EU-Datenschutzgrundverordnung (Teil 4)

Dieser Beitrag setzt den in PUBLICUS 2017.12, 2018.1 und 2020.1 begonnenen Überblick zur EU-Datenschutzgrundverordnung (DSGVO) fort.

IV. Rolle der Aufsichtsbehörden in Deutschland und der EU

Die Aufsichtsbehörden nehmen auf der Grundlage der DSGVO eine herausragende Stellung ein. Dies, weil sie mit erheblicher Aufsichts- und Sanktionsgewalt ausgestattet worden sind. Das freiheitliche Demokratie- und Verfassungsverständnis der Subsidiarität, d. h., dass sich der Staat zurückhalten und nur die grundlegenden Aufgaben wahrnehmen soll, wird hier insofern ausgedehnt, als die Adressaten mit Bußgeldern konfrontiert sein können, die existenziell bedrohlich sein können. Dies begegnet verfassungsrechtlichen Bedenken. Dabei wird nicht verkannt, dass der Verordnungsgeber bewusst eine drakonische Verschärfung der Sanktionen (in Deutschland von bisher max. 300 000 € bis nun 20 Mio. € oder 4 % des Jahresumsatzes) statuiert hat, um die Bedeutung des Datenschutzes herauszustellen. Auch wenn Bußgelder nach dem Katalog von Art. 83 DSGVO nur verhängt und vollzogen werden dürfen, wenn ein rechtswidriger Vorgang feststeht und hierfür eine Strafe, die spürbar sein und abschrecken soll, auch nach entsprechend sorgfältiger Einzelfallprüfung als konsequente Rechtsfolge dargestellt wird, so bleiben Bedenken. Denn es erscheint aus europa-, verfassungs- und grundrechtlicher Sicht nicht verständlich, wie es sein kann, dass bspw. in Spanien, Portugal, Frankreich, Italien, Österreich und Deutschland für ein und dieselbe Tat vollkommen unterschiedliche Sanktionen und Bußgeldhöhen möglich und zulässig sein sollen und dass sich die EU gerade bei dieser schwierigen Abwägung von Sanktionen und Grundrechtseingriffen fast an dem ketzerischen Befund aus der Software-Industrie zu orientieren scheint: Die Software reift beim Kunden. Natürlich ist die EU keine „Bananen-Institution“. Offenbar soll aber das Sanktionen- und Bußgeldregime des Unionsrechts im freien Feld jahrelang getestet werden, in Dur und in Moll. Gerichtsentscheidungen, die diesen Kontext thematisieren, dürften mit Spannung zu erwarten sein.

Geschwächte Autorität des Rechts

Problematisch ist, dass es derzeit noch keinen in Europa einheitlichen Bußgeldkatalog gibt. Die diesbezüglichen Überlegungen und Abstimmungen gestalten sich allein deshalb schwer, weil aufgrund der bestehenden Unterschiede in den Verwaltungsstrukturen und Finanzhaushalten eine Basis für pekuniäre Angleichungen im Bußgeldrahmen erst noch gefunden werden müssen.

Ein schwerwiegendes Manko besteht auch darin, dass bei den 28 EU-Mitgliedsstaaten konträre Verwaltungs- und Behördenkulturen an der Tagesordnung sind. Dies wirkt sich bei der Sanktionierung und Bußgeldpraxis deswegen aus, weil es Staaten gibt, deren Aufsichtsbehörden sich durch Bußgelder refinanzieren und andere, die Steuermittel vom Parlament bereitgestellt bekommen und insofern nicht zum Selbsterhalt notwendig hohe Bußgelder verhängen müssen.

Diese Diskrepanzen schwächen letztlich die Autorität des Rechts und verschärfen Ungerechtigkeiten, indem liberale und differenzierte Maßstäbe ausgehebelt werden.

Es bedarf wenig Fantasie, um sich vorzustellen, was bei einer Verabschiedung eines harmonisierten EU-Bußgeldkatalogs passieren dürfte. Wie bei einem Vergleich als gesetzlich definiertem „gegenseitigem Nachgeben“ würde aus einem bundesdeutschen Bußgeld von bis 30 000 € allein deswegen ein neues Bußgeld von mind. 150 000 €, weil in mehr als einem anderen EU-Staat die 30 000 € mit einem Faktor 10 höher bewertet sind, sodass es nicht leicht werden dürfte, einen Mittelbußgeldbetrag von 150 000 € als zu hoch zu bezeichnen.

So richtig es ist, nach deutsch-föderaler Rechts- und Ermessensdogmatik im Ehrenamt grundsätzlich keine Bußgelder zu verhängen, so wichtig wäre es aus Gründen der Fairness und Verhältnismäßigkeit im Sanktions- und Bußgeldwesen auch, zumindest bei erstmaligen und geringfügigen Verfehlungen und solchen, die sich datenschutz- und wettbewerbsrechtlich nicht spürbar auswirken, auch bei Unternehmen und sonstigen Normadressaten auf Bußgelder zu verzichten und statt dessen andere Maßnahmen zu wählen. Dies erst recht, weil bei diesem Maßstab nicht erkennbar ist, dass nach der Schwere von Verfehlungen gewichtet werde, sondern nach einer Ermessensprärogative, das Ehrenamt zu privilegieren, da es keine Gewinnerzielungsabsichten verfolge. Das ist nachvollziehbar, gibt aber Raum, die wichtige Privilegierung aus verschiedenen Gründen, wie Gleichbehandlung und Verhältnismäßigkeit, auszudehnen.

