DSGVO-Bußgeldbescheide

Sich zu wehren kann sich lohnen

03.08.2022
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Bußgelder und harte Anordnungen gegen Unternehmen wegen Datenschutzverstößen sind an der Tagesordnung. Aktuelle Gerichtsverfahren zeigen, dass es sich lohnen kann, sich zu wehren.
Bußgeldbescheide wegen Datenschutzverstößen können Unternehmen teuer zu stehen kommen. Es kann sich jedoch lohnen, diese nicht einfach hinzunehmen.
Bußgeldbescheide wegen Datenschutzverstößen können Unternehmen teuer zu stehen kommen. Es kann sich jedoch lohnen, diese nicht einfach hinzunehmen.
Foto: RomanR - shutterstock.com

Hohe Bußgelder und strenge Anordnungen (zum Beispiel Untersagungen von Datenverarbeitungen oder der Nutzung einer IT-Anwendung) durch die Datenschutzaufsichtsbehörden nehmen zu. Zeichnete sich eine solche Tendenz zu strengeren Entscheidungen auf europäischer Ebene bereits unmittelbar nach Inkrafttreten der DSGVO ab, so ist der Trend, den vollen gesetzlichen Sanktionsrahmen auszuschöpfen, inzwischen auch in Deutschland zu beobachten. Millionenbußgelder für große Unternehmen wie 1&1 oder Deutsche Wohnen sowie die angedrohte Untersagung von Datentransfers zwischen Facebook und WhatsApp sind die Folge.

Erhält man als Unternehmen einen entsprechenden Bescheid der Aufsichten gilt es Ruhe zu bewahren und die korrekte Vorgehensweise abzuwägen. Denn diverse Verfahren gegen bereits öffentlichkeitswirksam verhängte Bescheide zeigen, dass ein Bußgeld oder eine Anordnung nicht einfach hingenommen werden müssen, sondern dass sich eine (gerichtliche) Vorgehensweise oftmals lohnen kann.

DSGVO-Bußgelder: Strengere Aufsichtsbehörden

Die gesetzlichen Rahmenbedingungen für Bußgelder nach der DSGVO erscheinen zunächst klar: nach Art. 83 DSGVO dürfen Bußgelder - abhängig vom Verstoß - bis zu 20 Mio. Euro oder bis zu 4 Prozent des Umsatzes des vorherigen Geschäftsjahres des gesamten Konzerns umfassen. Nach Art. 58 DSGVO dürfen die Aufsichtsbehörden beispielsweise auch Anweisungen, Untersagungen oder andere Anordnungen gegenüber datenverarbeitenden Unternehmen erlassen.

In der Praxis zeigt sich, dass die Behörden diesen Bußgeldrahmen zunehmend ausschöpfen. So hat die französische Aufsichtsbehörde "Commission Nationale de l'informatique et des Libertés" (CNIL) bereits Anfang 2019 ein Bußgeld in Höhe von 50 Mio. Euro gegen Google verhängt, zu dem Ende 2020 ein weiteres Bußgeld in Höhe von 100 Mio. Euro hinzukam, da Google nach Ansicht der Behörde weiterhin Cookies ohne wirksame Einwilligung seiner Nutzer setzte. Ein Rekordbußgeld in Höhe von 746 Millionen Euro soll die luxemburgische Datenschutzbehörde Mitte 2021 gegen Amazon verhängt haben. Ende 2021 verhängte die französische Datenschutzbehörde (CNIL) ein Bußgeld gegen Facebook in Höhe von 60 Millionen Euro, da es Nutzern nur unter erschwerten Bedingungen möglich war, den Einsatz von Cookies auf den Webseiten abzulehnen.

Lesetipp: Sind Ihre Cookie-Richtlinien rechtssicher?

