Money, Money, Money…
24/01/18
Schon verschiedentlich haben wir in diesem Blog über die neue Datenschutz-Grundverordnung (DSGVO) geschrieben. Das Anwendbarkeitsdatrum rückt näher -der 25. Mai 2018- aber es bestehen weiter viele Zweifel. Zum Beispiel, wie stellt man sicher, im grünen Bereich zu sein, wer schützt die Datenschützer (DPO), wie wägt man Risiken ab oder wie hoch werden die Bußgelder ausfallen… ?
Zu diesem letzten Punkt gibt es Neues zu berichten. Die Artikel-29-Arbeitsgruppe (die am 25. Mai in einer neuen EU-Einrichtung, dem Europäischen Datenschutzausschuss, aufgehen wird) hat nämlich Leitlinien zur Anwendung und Festlegung von Bußgeldern im Rahmen der DSGVO veröffentlicht. Diese Bußgelder werden eng mit denjenigen des Kartellrechts verwandt sein, denn sie werden als Prozentsatz des Umsatzes festgelegt und können bis zu 4% (!) erreichen. Allein dieser Anspruch der Einheitlichkeit ist eine Neuerung, denn gem. Artikel 24 der Datenschutzrichtlinie konnte jeder Mitgliedstaat eigene Bußgeldobergrenzen bestimmen. Diese reichten dann von € 25.000 in Österreich über € 150.000 in Frankreich oder € 300.000 in Deutschland bis zu € 600.000 in Spanien oder gar £ 500.000 in Großbritannien.
Wird der neue einheitliche Höchstsatz nun immer erreicht? Und, sollte doch ein niedrigerer Prozentsatz angemessen erscheinen, wie wird man diesen dann berechnen? Werden Gutgläubigkeit, Anpassung an die DSGVO oder mangelnde Folgen eines Verstoßes eine Rolle spielen? Genau zu diesen Fragen hat die Arbeitsgruppe versucht, in ihren Leitlinien Antworten zu finden. Hier also einige ihrer Überlegungen:
Bußgelder müssen wirksam, verhältnismäßig und abschreckend sein. (Artikel 83 Absatz 1 der DSGVO). Zu diesem Zwecke ist der einschlägige Umsatz derjenige des Konzerns, dem der Verantwortliche angehört, also der wirtschaftlichen Einheit oder Entscheidungseinheit. Mit anderen Worten, der Umsatz der Rechtsperson, die den Verstoß begangen hat, ist unerheblich. Die Deckelung der Bußgelder bei 4% „des Umsatzes“ ist also mit Vorsicht zu genießen, denn die Beträge können ganz erheblich höher liegen, als man auf den ersten Blick meinen könnte…
Die Leitlinien erinnern ebenfalls daran, dass die nationalen Datenschutzbehörden Geldbußen je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a) bis h) und i) der DSGVO zu verhängen haben, also von Warnungen und Verwarnungen (wir wünschen viel Glück bei der Unterscheidung). Zu beachten ist dabei, dass diese Maßnahmen nicht der Rangordnung Foul, gelbe Karte, rote Karte folgen werden. Die Arbeitsgruppe verwahrt sich ausdrücklich dagegen und betont, alles werde von der Schwere des Verstosses; den Absichten des Unternehmens; seiner Zusammenarbeit mit den Behörden; seinem Einsatz bei der Schadensbegrenzung; und vor allem – glauben wir zumindest – von der etwaigen Verletzung von persönlichen Rechten abhängen.
Wie die Dinge stehen, bleibt der Ermessensspielraum der nationalen Datenschutzbehörden äußerst weit. Dennoch halten wir etwaige Klagen gegen das System als solches im großen und ganzen für chancenlos. Es entspricht nämlich weitestgehend demjenigen, dass friedlich (oder nahezu friedlich) zur Festsetzung von Kartellrechtsbussen besteht. Klagegründe wie die Willkür oder Unvorhersehbarkeit eines Strafmaßes, das sich einzig auf Umsatzgrenzen stützt, haben dieses System zuweilen erschüttert, aber nie versenkt… also bereiten wir uns lieber auf hohe Bußgelder vor!
