Wenn ein Bußgeld droht

Die DSGVO hat den Bußgeldrahmen in Art. 83 DSGVO, der die ­Bemessung von Strafzahlungen regelt, ganz erheblich ausgeweitet. Das Bußgeld kann bis zu 4 Prozent des weltweit erzielten Jahresumsatzes betragen. Dies ist jedoch nur der Maximalwert. Aber auch im Bereich dieses Rahmens habe einige Landesdatenschutzbehörden Bußgelder verhängt, die als überhöht anzusehen sind. Denn nach § 41 Abs. 1 Bundesdatenschutzgesetz gelten für Verstöße gegen Art 83 DSGVO die Vorschriften des OWiG (Gesetz über Ordnungswidrigkeiten). Nach den Paragrafen 30 und 130 OWiG kann ein Bußgeld gegen ein Unternehmen letztlich nur verhängt werden, wenn ein Mitarbeiter in leitender Funktion einen Datenschutzverstoß begangen oder seine Aufsichtspflichten verletzt hat - und wenn dieses Verhalten vorsätzlich oder fahrlässig war.

Der gerichtsfeste Nachweis entsprechender Tatumstände dürfte den Datenschutzbehörden schwerfallen. Mitunter wird von Datenschutzbehörden allerdings die Ansicht vertreten, dass die Vorgaben des OWiG einschränkend auszulegen sind und die Voraussetzungen der §§ 30, 130 OWiG keine ­Anwendung finden, um so die Durchsetzung der ­DSGVO gegen Unternehmen zu erleichtern. Diese Ansicht wird von vielen Juristen völlig zu Recht nicht geteilt und dürfte einer gerichtlichen Überprüfung nicht standhalten.

Im Umgang mit den Datenschutzbehörden sollten Unternehmer immer beachten, dass die Behörden in einer Auseinandersetzung um Sanktionen wegen DSGVO-Verstößen nicht das letzte Wort ­haben. Über die Rechtmäßigkeit von Anordnungen und Bußgeldern entscheiden letztlich die Gerichte, und das oft nach mehreren Instanzen. Die Datenschutzbehörden müssen ihrerseits einen nicht unerheblichen Aufwand betreiben, um die Gründe für ihre Entscheidungen gerichtsfest nachzuweisen und zu dokumentieren. Zudem müssen Anordnungen und Bußgelder dem Verhältnismäßigkeitsprinzip entsprechen. All dies bietet zahlreiche Ansatzpunkte, um sich erfolgreich gegen Anordnungen und Bußgelder der Datenschutzbehörden vor Gericht zur Wehr zu setzen.

Deshalb bedeutet dies in der Praxis: Wenn der Datenschützer klingelt, gilt es, Ruhe zu bewahren. Den Behörden sind die zahlreichen rechtlichen Unwägbarkeiten und Streitfragen rund um die DSGVO bekannt. Häufig lässt sich eine für alle Beteiligten ­akzeptable Lösung erzielen, sofern man seine datenschutzrechtlichen Hausaufgaben gemacht oder nachgemacht hat. Dabei gilt es, sachlich und bestimmt mit den Datenschutzbehörden zu verhandeln. Eine Blockadehaltung hat sich im Regelfall nicht ­bewährt. Und nicht vergessen: Ein Datenschutzverstoß bedeutet nicht automatisch, dass ein Bußgeld verhängt wird.