Sanktionen nach DSGVO - 21. Dezember 2020

Datenlöschung ist ein Muss

Für Aufruhr sorgte ein Bußgeld in Höhe von 14,5 Millionen Euro. Das verhängte die Berliner Datenschutzaufsichtsbehörde wegen der Nichtlöschung von Daten.

Dieses Bußgeld in Höhe von 14,5 Millionen Euro wegen Nichtlöschung von Daten sorgte vor allem deshalb für Aufregung, weil damit klargestellt wurde, dass eine pauschale Bezugnahme auf handels- und steuerrechtliche Aufbewahrungspflichten den Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht genügt. Mancherorts hatte man sich sogar echauffiert, weil damit angeblich ein unauflösbarer Konflikt zwischen der DSGVO einerseits sowie dem Handelsgesetzbuch und der Abgabenordnung (AO) andererseits zutage getreten und dieser unberechtigt zugunsten der DSGVO-Löschpflichten aufgelöst worden sei. Anlass genug, dieses Bußgeld und seine Auswirkungen einmal näher zu ­beleuchten.

DSGVO und Bußgelder

Es ist eine einfache Überlegung, dass ein Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Vorjahresumsatzes eines Unternehmensverbunds mehr Spielräume für die Bemessung bietet als der Bußgeldrahmen, der zuvor im alten Datenschutzrecht gegolten hatte. Damit wird es aber auch schwieriger, das angemessene Bußgeld zu ermitteln. Um dieses Problem zu lösen, haben die deutschen Datenschutzaufsichtsbehörden ein Konzept zur Bemessung der Bußgelder vorgestellt. Um dieses Konzept zu verstehen, ist zunächst ein Blick auf die Bußgeldregelung in der DSGVO geboten. Die zentrale Regelung ist hier Art. 83 DSGVO. Welcher Verstoß gegen die DSGVO zu welchem Bußgeld führt, ist in den Abs. 3 bis 5 geregelt. Vereinfacht unterscheidet das Gesetz so:

  • Verstöße gegen formelle Regelungen der DSGVO sind nach Abs. 4 mit einer Geldbuße bis zehn Millionen Euro oder im Fall eines Unternehmens bis zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belegt, je nachdem, welcher der Beträge höher ist. Betroffen sind die Regelungen in Art. 8, 11, 25 bis 39, 42 und 43 DSGVO. Hierzu gehören also die insbesondere das Privacy by Design and Default, das Verzeichnis von Verarbeitungstätigkeiten, die Sicherheit der Verarbeitung, die Datenschutzfolgenabschätzung sowie die Pflicht zur Meldung von Datenschutzpannen.
  • Verstöße gegen materielle Pflichten sowie die Nichtbefolgung einer Anweisung der Aufsichtsbehörde sind nach Abs. 4 beziehungsweise Abs. 5 mit einer Geldbuße bis 20 Millionen Euro oder im Fall eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belegt, je nachdem, welcher der Beträge höher ist. Betroffen sind insoweit die Regelungen in Art. 5, 6, 7 und 9, aber auch Art. 12 bis 22 DSGVO. Hierzu gehören also die Grundsätze der Verarbeitung und die Zulässigkeitsregelungen.

Praxisprobleme

Die Verwendung des Begriffs der materiellen Pflichten ist missverständlich. Denn mit dem sogenannten großen Bußgeld sind auch Verstöße gegen die Betroffenenrechte belegt – also insbesondere die proaktive Informationspflicht sowie der Auskunftsanspruch. Die Begriffe der formellen und materiellen Pflichten, wie sie auch in dem Modell der Aufsichtsbehörden verwendet werden, sind also nicht ganz trennscharf. Im Ergebnis zeigt sich, dass fast jede Regelung der DSGVO mit einem Bußgeld belegt ist. Aus diesem Grund muss bei jeder Meldung nach Art. 33 DSGVO, aber auch der Beantwortung von Anfragen der Aufsichtsbehörden stets bedacht werden, dass der konkrete Fall seine Fortsetzung in einem Bußgeldverfahren finden könnte. Dies soll und darf aber nicht als Aufruf zu einem destruktiven Verhalten beim Kontakt mit den Aufsichtsbehörden verstanden werden. Die Formulierung macht aber auch deutlich, dass damit ein Maximalrahmen beschrieben ist. Dieser muss ausgefüllt werden. Hierzu enthält Art. 83 Abs. 2 DSGVO eine Vielzahl an einzelnen Kriterien.