Schwierig ist für den Normadressaten überdies, dass er sich nicht nur einer Aufsichtsbehörde ausgesetzt sieht, sondern einer Vielzahl, bedingt durch das nationale und europäische föderale Konzept, ohne die Sonderzuständigkeiten für den Rundfunk und Kirchen zu nennen, immerhin 45 an der Zahl, davon allein 18 aus dem Mitgliedsstaat Deutschland. In Deutschland hat jedes Bundesland eine eigene Aufsichtsbehörde, in Bayern gibt es zwei und zudem besteht eine Bundesaufsichtsbehörde. Die örtliche Zuständigkeit richtet sich nach dem Sitz der nichtöffentlichen Stelle. Mit Ausnahme des Bundeslandes Bayern sind die Datenschutzbeauftragten der Länder sowohl für den nichtöffentlichen als auch für den öffentlichen Bereich zuständig.

Verhängte Bußgelder

Für alle Normadressaten sind v. a. die Bußgeldsanktionen kritische Risiken, die in einem Koordinatensystem eingeordnet werden sollten.

Die WELT AM SONNTAG hat am 12.05.2019 über die bislang in Deutschland verhängten DSGVO-Bußgelder berichtet. Danach haben die Aufsichtsbehörden in 81 Fällen Bußgelder wegen Verstößen gegen DSGVO verhängt, welche sich bislang auf 485 490 € addieren würden. Bei der Umfrage unter den Länder-Aufsichtsbehörden habe sich nur Mecklenburg-Vorpommern nicht beteiligt. In der WELT AM SONNTAG wurde konstatiert, dass in sieben Bundesländern Bußgelder verhängt worden seien, in Baden-Württemberg (7 Fälle/203 000 €), Rheinland-Pfalz (9 Fälle/124 000 €), Berlin (18 Fälle/105 600 €), Hamburg (2 Fälle/25 000 €), Nordrhein-Westfalen (36 Fälle/15 600 €), Sachsen-Anhalt (6 Fälle/11 700 €) und dem Saarland (3 Fälle/590 €).

In Baden-Württemberg wurde seitens des LfDI bspw. ein Bußgeld über 20 000 € an das Karlsruher Unternehmen knuddels.de wegen Passwörter im Klartext und ein Bußgeld über 80 000 € gegenüber einem Mediziner verlautbart, in letzterem Fall, weil Gesundheitsdaten versehentlich im Internet veröffentlicht worden seien. Außerdem sei ein Bußgeld verhängt worden gegen einen Polizeibeamten, da auch Mitarbeiter öffentlicher Stellen keine Immunität bei illegaler Datenverarbeitung zu privaten Zwecken genießen würden. Dies ist auch unter den Behörden nicht mit Freude aufgenommen worden. Aufgrund eines Verstoßes gegen die Zweckbindung bei der Verarbeitung von personenbezogenen Daten hat die Bußgeldstelle des LfDI außerdem gegen den früheren Landesvorsitzenden der Jusos Baden-Württemberg eine Geldbuße von 2500 € verhängt.

Kurz vor Brexit-Schluss wurde jüngst gemeldet, die Britische Aufsichtsbehörde ICO beabsichtige, die Fluggesellschaft British Airways mit einem Bußgeld zu sanktionieren in Höhe £183 Mio.

Laut Heise Online soll ein Krankenhaus in Portugal 400 000 € bezahlen, weil nicht nur Ärzte Zugriff auf Patientendaten hatten.

Es gibt jedoch auch mildere Mittel

Dass es nicht immer ein Bußgeld sein muss, hat der Verordnungsgeber berücksichtigt. Aufsichtsbehörden stehen Untersuchungs- und Abhilfebefugnisse zu gem. Art. 58 DSGVO. So können Warnungen gegenüber Verantwortlichen und Auftragsverarbeitern ausgesprochen werden, soweit diese Datenverarbeitungen beabsichtigen, die voraussichtlich einen Verstoß gegen die DSGVO darstellen. Es können ferner Verwarnungen ergeben, wenn mit Datenverarbeitungen gegen die DSGVO verstoßen wurde. Schließlich können Verantwortliche und Auftragsverarbeiter von den Aufsichtsbehörden angewiesen werden, Betroffenenrechten zu entsprechen, Datenverarbeitungen rechtskonform zu machen und von einem Datenschutzverstoß betroffene Personen entsprechend zu benachrichtigen. Die Anordnung der Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation ist gleichfalls denkbar. Die Ahndung mit Bußgeldern trifft Adressaten am empfindlichsten. Die Aufsichtsmaßnahmen können nicht nur gegen den Verantwortlichen selbst, sondern auch gegen Auftragsverarbeiter gerichtet werden.

