Defizite beim Datenschutz werden insbesondere für kleine Beteiligungen weltweiter Konzerne in Deutschland extrem teuer. Aber auch andere Unternehmen sollten die DSK-Veröffentlichung zur zukünftigen Bußgeldbemessung zum Anlass nehmen, ihren Umgang mit personenbezogenen Daten eingehend zu prüfen und für Datenschutz-Compliance zu sorgen.
Unternehmen drohen bis zu 4% des weltweiten Jahresumsatzes für Verstöße gegen bestimmte Datenschutzvorschriften. Dies ist ein weites Feld für behördliches Ermessen. Fast eineinhalb Jahre nach Inkrafttreten der DSGVO, die die Grundlage für diese empfindlichen Bußgelder schuf, stellt die Datenschutzkonferenz des Bundes und der Länder („DSK“) ein Konzept vor, wie die Behörden in Zukunft Bußgelder ermitteln sollen (abrufbar hier).
Die DSK macht es sich bei der Ermessensausübung alles andere als leicht. Die Bußgeldberechnung soll zukünftig in fünf Schritten durchgeführt werden:
Zwar haben sich die obersten Datenschützer wohl an den Bußgeldleitlinien des Bundeskartellamts und der Europäischen Kommission in Kartellverfahren orientiert, dabei jedoch darauf verzichtet, einen Faktor zu definieren, der den Umfang einer Verletzung wiedergibt. Während die Bußgeldleitlinien von Bundeskartellamt und Europäischer Kommission einen strikt tatbezogenen Jahresumsatz (d.h. der von einem Kartellverstoß konkret begünstigte Umsatz) für alle weiteren Berechnungsschritte zu Grunde legen, soll dies nach dem Konzept der DSK allein der Gesamtjahresumsatz des in Rede stehenden Unternehmens sein. Als Korrektiv dienen allein die Schwere der Tat sowie sonstige Umstände, die als Faktoren herangezogen werden.
Folgendes Beispiel veranschaulicht die eklatanten Unterschiede zwischen der Berechnung von Bußgeldern aufgrund eines Kartellrechtsverstoßes und der nunmehr konzipierten Bußgeldberechnung bei Datenschutzrechtsverletzungen:
Kartellrecht: Ein Tochterunternehmen T, das im Bereich der Herstellung von Druckmaschinen tätig ist (Jahresumsatz: 100 Mio. Euro) ist Teil eines großen Mischkonzerns M (Jahresumsatz: 200 Mrd. Euro), der neben den Aktivitäten von T nicht auf dem Markt für Druckmaschinen tätig ist. T trifft mit Wettbewerbern kartellrechtswidrige Absprachen. Hier wären 100 Mio. Euro die Bemessungsgrundlage.
Datenschutz: T gibt versehentlich personenbezogene Daten seiner 150 Mitarbeiter, die unter anderem Aufschluss über deren Gewerkschaftszugehörigkeit geben, an einen Online-Shop für Werbemittel weiter, ohne vorab die Einwilligung der Mitarbeiter eingeholt zu haben. Die Daten gelangen über Umwege ins Internet und führen zu Spam-Mails. Hier sind nun 200 Mrd. Euro die Bemessungsgrundlage.
Welcher Vorgang ist als ordnungsrechtlich verwerflicher einzuschätzen? Schäden im gesamten Wettbewerbsgefüge mit erheblichen Nachteilen für Konkurrenten – oder zugegebenermaßen ärgerliche, aber relativ leicht abzustellende SPAM-Mails bei 150 Mitarbeitern? Der eklatante Unterschied zu möglichen Bußgeldern aufgrund von Wettbewerbsbeschränkungen, die ganze Unternehmen ruinieren können, ist nur schwer nachzuvollziehen.
Dieses Konzept wird wohl kaum Bestand haben. Es zeigt aber, dass auch die deutschen Datenschutzbehörden „langsam Ernst machen“ und offenbar gewillt sind, Datenschutzverletzungen zukünftig deutlich härter als bisher zu bestrafen.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.