Geldbußen in Höhe von bis zu 20 Millionen Euro: So gravierend können Strafgelder gemäß DSGVO ausfallen. Dass die Aufsichtsbehörden derartige, teils hohe Geldbußen verhängen, gab es bis dato noch nie. Die Gerichte akzeptieren das jedoch nur bedingt.
Geldbußen sollen vor allem abschrecken
Was eine Geldbuße wegen Datenschutz-Verstößen auszeichnen soll, formuliert die DSGVO eindeutig: Die Buße soll „wirksam, verhältnismäßig und abschreckend“ sein, wie Art. 83 Abs. 1 DSGVO festhält. Das dient der „konsequenteren Durchsetzung der Vorschriften dieser Verordnung“. So steht es in Erwägungsgrund 148 zur DSGVO geschrieben.
Höher, schneller, Geldbußen?
Die Marschrichtung wird damit klar vorgegeben: Die DSGVO will abschließen mit Sanktionen, die eher symbolischer Art sind – davon gab es vor Inkrafttreten der DSGVO genügende. Nun machen sich manche Aufsichtsbehörden auf in einen regelrechten Wettlauf um die höchste Geldbuße. So scheint es zumindest manchen Beobachtern.
Hamburg als Rekordhalter in Sachen DSGVO-Geldbußen
„Rekordhalter“ ist bisher die Datenschutzaufsicht Hamburg. Gegen das Mode-Unternehmen H&M verhängte die Stadt eine Geldbuße von sage und schreibe 35.258.708 Euro. Auch wenn erhebliche Verstöße geahndet wurden, war dies ein ordentlicher Buß-Aufschlag. H&M akzeptierte die Strafzahlung. Warum? Vielleicht sollten vor allem weitere öffentliche Diskussionen zu dem Thema „Datenschutz bei H&M“ vermieden werden.
Manch andere Unternehmen wehren sich
Andere Unternehmen reagierten da schon weniger gefügig. So sah sich der Kommunikationsanbieter 1&1 mit einer Geldbuße in Höhe von 9.550.000 Euro konfrontiert – verhängt vom Bundesbeauftragten für den Datenschutz. Dies schien dem Unternehmen doch eine Nummer zu hoch. Das Unternehmen wandte sich an das zuständige Landgericht Bonn, welches die Geldbuße um über 90 Prozent reduzierte.
Symbolische Sanktionen, adé!
Diese Beispiele zeigen vor allem zwei Dinge:
- Die Aufsichtsbehörden für den Datenschutz machen inzwischen wirklich ernst.
- Es bilden sich jedoch erst noch Maßstäbe dafür heraus, was die Gerichte für angemessen halten.
Fest steht aber auch, dass Geldbußen von wenigen Tausend Euro selbst für schwere Verstöße mittlerweile passé sind.
Wenig Erfolg mit dem „Bußgeldkatalog“
Auf geringe Akzeptanz stieß bisher das Vorhaben der Aufsichtsbehörden für den Datenschutz, eine Art „Bußgeldkatalog“ durchzusetzen. Im Rahmen eines aufwendigen Abstimmungsverfahrens haben sie sich auf entsprechende Leitlinien geeinigt. Die Leitlinien enthalten zwar keine konkreten Beträge für Geldbußen. Sie sehen aber vor, Maßstäbe dafür vorzugeben, wann ein durchschnittlich schwerer Verstoß vorliegt, wann ein leichter Verstoß gegeben ist und wann von einer schweren Verletzung des Datenschutzes auszugehen ist. Teils haben Gerichte öffentlich kundgetan, dass sie diese Leitlinien als nicht relevant erachten.
Verstöße von Anfang an vermeiden!
Auch wenn es auf den ersten Blick überraschend klingen mag: Diese Situation macht es Unternehmen nicht leichter, sondern schwerer. Denn so ist ganz schwierig abzuschätzen, welche Folgen ein konkreter Verstoß mit sich bringen könnte. Deshalb muss umso mehr die Devise gelten: Verstöße am besten von vornherein vermeiden, statt danach mit den Folgen zu tun haben zu müssen.
Irrtum, dass solche Bemühungen im Ernstfall ohnehin nichts bringen
Wird ein Verstoß festgestellt, entscheiden die Aufsichtsbehörden sehr wohl danach, ob es sich um ein punktuelles Versagen handelt oder ob der Verstoß Schwachstellen allgemeiner Art belegt. Sollte Letzteres der Fall sein, kann es schnell teuer werden. Liegt dagegen lediglich ein Verstoß vor, wie er immer wieder einmal passieren kann, muss die Aufsichtsbehörde nicht einmal unbedingt ein Verfahren einleiten. Eine Ermahnung kann dann sogar genügen.
DSGVO-Geldbußen auch gegen Mitarbeitende?
Es erstaunt, dass keine Einigkeit darüber herrscht, ob die DSGVO Geldbußen gegen Mitarbeiterinnen und Mitarbeiter in Unternehmen verhängen kann, wenn sie für einen Datenschutzverstoß verantwortlich sind. Brisant wird es vor allem dann, wenn es eigentlich klare Vorgaben des Unternehmens zur Einhaltung des Datenschutzes gibt, aber die Mitarbeitenden sie schlichtweg nicht eingehalten haben. Manche Juristen befürworten die persönliche Geldbuße, andere nicht.
Das Arbeitsrecht greift ohne Weiteres
Doch wer glaubt, mit etwas Glück könne ihm nichts passieren, dem droht eventuell ein böses Erwachen. Denn arbeitsrechtliche Sanktionen bei Datenschutzverstößen sind durchaus möglich. Aussagen wie „Datenschutz ist mir egal“ sind nach drei Jahren DSGVO wirklich keine Option mehr.