Sanktionen - 28. April 2016

Strafe muss sein

Alle Daten­schutz­auf­sichts­behörden sollen nun durch die Neu­re­ge­lung des Daten­schutz­rechts befugt werden, Ver­stöße mit Ver­war­nun­gen, An­ord­nun­gen und sogar mit Geld­bußen zu be­strafen. Diese können bis zu vier Prozent des Welt­jahres­um­satzes eines Unter­neh­mens be­tragen. Die dras­tischen Sank­tionen sollen zu einer strikten Be­ach­tung der Daten­schutz­vor­schriften führen.

Über die Beratungen zur Verabschiedung der Datenschutz-Grundverordnung (DS-GVO) nach Vorlage des Entwurfs durch die EU-Kommission im Januar 2012 wurde außerhalb der Fachpresse relativ wenig berichtet, obwohl diese Neuregelung des Datenschutzes nicht nur die Unternehmen, sondern alle Bürger in Europa unmittelbar betreffen wird. Wenn aber Berichte in die allgemeinen Medien gelangten, dann ging es meist nur um das Recht auf Vergessen (richtig: Vergessen­werden) und die Frage der Höhe der Sanktionen, wobei die Vorschläge sich losgelöst von der Frage, welche Verstöße überhaupt sanktioniert werden sollen, im Wesentlichen darum drehten, ob die Daten­schutz­ver­stöße mit Anordnungen oder Geldbußen bis zu zwei, vier, fünf oder zehn Prozent des Weltjahresumsatzes eines Unternehmens belegt werden sollen. Nun liegt das Be­ra­tungs­er­geb­nis im Tri­log­ver­fahren vor und ermöglicht einen genaueren Blick darauf, unter welchen ver­fah­rens­recht­lichen Voraussetzungen die Aufsichtsbehörden aufsichtliche An­ord­nun­gen oder Geld­bußen und sonstige Stellen Sanktionen festlegen und welche Sonder­re­ge­lungen die Mit­glied­staaten für den öffentlichen Bereich treffen können.