Da die Aufsichtsbehörden weitreichende Untersuchungsbefugnisse haben, machen sie auch vor der Tür eines Steuerberaters oder Arztes, der kraft Berufsrechts zu besonderen Verschwiegenheit verpflichtet ist, nicht unbedingt Halt. Die absolut geschützten Berufsgeheimnisträger und ihre Kammern und Verbände werden die Ausnahmen und Einschränkung der Betroffenenrechte auf Auskunft und Befugnisse der Aufsichtsbehörden sicherzustellen und im Einzelfall klarzustellen haben, dass Aufsichtsbehörden, anders als bei sonstigen Unternehmen, im Grundsatz bei Ärzten und Anwaltskanzleien kein Recht auf Auskunft, Zugang zu Räumen und Servern haben (Art. 14 Abs. 5 lit. d, 23 Abs. 1 lit. i, 90, 58 Abs. 1 lit. e, f DSGVO; § 29 Abs. 3 BDSG).

Dass Aufsicht nicht nur Subordination und Staatsmacht bedeuten muss, sondern auch konstruktive Rechtsfortbildung sein kann, zeigt exemplarisch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, die Datenschutzkonferenz (DSK). Diese ist ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, mit dem Ziel, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Hinzuweisen ist auch auf den Europäischen Datenschutzausschuss (EDSA). Dieser sieht sich zur Förderung einer einheitlichen Anwendung der DSGVO in den EU-Staaten und zur Beratung der Europäischen Kommission in Datenschutzfragen berufen. Der EDSA ist an die Stelle der früheren Artikel-29-Datenschutzgruppe getreten, die aufgrund der EG-Datenschutzrichtlinie (Richtlinie 95/46/EG) zum Schutz von Personen bei der Verarbeitung personenbezogener Daten eingesetzt wurde.

V. Ausblick

Viele KMU und Vereine sehen sich an der Kapazitätsgrenze. Auch Aufsichtsbehörden können die schiere Last von Anfragen, Eingaben und Beschwerden nur nacheinander abarbeiten. Ein totales Chaos ist aber durch die DSGVO nicht eingetreten.

Bei den Aufsichtsbehörden dürften diejenigen im Vorteil sein, die frühzeitig für hinreichend und qualifiziertes Fachpersonal gesorgt haben und die Behördenstruktur und die Verwaltungsmanagementstrategie am realen Service- und Informationsbedarf, d. h. der Bürger-, Betroffenen- und Unternehmensrealität, ausgerichtet haben. Ein behördliches Warten, bis die Flut von Beschwerden einsetzt, die man dann mit Bußgeldern begegnen kann, dürfte keine überzeigende verwaltungs- und gesellschaftspolitische Leitentscheidung sein. Der vielerorts anklingende Ruf nach mehr Personal zeigt jedoch, dass die Kapazitäten auch bei gut organisierten Behörden nicht unbegrenzt sind.

Bei KMU und Vereinen sind die Kapazitätsgrenzen ebenfalls vielfach schlichte Folgen von Management- und Vorstandsentscheidungen, frei nach dem Motto, wir müssen uns auf das Kerngeschäft konzentrieren und beim Datenschutz werde die „Karawane schon weiterziehen“.

Festgestellt werden darf, dass für die Normadressaten wie auch für die von der Datenverarbeitung Betroffenen mit der DSGVO eine erfreuliche Rechtsangleichung in ganz Europa und entsprechende Transparenz erreicht werden konnte. Auch wenn von den Grundsätzen für die Verarbeitung personenbezogener Daten schon nach alter Rechtsdogmatik vieles bekannt war, so wurde mit der deutlicheren Herausstellung bei Art. 5 DSGVO und der Rechenschaftspflicht, ebenso wie mit den technischen und organisatorischen Maßnahmen und den Betroffenenrechten eine Schärfung der Pflichten und Rechte vorgenommen. Einen Wert an sich haben die Harmonisierung und Rechtsangleichung, nach der alle Bürger und Unternehmen in der EU jetzt das gleiche materielle Datenschutzrecht haben. Positiv ist auch das Marktortprinzip, wonach auch Unternehmen aus Drittstaaten, die in der EU datenschutzrechtliche relevante Aktivitäten entfalten, haften können. Dies auch wenn eine Ahndung und Vollstreckung von Bußgeldern in Drittstaaten nicht einfach möglich sein dürfte.

Dass die DSGVO uns alle, auch im Privaten, betreffen kann, zeigt ein Fall aus Sachsen-Anhalt. Wie die Mitteldeutsche Zeitung berichtete, hat der dortige Landesdatenschutzbeauftragte ein Bußgeld von 2000 € gegen einen Privatmann verhängt. Dieser versendete E-Mails an über 100 Empfänger, sichtbar in „cc“ anstatt unsichtbar „bcc“. Damit konnte jeder einzelne Empfänger die Adressen aller anderen Empfänger einsehen und verarbeiten.