Bestimmtheitsgrundsatz

Die Diskussion, ob die Bußgeldregelung überhaupt dem sogenannten Bestimmtheitsgrundsatz genügt, ist in den Hintergrund getreten. Vereinfacht geht es hierbei darum, dass eine Regelung nur dann zu einer Strafe führen darf, wenn dem zu Bestrafenden aufgrund der Regelung klar war, was er tun muss, um nicht gegen seine Pflichten zu ­verstoßen. Die Umsetzungsprobleme der ­DSGVO in der Praxis lassen durchaus solche Bedenken zu. Diese Unsicherheit – auch aufgrund unterschiedlicher Handhabungen der Aufsichtsbehörden in der Europäischen Union und sogar in Deutschland müssen jedenfalls bei der Bewertung, ob und in welcher Höhe ein Bußgeld verhängt wird, berücksichtigt werden. Bedenken wegen eines Verstoßes gegen das Bestimmtheitsgebot wird man solange vernehmen, wie diese Unsicherheit in der praktischen Handhabung fortbesteht. Denn würden die Anforderungen an die Betroffenen gegen den Bestimmtheitsgrundsatz verstoßen, dürften sie generell nicht zu Sanktionen führen. Diese Frage wird sicherlich in vielen Bußgeldverfahren eine Rolle spielen. Insofern wird es noch eine Zeit lang das Argument „Das kann man auch anders sehen“ geben; allerdings wird man diese These dann schon sehr gut begründen müssen.

Aspekte der Compliance

Compliance ist seit einigen Jahren in aller Munde und für vieles missbraucht worden. Das Prinzip der Compliance lässt sich aber auf einen einfachen Nenner bringen: Man haftet für den Verstoß oder dafür, dass man ihn nicht verhindert hat. Somit ist auch der Compliance-Ansatz der DSGVO als elementares Bußgeldrisiko anzusehen. Die Besonderheit der DSGVO dabei ist, dass sie das Prinzip nicht als Monstranz vor sich her trägt, sondern es – recht unauffällig, aber effizient – implementiert hat. Die Systematik der DSGVO, materielle Pflichten mit einer Dokumentationspflicht sowie Handlungspflichten mit Organisationspflichten zu flankieren, führt dazu, dass dieselbe Handlung beziehungsweise dasselbe Unterlassen gleichzeitig gegen mehrere Regelungen verstoßen kann. Bei einer Verteidigung gegen Bußgelder und vor allem noch davor – also bei Anfragen der Aufsichtsbehörden und Auskunftsverlangen betroffener Personen – muss dieser Aspekt bedacht werden. Es darf nicht nur ein bereits konkreter Verstoß ins Auge gefasst werden, sondern es muss bereits die Frage geklärt werden, wie sich ein Verstoß gegen die flankierenden Pflichten entkräften lässt. Denn beides ist bußgeldbewehrt. Bei der Verteidigung, etwa gegen eine nicht umgesetzte Löschpflicht, wird es nicht zwingend entlastend sein, wenn man darauf verweist, dass die eingesetzte Software das nicht kann. Denn mit einer solchen Aussage könnte möglicherweise ein Verstoß gegen die Pflicht zum Privacy by Design eingeräumt werden. Damit würde das Problem eher vergrößert als verringert.

Rückstellungen wegen drohender Bußgelder

Das Bußgeldmodell eröffnet durch die Chance einer belastbareren Bewertung die Möglichkeit, Rückstellungen für befürchtete oder vermeintliche Verstöße zu bewerten und einzustellen. Allerdings müssen dafür der Verstoß oder die Verstöße richtig identifizier und auch in Bezug auf die Schuld richtig eingeordnet werden. Dies erfordert dann, dass man sich vertieft mit der DSGVO befasst.

Aufbewahrungspflicht kontra Datenminimierung

Der oben angesprochene Bußgeldbescheid der Berliner Datenschutzaufsichtsbehörde sorgte für große Aufregung. Der Grund dafür war, dass in der Berichterstattung darüber der Eindruck entstanden war, dass die Aufsichtsbehörde ein Bußgeld verhängt habe, weil Daten entsprechend den gesetzlichen Aufbewahrungspflichten gespeichert wurden. Das ist so nicht richtig. Richtig ist aber, dass eine undifferenzierte Pauschalauf­bewahrung als bußgeldbewehrter Verstoß gegen die DSGVO angesehen werden muss. Unabhängig von dieser grundsätzlichen Fragestellung muss hinterfragt werden, ob das Bußgeld im konkreten Fall zu Recht verhängt wurde. Der betroffene Datenverarbeiter hatte jedenfalls eine gerichtliche Überprüfung angekündigt. In diesem Artikel soll zwar nicht der konkrete Fall thematisiert, aber schon die dabei aufgeworfene Fragestellung generell behandelt werden.