Die deutschen Aufsichtsbehörden hingegen verfolgten zunächst ihren bisherigen Kurs weiter, der Kooperation mit Unternehmen in den Vordergrund stellte statt deren Sanktionierung. Vier Jahre nach Inkrafttreten der DSGVO sehen die Aufsichtsbehörden aber immer weniger Gründe dafür, Verstöße gegen die DSGVO nicht zu ahnden. Denn Unternehmen hatten ausreichend Zeit, DSGVO-konforme Prozesse zu etablieren. Auch wenn der Kooperationsgedanke weiterhin vorhanden zu sein scheint (bei den meisten in Deutschland verhangenen Bußgeldern scheinen vorher "informelle" Verwaltungsverfahren und/oder eine Diskussion zwischen Unternehmen und Behörden über die betroffene Datenverarbeitung stattgefunden zu haben), verhängen deutsche Datenschutzaufsichten nun ebenfalls schneller und strenger Bußgelder oder Anordnungen.

Dabei orientieren sie sich an dem von ihnen für die DSGVO entwickelten Bußgeldberechnungskatalog. Unternehmen und die dahinterstehenden Konzerne werden danach zunächst anhand ihres Jahresumsatzes in verschiedene Unternehmensgrößen unterteilt, auf deren Basis anschließend der durchschnittliche Tagessatz für die Bußgeldberechnung ermittelt wird. Je nach Art und Schwere des Verstoßes wird der Tagessatz gegebenenfalls erhöht. Besondere Umstände im Einzelfall können das Bußgeld sogar noch zusätzlich erhöhen - aber auch verringern (zum Beispiel bei besonders guter Kommunikation und Kooperation mit den Datenschutzaufsichtsbehörden).

Der Europäische Datenschutzausschuss (EDSA) hat im Mai 2022 Leitlinien für eine einheitliche Berechnung von Bußgeldern in den EU-Mitgliedsstaaten veröffentlicht. Die EDSA-Leitlinie gibt ein fünfstufiges Bemessungsverfahren vor. Es ist davon auszugehen, dass mit dem neuen Berechnungsmodell künftig Bußgelder höher ausfallen werden, als es nach dem Bußgeldkatalog in Deutschland bisher der Fall war.

Datenschutz-Bußgelder: Von den Gerichten einkassiert

Die nach dem deutschen Bußgeldberechnungskatalog zustande gekommenen Bußgelder werden von den Gerichten aber inzwischen vermehrt reduziert oder vollständig für unwirksam erklärt. Zwar laufen einige Bußgeldverfahren noch weiter, dennoch zeigt sich bereits, dass ein (gerichtliches) Vorgehen gegen Entscheidungen der Datenschutzaufsichtsbehörden sinnvoll sein kann. Denn die Gerichte sind nicht an diese Entscheidungen gebunden und haben einen hohen eigenen Ermessensspielraum bei der Festsetzung des Bußgelds, der seine Grenzen letztlich nur in der DSGVO findet.

So entschied das LG Berlin Mitte Februar 2021 im Fall der Deutsche Wohnen, dass der Bußgeldbescheid der Berliner Datenschutzaufsichtsbehörde unwirksam sei. Dem Unternehmen wurden (trotz Warnung und Abmahnung der Aufsicht) von der Behörde diverse Verstöße gegen Lösch- und Archivierungspflichten bezüglich Mieterdaten vorgeworfen. Allerdings machte sie keine Angaben zu den einzelnen Verstößen der Mitarbeiter des Unternehmens, die aber laut Gericht für eine Zurechnung des Verschuldens zum Unternehmen und damit für ein wirksames Bußgeld erforderlich gewesen wären. Denn bei der Verhängung von Bußgeldern sei deutsches Recht zu beachten, auch wenn die europäische DSGVO die Grundlage bilde. Gegen den Beschluss hat die Behörde in Zusammenarbeit mit der zuständigen Staatsanwaltschaft inzwischen Beschwerde eingelegt.

Das in zweiter Instanz zuständige Berliner Kammergericht hat mit Beschluss vom 06.12.2021 den Fall zur Vorabentscheidung dem EuGH vorgelegt. Konkret will das Kammergericht geklärt wissen, ob die DSGVO das deutsche Recht zu Bußgeldern (§ 30 OWIG), welches ein Verschulden einer konkreten natürlichen Person für die Bußgelderteilung voraussetzt, verdrängt. In der Praxis wird ein derartiges Verschulden bei einem Datenschutzverstoß wohl regelmäßig in komplexen Konzernstrukturen nur schwer bis gar nicht nachweisbar sein. Eine Entscheidung des EuGH steht noch aus.

