Sanktionen ohne Ende? – Bußgelder 20 Monate nach Inkrafttreten der DSGVO
Am 25. 1. 2020 gilt sie genau 20 Monate: die Datenschutzgrundverordnung (VO [EU] 2016/679, nachfolgend: DSGVO), auf deren Umsetzung die Unternehmen schon im Vorfeld enorme Kraft aufgewandt hatten. Dabei spielten durchaus eine Reihe aufsichtsrechtlicher Befugnisse eine Rolle – darunter die Möglichkeit von Auskunftsersuchen, Warnungen und Untersagungsverfügungen. Ein wesentlicher Treiber waren aber vor allem die empfindlichen Bußgelder, die Datenschutzaufsichtsbehörden unter der DSGVO verhängen können. Angelehnt an den Bußgeldrahmen des Kartellrechts können für einige Verstöße bis zu 4 % des – nach umstrittener Ansicht: konzernweiten – Jahresumsatzes oder 20 Mio. € fällig werden – je nachdem, welcher Betrag höher ist! Unter Geltung des alten Bundesdatenschutzgesetzes (BDSG) konnte ein Bußgeld von bis zu 300 000 € pro Verstoß verhängt werden; möglich waren bis zu 10 Mio. € im Wege der Verbandsgeldbuße nach § 30 OWiG. In der Praxis blieben die Behörden aber meist weit unter dieser Marke: Das höchste Bußgeld betrug “nur” 1,46 Mio. €, und auch diese Summe ergab sich aus Einzelbußgeldern für 35 Konzerngesellschaften. Vor der Geltung der DSGVO schöpften die Aufsichtsbehörden den Bußgeldrahmen daher bei Weitem nicht aus.
Mit entsprechender Spannung wurde die Handhabung unter der DSGVO erwartet. Und tatsächlich änderten sich die Zeiten: Hatte es innerhalb des ersten Jahres allenfalls einmal einen Ausreißer in Frankreich gegeben, nämlich in Form von 50 Mio. € an die Adresse von Google durch die französische Aufsichtsbehörde CNIL, ging es jetzt plötzlich Schlag auf Schlag. Der britische Information Commissioner Officer (ICO) kündigte innerhalb weniger Tage mögliche Bußgelder gegen British Airways in Höhe von 183 Mio. GBP sowie gegen die Hotelkette Marriot in Höhe von 99 Mio. GBP an. In beiden Fällen bemängelte der ICO schlechte Sicherheitsmaßnahmen, die zu Data Breaches geführt hatten. Beide Bußgelder sind bisher nicht rechtskräftig.
Die deutschsprachigen Aufsichtsbehörden zogen kurz darauf nach. Die österreichische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 18 Mio. € gegen die Österreichische Post, die Berliner Aufsichtsbehörde 14,5 Mio. € gegen die Deutsche Wohnen SE. Zuletzt verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit gegen die 1&1 Telecom GmbH ein Bußgeld i. H. v. 9,5 Mio. €.
Zudem veröffentlichte die Datenschutzkonferenz der deutschen Aufsichtsbehörden (DSK) ein Berechnungsmodell für Bußgelder unter der DSGVO. Entsprechend ihrem Umsatz werden Unternehmen in verschiedene Kategorien gruppiert, für die Grundwerte ähnlich wie Tagessätzen im Strafrecht zugeordnet werden können und mit Multiplikatoren von eins bis zwölf multipliziert – je nach Schwere des Verstoßes. Wird das Berechnungsmodell in dieser Form angewendet, sind hohe Bußgelder selbst bei Bagatellverstößen die Regel.
Das liest sich einerseits effizient, klingt nach Durchgreifen und Stärkung des Datenschutzes. Aber ist die Höhe der Bußgelder auch in allen Fällen angemessen? Daran kann gezweifelt werden. Bedenken bestehen bereits dort, wo die Bezugsgröße für das Bußgeld nicht der Umsatz des Verletzerunternehmens war, sondern der weltweite Konzernumsatz. Auch wenn diese Bezugsgröße von Beginn an von Aufsichtsbehörden und in der Presse genannt wurde, existieren einige Argumente, die dafür sprechen, nur den Gewinn des verletzenden Unternehmens heranzuziehen.
Gemäß Erwägungsgrund 150 der DSGVO soll bei der Bestimmung des Begriffs ‘Unternehmen’ in Art. 83 Abs. 4 und 5 DSGVO der funktionale Unternehmensbegriff aus dem Kartellrecht (Art. 101 und 102 AEUV) herangezogen werden, der auch sog. ‘verbundenen Unternehmen’ umfasst. Der Begriff der ‘Unternehmensgruppe’ ist jedoch direkt in der DSGVO definiert (Art. 4 Nr. 19 DSGVO), sodass dieser Begriff nicht mehr in den Begriff des ‘Unternehmens’ hineingelesen werden muss. Art. 83 nennt nur das Unternehmen, weshalb möglicherweise der im Strafrecht und Ordnungswidrigkeitenrecht bestehende Bestimmheitsgrundsatz gegen eine Ausdehnung der Anwendung des Art. 83 DSGVO auf die ‘Unternehmensgruppe’ steht. Darüber hinaus hat der Verordnungstext Anwendungsvorrang gegenüber den Erwägungsgründen.
Gerade in Deutschland wird diskutiert, ob durch eine nicht ganz ausgewogene Bezugnahme im BDSG auf das Ordnungswidrigkeitengesetz für eine Zurechnung von Verstößen gegen die DSGVO durch Mitarbeiter des Verantwortlichen oder Auftragsverarbeiters §§ 30 und 130 OWiG Anwendung finden, sodass regelmäßig nur Verstöße von Leitungspersonen oder im Rahmen eines Organisationsverschuldens zu Bußgeldern führen würden. Die Gegenmeinung legt § 41 BDSG europarechtskonform aus, was zu teilweiser Nichtanwendung der §§ 30, 130 OWiG führt. Dann ist keine Einschränkung des Art. 83 DSGVO gegeben. So sehr es nachvollziehbar ist, Verstöße von Mitarbeitern den Unternehmen in weitem Umfang zurechnen zu wollen, um eine entsprechende Abschreckung zu erreichen (Art. 83 Abs. 1 DSGVO): Hier ist immer auch an den Bestimmtheitsgrundsatz zu denken. So hoch, wie die Bußgeldandrohung ist, darf der Wortlaut der entsprechenden Regelungen keinesfalls überdehnt werden.
Gleichwohl müssen Unternehmen in Zukunft mit mehr und höheren Bußgeldern rechnen. Zum einen ergeben sich schon rechnerisch durch das Bußgeldkonzept der DSK deutlich höhere Bußgelder. Das Bußgeldkonzept kann auch als eine verstärkte Zuwendung zu Bußgeldern und die Abkehr von anderen aufsichtsbehördlichen Maßnahmen gesehen werden. Darüber hinaus liegt ein Entwurf zum Verbandssanktionengesetz vor, das ebenfalls deutliche höhere Bußgelder (bis zu 10 % des Jahresumsatzes) im Vergleich zu den §§ 30, 130 OWiG vorsieht. Ob das der richtige Weg ist, bleibt abzuwarten. Aufgrund der unklaren Situation sollten Unternehmen jedoch nicht jedes Bußgeld sofort akzeptieren. Sonst sind sie womöglich Sanktionen ohne Ende ausgesetzt, während sie anderseits am Ende vielleicht auch ohne Sanktionen bestehen.
Christian Leuthner, Rechtsanwalt, Frankfurt a. M.