Die DSGVO erkennt sehr wohl die gesetzlichen Aufbewahrungsfristen an. Sowohl die gesetzliche Zulässigkeitsregelung in Art. 6 Abs. 1 Satz 1 lit. c DSGVO eröffnet den Spielraum einer Aufbewahrung für die Dauer nationaler gesetzlicher Aufbewahrungspflichten als auch die Regelung über die Löschung in Art. 17 DSGVO. Im Zusammenspiel mit den Pflichten zur Datenminimierung und Speicherbegrenzung in Art. 5 Abs. 1 DSGVO lässt die DSGVO keine Pauschalaussagen zu, dass Daten, etwa nach AO und HGB, aufbewahrt werden müssen. Vielmehr muss für die jeweiligen Daten oder Dokumente konkret und dokumentiert festgelegt werden, ob und wie lange sie aufbewahrt werden müssen. Das ist sicherlich aufwendig, aber das Argument, dass es aufwendig sei, akzeptiert die DSGVO nicht. Hinzu kommt, dass solche differenzierten Löschregelungen auch nicht erstmals mit der DSGVO zur Anwendung kommen. Auch das alte Datenschutzrecht hatte dies schon vorgesehen, sodass eine Verweis auf die vermeintliche neue Pflicht der DSGVO eher sanktionsschärfend als entlastend wirken könnte.

Handlungsempfehlungen

Es mag Konstellationen geben, bei denen eine Differenzierung im aktiven, wirtschaftlich lebenden Unternehmen nicht möglich erscheint. Eine datenschutzrechtlich haltbare Begründung wird aber ebenfalls aufwendig sein. Die einfache Begründung, dass die Software, das System oder Abläufe nicht differenziert verarbeiten beziehungsweise aufbewahren können, birgt jedenfalls die ernsthafte Gefahr, dass dann noch der Vorwurf eines bußgeldbewehrten Verstoßes gegen das Privacy by Design hinzukommt. Die Bußgeldentscheidung der Berliner Datenschutzaufsichtsbehörde dürfte deutlich gemacht haben, dass das Argument, dass die Software dies nicht könne, auf keinen Fall greift. Im Ergebnis führt das zu einer Zweischrittprüfung:

  1. Aufbewahrung nur von Daten, bei denen das Gesetz die Aufbewahrung vorsieht beziehungsweise erlaubt.
  2. Aufbewahrung der Daten nur solange, wie es das Gesetz für die jeweiligen Daten anordnet.

Und damit verliert auch das Berliner Bußgeld seinen Schrecken. Denn dort wurde nicht die Aufbewahrung von Daten nach AO und HGB sanktioniert. Es scheint wohl nur eine – aus Sicht der Aufsichtsbehörde – zu undifferenzierte und zu lange Aufbewahrung sanktioniert worden zu sein. Darüber hinaus lässt sich der Pressemitteilung entnehmen, dass dem im Jahr 2019 verhängten Bußgeld eine entsprechende Beanstandung im Jahr 2017 vorausging. Eine solche Beanstandung darf also nicht als Freibrief nach dem Prinzip verstanden werden, ein Verstoß sei frei.

Erhöhtes Risiko

Das Bußgeldrisiko ist gestiegen. Das liegt nicht nur an der Bußgeldhöhe, sondern auch daran, dass der Datenschutz mit der DSGVO mehr Aufmerksamkeit erlangt hat und mit ihr eine sich selbst absichernde Regelungssystematik bekommen hat. Denn jede Zulässigkeitsfrage und jede Handlungspflicht sind durch Dokumentations-, Transparenz- und Organisationspflichten abgesichert. Damit kann in der Praxis die plumpe Ausrede zum Bußgeldrisiko werden, weil der Verstoß gegen andere, weitere Pflichten eingestanden wird. Nicht zutreffend ist hingegen, dass die DSGVO der Aufbewahrung entsprechend nationaler Regelungen per se entgegensteht. Ganz im Gegenteil, sie erkennt diese an. Aber ebenso richtig ist, dass die DSGVO zur differenzierten Bewertung der Aufbewahrungsdauer in Bezug auf die jeweiligen Daten und eine entsprechende Unternehmensorganisation zwingt.

Mehr dazu

Lernvideo online: Datenschutz in der Kanzlei – Mitarbeiterunterweisung 2021, Art.-Nr. 78900

Lernvideo online: Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021, Art.-Nr. 78901

Beratung online: Erstellung und Individualisierung eines Löschkonzepts, Art.-Nr. 71381

Beratung online: Datenschutz-Dokumentation und Löschkonzept mit Beratung online, Art.-Nr. 71383

Datenschutz-Beratungen:
www.datev.de/datenschutz-beratungen

Zum Autor

JE
Dr. Jens Eckhardt

Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV), Compliance Officer (TÜV) und IT-Compliance Manager (TÜV) in der Kanzlei Eckhardt Rechtsanwälte Partnerschaft mbB in Düsseldorf

Weitere Artikel des Autors