Die Höhe des Bußgelds erheblich verringern konnte dagegen 1&1: Von dem ursprünglichen Bußgeld von ca. 9,5 Mio. Euro sind nach dem Gerichtsverfahren vor dem LG Bonn lediglich zehn Prozent, knapp 900.000 Euro, übrig geblieben. Denn das Bußgeld stehe laut Gericht nicht im Verhältnis zur Schwere des Verstoßes.
Das Unternehmen hatte Adressdaten eines Kunden an jemand Drittes herausgegeben, die diese Person dann zum Stalking des Kunden nutzte. Die Datenschutzaufsicht bemängelte insbesondere eine unzureichende Identifikation und Absicherung der Herausgabe von Kundendaten; jahrelang reichte hierfür die Angabe des Namens und des Geburtsdatums aus.

Das Gericht ließ diese Argumentation jedoch nur teilweise gelten: Bei vorangegangenen Überprüfungen durch die Aufsichtsbehörde sei das Verfahren des Kommunikationsanbieters nie kritisiert worden. Auch habe es keine offiziellen Leitlinien zu Authentifizierungsverfahren bei Kommunikationsanbietern gegeben, an denen sich 1&1 habe orientieren können. Nicht zuletzt beschränkte sich der Datenschutzverstoß auf einen Vorfall und eine Privatperson. Versuche, an persönliche Daten zu gelangen, seien grundsätzlich aber nur bei Personen des öffentlichen Lebens zu erwarten. Nicht zuletzt habe sich das Unternehmen nach Kenntnis des Verstoßes umgehend kooperativ gezeigt und sein Authentifizierungsverfahren umgestellt und mit einer PIN abgesichert. Im Gegensatz zum LG Berlin sah das LG Bonn jedoch keine Notwendigkeit, dass einzelne Verstöße von Mitarbeitern festgestellt werden müssten, es reiche aus, dass lediglich ein Verstoß gegen die DSGVO festgestellt worden sei.

Bußgeldbescheid wegen Datenschutzverstoß: Was tun?

Ein offizieller Bescheid der Datenschutzaufsichtsbehörden ist also kein Grund zur Panik. Vielmehr sollte er durch Datenschutzexperten (zum Beispiel den internen oder externen Datenschutzbeauftragten) sorgfältig geprüft und die weitere Vorgehensweise mit Bedacht abgewogen und gewählt werden. Was vermieden werden sollte: den Bescheid zu ignorieren und gar nicht zu reagieren oder lediglich pauschal zu antworten.

Anzuraten ist daher grundsätzlich die umfassende Kooperation mit der Behörde, auch wenn Unternehmen gesetzlich nicht unmittelbar dazu verpflichtet sind. Denn selbst wenn eine solche Kooperation noch nicht direkt zum Einlenken der Behörde führen mag, dürfte die Bereitschaft zur Zusammenarbeit bei der Bußgeldbemessung, spätestens jedoch bei der Entscheidung des Gerichts als mildernder Umstand zu berücksichtigen sein. Dies gilt umso mehr, je früher mit der Behörde kooperiert wird - hier sollten nicht erst ein Bußgeldbescheid abgewartet, sondern auch bereits die (informellen) Anfragen und Rügen der Behörde ernst genommen und entsprechend beantwortet werden. Es versteht sich von selbst, dass der Verstoß umgehend beendet und im Fall einer Meldepflicht den Behörden entsprechend mitgeteilt werden sollte.

Sofern ein Vorgehen gegen das Bußgeld als sinnvoll erachtet wird, zum Beispiel wenn der Bescheid Fehler enthält oder die Situation nicht korrekt beurteilt wurde, sollte sodann fristgemäß Einspruch gegen den Bescheid (als Vorstufe zur gerichtlichen Prüfung) eingelegt werden. Dadurch wird die Behörde gezwungen, sich nochmals mit dem Verfahren und den Argumenten des sanktionierten Unternehmens zu beschäftigen.