Verfahrensrechtliche Voraussetzungen

Für die Datenschutzaufsichtsbehörden sieht die Verordnung einen sehr umfangreichen Auf­gaben­katalog vor (Art. 57), der mit der Überwachung und Durchsetzung der Anwendung der DS-GVO beginnt, umfangreiche Beratungs-, Bewilligungs- und Genehmigungsverpflichtungen beschreibt und unter anderem die Aufgabe, interne Aufzeichnungen über Verstöße gegen diese Verordnung und ergriffene Maßnahmen, insbesondere Warnungen und Sanktionen, zu führen. In dem Artikel über die Befugnisse (Art. 58) unterscheidet der Gesetzgeber zwischen Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen für die Auf­sichts­be­hörde. Die Befugnisse der Auf­sichts­be­hör­den, (weitere) Datenschutzverstöße zu verhindern und/oder begangene Verstöße zu bestrafen, sind dabei unter den Abhilfebefugnissen in Art. 58 Abs. 2 zusammengefasst. Für die Ausübung der Befugnisse verweist die DS-GVO auch auf das Recht der jeweiligen Mit­glied­staaten, sodass insoweit die Vorschriften der Verwaltungsverfahrens-, Verwaltungszustellungs- und Voll­strec­kungs- und des Ord­nungs­wid­rig­keiten­gesetzes berücksichtigt werden müssen (Art. 58 Abs. 4). Ob sich daraus auch die Verpflichtung ergibt, dass zum Beispiel in Baden-Württemberg die Zu­stän­dig­keit für den Erlass von Bußgeldern wegen Datenschutzverstößen vom Re­gie­rungs­prä­si­dium Karls­ruhe auf die Datenschutzaufsichtsbehörde dieses Bundeslandes zu verlegen ist, ist noch zu klären. Interessant ist auch die in Art. 58 Abs. 6 enthaltene Öff­nungs­klausel, wonach Mit­glied­staaten durch Gesetz den Aufsichtsbehörden noch weiter gehende Befugnisse über­tra­gen können, solange diese Befugnisse nicht die effektive Wirkungsweise der Be­stimvmun­gen des Kapitels VII (Zusammenarbeit und Kohärenz) beeinträchtigen. Zu klären wird in diesem Zusammenhang auch noch sein, welchen Spielraum die Aufsichtsbehörden bei der Frage, ob sie überhaupt Ab­hilfe­maß­nahmen erlassen, haben werden. Nach derzeitiger Rechtslage haben die Daten­schutz­be­hörden so­wohl im aufsichtlichen als auch im Bußgeldverfahren nach „pflicht­ge­mäßem Er­mes­sen“ (das im Hinblick auf die Unabhängigkeit der Aufsichtsbehörden und der sehr begrenzten Möglichkeit der Verwaltungsgerichte, diesen Bereich zu überprüfen) zu handeln. Soweit sie als Bußgeldstellen tätig werden, wird dieses pflichtgemäße Ermessen eher als Opportunitätsprinzip mit einem wesentlich weiteren Spielraum für die Frage verstanden, ob die Aufsichtsbehörde überhaupt Verfahren einleiten und Verstöße mit einem Bußgeld belegen. Im Hinblick auf die Formulierungen in Art. 83, wonach jede Aufsichtsbehörde sicherzustellen hat, dass die Verhängung von Geld­bußen für Verstöße gegen diese Verordnung in jedem Einzelfall wirksam, verhältnismäßig und ab­schrec­kend sein muss, wird noch zu klären sein, welcher Spielraum sich für die Auf­sichts­be­hörden daraus ergibt. Bezüglich der Begrifflichkeiten ist zu unterscheiden zwischen Abhilfemaßnahmen allgemein in Art. 58 Abs. 2 (vgl. Anordnungen nach § 38 Abs. 5 Bundes­da­ten­schutz­ge­setz – BDSG), Geldbußen (Administrative Fines) in Art. 83 und Sanktionen (Penalties) in Art. 84. Geldbußen sind die Strafen, die von den Verwaltungsbehörden im Ord­nungs­wid­rig­kei­ten­ver­fahren erlassen werden können (vgl. § 43 BDSG). Sanktionen sind demgegenüber Strafen im Sinne des Strafrechts (vgl. § 44 BDSG).

Abhilfemaßnahmen

Die Abhilfemaßnahmen (Corrective Powers), zu deren Erlass die Datenschutzaufsichtsbehörden befugt sein sollen, sind in Art. 58 Abs. 2 zusammengefasst. Danach verfügt jede Aufsichtsbehörde über die folgenden Abhilfebefugnisse, die es ihr gestatten, einen für die Verarbeitung Ver­ant­wort­lichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Ver­ar­bei­tungs­vor­gänge voraussichtlich gegen diese Verordnung verstoßen;

  • einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter zu tadeln, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat;
  • den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung
  • der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen;
  • den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen;
  • den für die Verarbeitung Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen;
  • eine vorübergehende oder endgültige Beschränkung der Verarbeitung einschließlich eines Verbots zu verhängen;
  • die Berichtigung, Einschränkung oder Löschung von Daten gemäß den Artikeln 16, 17 und 17a und die Unterrichtung der Empfänger, an die diese Daten gemäß Art. 17 Abs. 2 und Art. 19 weitergegeben wurden, über solche Maßnahmen anzuordnen;
  • eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikeln 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden;
  • eine Geldbuße gemäß Art. 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen je nach den Umständen des Einzelfalls;
  • die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen.

Geldbußen

Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von aufsichtlichen Maßnahmen unter Berücksichtigung unter anderem von Art, Schwere und Dauer des Verstoßes, Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens (Art. 83) konkret festgelegt.

MIT BIS ZU ZEHN MILLIONEN EURO

Mit bis zu zehn Millionen Euro oder im Fall eines Unternehmens von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können geahndet werden Verstöße gegen

  • die Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 und 43;
  • die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
  • die Pflichten der Überwachungsstelle gemäß Art. 41 Abs. 4.

