DSGVO-Bußgelder

GDPR-Verstöße werden teurer

18.10.2019
Von    und  IDG ExpertenNetzwerk
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht. Während seiner Referendarsausbildung war er u. a. bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) und in der Konzernrechtsabteilung eines führenden DAX-notierten Telekommunikationsunternehmens tätig. Im Jahr 2019 legte er erfolgreich das zweite Staatsexamen ab.

GDPR-Bußgeld-Berechnung - die Folgen des neuen Modells

Nach den viel beachteten Strafen in Frankreich und Großbritannien war zu erwarten, dass die deutschen Behörden nicht mehr lange an ihrer nachsichtigen Bußgeldpraxis festhalten werden. Das neue Berechnungsmodell für DSGVO-Bußgelder wurde zu diesem Zweck bereits durch einzelne Behörden getestet. Die konsequente, deutschlandweite Anwendung dürfte in den nächsten Monaten intensiviert werden.

Dadurch sind deutlich höhere Strafen für Unternehmen zu erwarten, die nicht im Einklang mit der Datenschutzgrundverordnung agieren. Gravierende Rechtsunsicherheiten können sich aus dem erheblichen Spielraum der Aufsichtsbehörden bei der Bewertung der Umstände des jeweiligen Einzelfalls ergeben. So liegt es weiterhin im Ermessen der Behörde, einen Verstoß einem Schweregrad zuzuordnen.

Die transparentere Bußgeldberechnung kann aber auch Vorteile für Unternehmen haben: Sie können nun im Fall von Verstößen gegen die GDPR gemeinsam mit Datenschutzbeauftragen und Risikomanagern zu erwartende Bußgelder deutlich präziser als bisher bestimmen. Eine genaue Berechnung ist jedoch weiterhin nicht möglich. Weiterhin sieht die DSGVO grundsätzlich keine Ermäßigung bei mehreren Datenschutzverstößen vor.

Die Aufsichtsbehörden beabsichtigen daher, jeden Verstoß individuell zu bewerten und den Gesamtbetrag aus der Summe der einzelnen Bußgelder zu bestimmen. Das mag zunächst für die Annahme von sehr hohen Bußgeldern sprechen. Es besteht aber auch die Möglichkeit, dass der so bestimmte Betrag aufgrund der individuellen Umstände geringer ausfällt als die Gesamtsumme der für jeden einzelnen Verstoß ermittelten Bußgelder.

DSGVO-Strafen - das sollten Unternehmen jetzt beachten

Noch mehr als bisher gilt der Grundsatz "Vorsorge statt Nachsorge". Unternehmen sollten das neue Berechnungsmodell zum Anlass nehmen, ihre Datenschutzorganisation kritisch zu hinterfragen. Durch eine durchdachte und an der DSGVO orientierten Datenschutzorganisation können Bußgelder in Millionenhöhe am effektivsten vermieden werden.

Doch auch wenn bereits eine Untersuchung wegen eines Datenschutzvorfalls läuft und die Verhängung eines Bußgeldes im Sinne der DSGVO konkret droht, bestehen noch Möglichkeiten, dieses zu reduzieren. Insbesondere eine umfassende und transparente Kooperation und Kommunikation mit den Aufsichtsbehörden dürfte wohlwollend aufgenommen werden und gegebenenfalls mildernd in die Berechnung einfließen.

Im Ernstfall besteht zudem immer die Möglichkeit, noch gerichtlich gegen das Bußgeld vorzugehen. Dies dürfte insbesondere dann sinnvoll sein, wenn die Berechnung des Bußgelds anhand des Modells zu erheblichen finanziellen Nachteilen führt. Denn mangels Bindungswirkung des Modells können die Gerichte die Höhe des Bußgeldes im Verfahren selbst bestimmen und den Betrag gegebenenfalls anpassen.

Die Anwendung des neuen Berechnungsmodells für DSGVO-Bußgelder auf deutscher Ebene sowie die Entwicklungen für ein abgestimmtes Modell auf europäischer Ebene sind jedenfalls mit Spannung zu erwarten. (fm)