Mit der richtigen Vorgehensweise lassen sich daher selbst bei einem tatsächlich erfolgten Datenschutzverstoß Bußgelder verringern oder gar vollständig abwenden. Eine umfassende Kooperation mit den Behörden und die Aufklärung des Sachverhalts ist dabei oftmals unabdingbar. Naturgemäß kann dies aber nur dann in ausreichendem Umfang erfolgen, wenn die Datenschutz- und IT-Organisation des Unternehmens auf einer soliden Basis steht. Der Aufwand für das Vorgehen gegen einen Behördenbescheid sollte also nicht gescheut werden, mag er zunächst auch groß erscheinen.

  • Datenschutzverstöße und die Gründe dafür müssen identifiziert und behoben werden.

  • Datenschutz- und IT-Expertise müssen - gegebenenfalls extern - eingeholt und koordiniert werden.

  • Die Zusammenarbeit mit der Behörde und/oder das Vorgehen gegen die Behörde muss vorbereitet und abgestimmt werden.

Die derzeitigen Gerichtsurteile zeigen aber, dass sich dieser Aufwand lohnen kann - und Unternehmen durch die widerspruchslose Hinnahme unverhältnismäßiger Bußgelder kein Geld "verschenken" sollten.

DSGVO-Bußgeld: Eskalation durch gerichtliches Vorgehen

Hält die Behörde an dem Bußgeld fest, besteht die Möglichkeit, das Verfahren vor den Gerichten weiterzuführen. Dies ist zwar mit zusätzlichem Aufwand und weiteren Kosten verbunden, es existieren im Datenschutzrecht aber (noch) so viele offene Fragen, die Ansatzpunkte für eine erfolgreiche Verteidigung bieten können, dass eine weitere Eskalation sinnvoll und erfolgsversprechend sein kann.

So sind die Anforderungen an den Nachweis von Verstößen und deren Zurechnung zu einem Unternehmen nicht abschließend geklärt. Auch wurde das bisherige Bußgeldberechnungsmodell der Aufsichten regelmäßig als zu schematisch kritisiert, da sich eine pauschale Bewertung von Verstößen und Bußgeldern nach deutschem Recht grundsätzlich verbietet. Vielmehr müssen Behörden stets den Einzelfall umfassend berücksichtigen und bewerten, so beispielsweise auch das Verhältnis von Umsatz, Bußgeld und Gewinn. Denn die DSGVO stellt für die Berechnung eines Bußgelds zwar ausschließlich auf den Umsatz eines Unternehmens ab, es erscheint jedoch zumindest angreifbar, wenn ohne Rücksicht auf die konkreten finanziellen Verhältnisse sehr hohe Bußgelder gegen Unternehmen mit höherem Umsatz, aber vergleichsweise geringem Gewinn festgesetzt werden.

Die neue Leitlinie der EDSA zur einheitlichen Berechnung von Bußgeldern in den EU-Mitgliedsstaaten könnte den oben genannten Anforderungen in der Praxis besser gerecht werden als das kritisierte deutsche Bußgeldberechnungsmodell, zumal sie neben der Berücksichtigung von verschärfenden und mildernden Umständen auch eine Wirksamkeits- und Verhältnismäßigkeitsprüfung vorsieht.

Darüber hinaus besteht immer die Möglichkeit, dass die Datenschutzaufsichtsbehörde von einem unzutreffenden Sachverhalt ausgeht. Dies kann an fehlenden oder unvollständigen Informationen durch das Unternehmen, aber auch an einem falschen oder fehlenden Verständnis der übermittelten Informationen seitens der Behörde liegen. Nicht zuletzt sind die deutschen Datenschutzaufsichten in ihrem Verständnis des Datenschutzes oft auch strenger, als es tatsächlich im Gesetz angelegt ist. Insofern hilft ein genaues Verständnis der Anforderungen des Datenschutzrechts, Argumentations- und Abwehrlinien gegen die Behörde und vor Gericht weiter zu stärken. (bw)