MIT BIS ZU 20 MILLIONEN EURO

Mit bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können geahndet werden Verstöße

  • gegen die Grundsätze für die Verarbeitung einschließlich der Bedingungen für die Einwilligung gemäß den Artikeln 5, 6, 7 und 9;
  • gegen die Rechte der betroffenen Person gemäß den Artikeln 12–22;
  • gegen die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44–49;
  • alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
  • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 2.

Sanktionen

Nach Art. 84 legen die Mitgliedstaaten die Vorschriften über Sanktionen für Verstöße gegen die DS-GVO – insbesondere für Verstöße, die keiner Geldbuße gemäß Art. 83 unterliegen – fest und ergreifen alle erforderlichen Maßnahmen, um deren Durchführung zu gewährleisten. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Da die Europäische Union keine generelle Kompetenz für das Strafrecht hat, kann sie im Rahmen der Datenschutz-Grund­ver­ord­nung lediglich vorgeben, dass für Verstöße, für die – wie die Formulierung in Art. 84 wohl zu verstehen sein dürfte – eine Geldbuße nicht mehr ausreicht, Straftatbestände normiert werden sollen. Für die Umsetzung dieser Sanktionen gelten dann die Normen des jeweiligen Mit­glied­staates, wonach in Deutschland für die Verfolgung Polizei und Staatsanwaltschaft und für die Ver­hän­gung dieser Sank­tionen in der Regel die Gerichte zuständig sind.

Unterschiedliche Umsetzung in Mitgliedstaaten

Um einer (jedenfalls in Deutschland) möglichen verfassungsrechtlichen Problematik aus dem Weg zu gehen, dass eine Behörde eine andere Behörde mit einer Geldbuße belegt, kann gemäß Art. 83 Abs. 7 jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. Dies betrifft nur Geldbußen, nicht aber die sonstigen Anordnungsbefugnisse. Spannend wird es dabei werden, ob Mitgliedstaaten von dieser Öff­nungs­klausel Gebrauch machen und wie die Umsetzung dann jeweils erfolgt. Schon heute ist erkennbar, dass es auf europäischer Ebene kein einheitliches Verständnis darüber gibt, was unter öffentlichen Stellen zu verstehen ist.

Ausblick

Die Beratungsanfragen werden zunehmen, da sich die Verantwortlichen absichern wollen.

Nicht nur zu Beginn des Gesetzgebungsverfahrens spielte die Diskussion um die Sanktionsbefugnisse der Aufsichtsbehörden im Allgemeinen eine große Rolle. Dieses Thema ist auch in Kenntnis des ver­ab­schie­de­ten Gesetzestextes zumindest im Hin­ter­grund immer vor­han­den. Es ist aus Daten­schutz­sicht zu hoffen, dass drohende „wirk­same, ver­hält­nis­mäßige und abschreckende“ Abhilfemaßnahmen zu einer strikten Beachtung der Datenschutzvorschriften führen werden. Aus Sicht der Aufsichtsbehörde ist aber auch ein Stück zu befürchten, dass die Beratungsanfragen und auch vorherigen Zurateziehungen der Aufsichtsbehörde, die in einem engen zeitlichen Rahmen zu leisten sind, deutlich zunehmen werden, da die für die Verarbeitung Verantwortlichen sich in vielen Bereichen verständlicherweise absichern wollen, um Bestrafungen zu entgehen. Es bleibt insofern abzuwarten, ob und in welchem Umfang dies von den Auf­sichts­be­hörden geleistet werden kann. Darauf, dass man Aufsichtsbehörden mit Anfragen überhäufen und keine Möglichkeit mehr lassen kann (analog einer Denial-of-Service-Attacke), Geldbußen oder sonstige Anordnungen zu erlassen, sollte man sich aber nicht verlassen.

Zum Autor

TK
Thomas Kranig

Präsident des Bayerischen Landesamts für Datenschutzaufsicht

Weitere Artikel vom Autor