die Gerichte akzeptieren das jedoch nicht ohne Weiteres.
Abschreckung als ausdrückliches Ziel
Was eine Geldbuße wegen Verstößen gegen den Datenschutz auszeichnen soll, sagt die DSGVO deutlich: Die Buße soll „wirksam, verhältnismäßig und abschreckend“ sein. So steht es in Art. 83 Abs. 1 DSGVO. Das dient der „konsequenteren Durchsetzung der Vorschriften dieser Verordnung“. So formuliert es Erwägungsgrund 148 zur DSGVO.
Ein Wettlauf um die höchste Geldbuße?
Die Richtung ist damit klar. Die DSGVO will Schluss machen mit Sanktionen eher symbolischer Art. Sie gab es vor Geltung der DSGVO häufig. Nun steigen manche Aufsichtsbehörden dagegen in einen regelrechten Wettlauf um die höchste Geldbuße ein. So kommt es zumindest manchen Beobachtern vor.
Rekordhalter ist Hamburg
„Rekordhalter“ ist bisher die Datenschutzaufsicht Hamburg. Sie verhängte gegen das Unternehmen H&M eine Geldbuße von nicht weniger als 35.258.708 Euro. Auch wenn es um erhebliche Verstöße ging, war dies ein ordentlicher Aufschlag. Das Unternehmen akzeptierte die Geldbuße. Warum? Vielleicht wollte es vor allem weitere öffentliche Diskussionen um das Thema „Datenschutz bei H&M“ vermeiden.
Manche Unternehmen wehren sich erfolgreich
Andere Unternehmen verhielten sich weniger gefügig. Der Kommunikationsanbieter 1&1 sah sich mit einer Geldbuße in Höhe von 9.550.000 Euro konfrontiert, verhängt vom Bundesbeauftragten für den Datenschutz. Dies schien 1&1 nun doch zu viel. Das Unternehmen wandte sich an das zuständige Landgericht Bonn. Das Gericht reduzierte die Geldbuße um über 90 Prozent.
Die Zeit symbolischer Sanktionen ist vorbei
Diese Beispiele zeigen vor allem zwei Dinge:
- Zum einen machen die Aufsichtsbehörden für den Datenschutz inzwischen wirklich ernst.
- Zum anderen bilden sich aber erst noch Maßstäbe dafür heraus, was die Gerichte für angemessen halten.
Klar ist jedoch, dass Geldbußen von wenigen Tausend Euro selbst für schwere Verstöße der Vergangenheit angehören. Diese Zeiten kehren nicht mehr wieder.
Geringe Akzeptanz für den „Bußgeldkatalog“
Wenig Erfolg hatten die Aufsichtsbehörden für den Datenschutz bisher damit, eine Art „Bußgeldkatalog“ durchzusetzen. In einem aufwendigen Abstimmungsverfahren haben sie sich auf entsprechende Leitlinien geeinigt. Die Leitlinien enthalten keine konkreten Beträge für Geldbußen. Sie versuchen aber, Maßstäbe dafür vorzugeben, wann ein durchschnittlich schwerer Verstoß vorliegt, wann ein leichter Verstoß gegeben ist und wann von einer schweren Verletzung des Datenschutzes auszugehen ist. Teils haben Gerichte offen erklärt, dass sie diese Leitlinien für nicht relevant halten.
Ein wichtiges Ziel: Verstöße von vornherein vermeiden!
Auch wenn es auf den ersten Blick überraschen mag: Diese Situation macht es Unternehmen nicht leichter, sondern schwerer. Denn so ist ganz schwierig abzuschätzen, welche Folgen ein konkreter Verstoß nach sich ziehen könnte. Deshalb muss umso mehr die Devise gelten, Verstöße am besten von vornherein zu vermeiden, statt sich danach über ihre Folgen unterhalten zu müssen.
Das bringt durchaus etwas
Es ist ein Irrtum, dass solche Bemühungen im Ernstfall ohnehin nichts bringen würden. Stellen sie einen Verstoß fest, differenzieren die Aufsichtsbehörden sehr wohl danach, ob es sich um ein punktuelles Versagen handelt oder ob der Verstoß Schwachstellen genereller Art belegt. Sollte Letzteres der Fall sein, wird es rasch teuer. Sollte dagegen nur ein Verstoß vorliegen, wie er immer wieder einmal passieren kann, muss die Aufsichtsbehörde nicht einmal unbedingt ein Verfahren einleiten. Sie kann es dann auch bei einer Ermahnung belassen.
Geldbußen auch gegen Mitarbeiterinnen und Mitarbeiter?
Erstaunlicherweise besteht keine Einigkeit darüber, ob die DSGVO Geldbußen gegen Mitarbeiterinnen und Mitarbeiter in Unternehmen möglich macht, wenn sie an einem Datenschutzverstoß schuld sind. Die Frage stellt sich vor allem dann, wenn es eigentlich klare Vorgaben des Unternehmens zur Einhaltung des Datenschutzes gibt, Mitarbeiterinnen oder Mitarbeiter sie aber einfach nicht eingehalten haben. Manche Juristen bejahen diese Frage, andere nicht.
Das Arbeitsrecht gilt in jedem Fall
Doch wenn jemand glaubt, mit etwas Glück könne ihm dann ja nichts passieren, droht ihm möglicherweise ein böses Erwachen. Denn arbeitsrechtliche Sanktionen sind bei Datenschutzverstößen ohne Weiteres möglich. „Datenschutz ist mir egal“ – das ist nach drei Jahren DSGVO endgültig keine Option mehr.