Tracking pixel Datenschutzrechtliche Sanktionen in Deutschland, neues Berechnungsmodell und Datenschutzanpassungen · MASLATON Rechtsanwaltsgesellschaft mbH

Datenschutzrechtliche Sanktionen in Deutschland, neues Berechnungsmodell und Datenschutzanpassungen

« Newsübersicht

Die DSGVO sieht gem. Art. 83 DSGVO bei Verstößen hohe Bußgelder vor: Es können bis zu 20 Millionen Euro, oder bis zu 4 Prozent des Vorjahresumsatzes des Unternehmens, je nachdem welcher Betrag von beiden höher ausfällt, verhängt werden.

Verfolgt man die Entwicklungen rund um die DSGVO und die bisher verhängten Bußgelder wird der Eindruck erweckt, dass in anderen Ländern der EU deutlich höhere Bußgelder als in Deutschland verhängt werden.

Das bisher höchste in Deutschland verhängte Bußgeld im Rahmen der DSGVO in Höhe von knapp 200.000 Euro, gegen Delivery Hero, wirkt vergleichsweise lasch, zu den 50 Millionen Euro welche gegen Google in Frankreich verhängt wurden. Durch diese (vergleichsweisen) geringen Bußgelder wird der Anschein vermittelt, dass in Deutschland Verstöße gegen die DSVO weniger hart geahndet werden. Dieser Eindruck ist jedoch trügerisch, denn bei Google und den anderen Unternehmen, gegen die entsprechend hohe Bußgelder verhängt wurden, handelt es sich um sehr umsatzstarke Unternehmen. Aus dieser Umsatzstärke resultiert daher zwangsläufig i.S.d. Art. 83 DSGVO ein deutlich höheres Bußgeld.

Der Eindruck, dass in anderen Ländern der EU prinzipiell deutlich höhere Bußgelder als in Deutschland verhängt werden ist demzufolge falsch.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat zudem bereits ein Bußgeld in Höhe eines zweistelligen Millionenbetrages angekündigt (das betroffene Unternehmen ist noch nicht benannt).

Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Keller hat auf einer Konferenz zu Netzpolitik angekündigt, dass auch in Deutschland bald Bußgelder in Millionenhöhe vorkommen können.

Laut einer aktuellen Studie des Beratungsunternehmens Capgemini sind lediglich 28 Prozent der befragten Unternehmen überzeugt, die DSGVO korrekt umzusetzen. Dies liegt auch daran, dass das Thema Datenschutz immer noch in vielen (deutschen) Unternehmen stiefmütterlich behandelt wird.

Neues Berechnungsmodell für Bußgelder beschlossen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DKS) hat sich am 14.10.2019 auf ein Konzept für ein neues Rechenmodell für Bußgelder geeinigt. Ziel des Konzepts ist es mehr Transparenz bei der Durchsetzung der Datenschutzrechte zu schaffen und die Berechnung präziser zu gestalten.

Die Bußgeldzumessung in Verfahren gegen Unternehmen soll künftig in fünf Schritten erfolgen:
„Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“

Das Konzept ist jedoch nicht bindend für grenzüberschreitende Fälle, andere Datenschutzbehörden der EU und auch Gerichte. Abrufbar ist das Konzeptpapier hier: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

Anpassungen

Am 20. September 2019 stimmte der Bundesrat neuen Anpassungen an die DSGVO zu. Das aus 150 Artikeln bestehende „Zweite Datenschutz- Anpassungs- und Umsetzungsgesetz EU“ (2. DASnpUG EU) greift in 154 Fachgesetze ein und regelt insoweit den sogenannten bereichsspezifischen Datenschutz. (Hierzu bereits: https://www.maslaton.de/news/Das-Datenschutz-Anpassungsgesetz-2019-wurde-endlich-verabschiedet--n706)
Das maßgebliche Ziel der Änderungen ist die Entlastung von kleinen Betrieben und ehrenamtlichen Vereinen. Dahingehend sind besonders zwei Änderungen für die Betriebe relevant: Die Verpflichtung, einen betrieblichen Datenschutzbeauftragten zu benennen, besteht künftig erst ab einer Personenzahl von 20 und nicht wie bisher schon bei 10 Mitarbeitern im Betrieb.
Außerdem wird künftig die Einwilligung von Beschäftigten zur Datenverarbeitung vereinfacht, denn diese muss nun nicht mehr zwingend schriftlich erfolgen, sondern ist nun auch per Mail ausreichend.

Anstoß für diese Änderungen sind laut Gesetzgeber die stätigen Beschwerden von Unternehmen und Vereinen, laut denen die Benennung eines Datenschutzbeauftragten zu erheblichen Mehrkosten und bürokratischen Aufwand führen würde (Bundestags-Drucksache 19/11181). Die zuständigen DKS sehen diese Änderung jedoch zu recht kritisch, denn trotz dieser Änderungen müssen die Unternehmen, die nun keinen Datenschutzbeauftragten mehr benötigen dennoch den eigentlichen Pflichten der DSGVO nachkommen und tragen nun ohne Datenschutzbeauftragen ein höheres Risiko Datenschutzverstöße zu begehen und deswegen Sanktionen zu erhalten. Durch die Anhebung des Schwellenwerts geht den betroffenen Unternehmen im Zweifel also ein kompetenter Berater in Datenschutzfragen verloren, es ist daher wichtig im Auge zu behalten, dass auch diese Unternehmen weiterhin auf freiwilliger Basis einen Datenschutzbeauftragten ernennen können. Dies ist insbesondere Unternehmen die häufig mit sensiblen Daten in Kontakt kommen zu raten. Bei freiwilliger Ernennung gelten nicht automatisch die Vorgaben des Art. 39 Abs. 1 DSGVO die sonst für Datenschutzbeauftragte gelten, die Aufgaben des Datenschutzbeauftragten können in diesem Fall frei festgelegt werden.

Es gibt außerdem Fälle, in denen auch weiterhin nicht auf den Schwellenwert ankommt: Liegt beispielsweise einer der Fälle des Art. 37 Abs. 1 DSGVO vor, weil es etwa zur systematischen Überwachung oder zur Bildung von Profilen kommt, bedarf es immer eines Datenschutzbeauftragten, unabhängig von der Beschäftigtenzahl.

Unternehmen die aktuell noch einen Datenschutzbeauftragten haben und künftig keinen mehr verpflichtend benötigen, haben die Möglichkeit, dessen Benennung zu widerrufen. Jedoch genießt ein Datenschutzbeauftragter eines dem BDSG unterliegenden und zur Benennung eines Datenschutzbeauftragten verpflichteten Unternehmens grundsätzlich besonderen Kündigungsschutz. Nach § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 Satz 3 BDSG ist nach Ende der Wahrnehmung der Funktion des Datenschutzbeauftragten die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig. Eine Ausnahme hiervon ist nur möglich bei einer Kündigung aus wichtigem Grund. Ein solcher ist aber nicht allein schon die entfallende Ernennungspflicht, erforderlich ist eine schwere Pflicht- oder Vertrauensverletzungen bzw. im Beschäftigungsverhältnis begangene Straftaten sein.

Selbstverständlich halten wir sie hierzu auf dem Laufenden.