GDPR-Durchsetzung: Die wahren Risiken der Nichteinhaltung

Während die öffentlichen Aufsichtsbehörden 2018 eine informelle Schonfrist für die Umsetzung der neuen Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) gewährten und viele Ressourcen für Sensibilisierungskampagnen bereitstellten, verlagerte sich ihr Schwerpunkt 2019 eindeutig auf die Durchsetzung. Das Risiko von Sanktionsverfahren und der Verhängung hoher Geldbußen durch staatliche Behörden, die die Einhaltung der DSGVO überwachen, hat sich drastisch erhöht.

Wer überwacht die Einhaltung der GDPR?

Um einen Überblick über die Durchsetzungspraktiken der Behörden zu erhalten und die darauf basierenden Haftungsrisiken zu bewerten, muss man das Konzept der verteilten Zuständigkeiten für die Durchsetzung innerhalb der EU verstehen. Denn obwohl die meisten nationalen Datenschutzgesetze mit dem Inkrafttreten der DSGVO im Mai 2018 auf EU-Ebene harmonisiert wurden, sind die EU-Mitgliedstaaten weiterhin allein für die Überwachung und Durchsetzung zuständig.

Geteilte Zuständigkeiten und Zusammenarbeit

Aufgrund dieses Konzepts der geteilten Zuständigkeiten können die Haftungsrisiken innerhalb der EU variieren, je nachdem, ob die jeweilige Behörde bereit ist, bei der Auslegung der Anforderungen der Datenschutz-Grundverordnung einen strengen Ansatz zu verfolgen und den Umfang möglicher Geldbußen nach ihrem Ermessen auszuschöpfen. Die Regulierungsbehörden haben jedoch auch den Europäischen Datenschutzausschuss (EDPB) eingerichtet, ein unabhängiges EU-Beratungsgremium, das sich aus Vertretern aller nationalen Datenschutzbehörden zusammensetzt. Ziel dieses Kooperationsgremiums ist es, eine uneinheitliche Auslegung der Datenschutz-Grundverordnung in der EU zu verhindern.

Und in der Tat trägt die Arbeit des EDPB erheblich zur Rechtssicherheit bei. Seine Leitlinien zur Auslegung der Datenschutz-Grundverordnung bieten einen umfassenden Rahmen für die wichtigsten Datenschutzthemen und werden von den nationalen Behörden bei ihrer täglichen Arbeit angewendet. Der EDSB bemüht sich auch um eine Vereinheitlichung der Geldbußen im Rahmen der DSGVO mit seinen Leitlinien zur Anwendung und Festsetzung von Bußgeldern, die jedoch recht weit gefasst sind und später ergänzt werden sollen - insbesondere im Hinblick auf die Berechnungsgrundlage für die Höhe der Geldbußen. In der Zwischenzeit versuchen einige nationale Behörden, die Lücke zu schließen, indem sie ihre eigenen Kriterien veröffentlichen, die wir in diesem Artikel erläutern werden.

Bestimmung der zuständigen Behörde

Im Allgemeinen ist jede nationale Aufsichtsbehörde für Fälle "im Hoheitsgebiet" ihres eigenen EU-Mitgliedstaates zuständig (Art. 55 DSGVO). In einer digitalisierten Welt, in der grenzüberschreitende Datenströme zur Norm geworden sind, wirft dieses Konzept viele Folgefragen auf. Erwägungsgrund 122 der Datenschutz-Grundverordnung sorgt für eine gewisse Klärung, indem er feststellt, dass eine nationale Behörde für die Datenverarbeitung "im Rahmen der Tätigkeiten einer Niederlassung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres eigenen Mitgliedstaats" und für die "Verarbeitung, die sich auf betroffene Personen in ihrem Hoheitsgebiet auswirkt", zuständig ist. Generell kann also gesagt werden, dass die für die Durchsetzung der DSGVO zuständige Behörde diejenige des Landes ist, in dem sich die Niederlassung des Unternehmens oder die von der Datenverarbeitung betroffene Person befindet.

Im Hinblick auf die grenzüberschreitende Datenverarbeitung können sich multinationale Unternehmen, die Niederlassungen in mehr als einem EU-Mitgliedstaat unterhalten, auf das Konzept der "federführenden Aufsichtsbehörde" berufen (Art. 56 und 60 DSGVO). Im Rahmen dieses One-Stop-Shop-Mechanismus muss die Aufsichtsbehörde der Hauptniederlassung in der EU mit anderen Durchsetzungsstellen zusammenarbeiten, ist aber ausschließlich für die Durchsetzung der DSGVO gegen dieses Unternehmen zuständig. So kann beispielsweise ein Unternehmen mit einer Hauptniederlassung in Frankreich und kleinen Zweigstellen in Polen und Ungarn nur von der französischen Behörde wegen Nichteinhaltung der Vorschriften in grenzüberschreitenden Fällen mit einer Geldstrafe belegt werden.

Der Grundsatz einer "federführenden Behörde" gilt nicht für Unternehmen ohne Niederlassung in der EU, die dennoch in den Anwendungsbereich der DSGVO fallen, unabhängig davon, ob sie einen EU-Vertreter ernannt haben oder nicht. Hinsichtlich der Durchsetzung besagt Erwägungsgrund 122 der Datenschutz-Grundverordnung, dass eine nationale Behörde für Datenverarbeitungsvorgänge zuständig ist, "die ... gegenüber betroffenen Personen mit Wohnsitz in ihrem Hoheitsgebiet durchgeführt werden". Daher bleiben verschiedene Behörden gleichzeitig zuständig, wenn das Unternehmen seine Produkte in mehr als einem EU-Mitgliedstaat vertreibt. So muss es sich beispielsweise mit den französischen Behörden auseinandersetzen, wenn eine betroffene Person mit Wohnsitz in Frankreich eine Beschwerde einreicht, und mit den portugiesischen Behörden, wenn ein Kunde aus Portugal dort eine Beschwerde einreicht. Unternehmen mit einem GDPR-Beauftragten profitieren jedoch von einer zentralen Anlaufstelle für die Meldung von Sicherheitsvorfällen.

Was sind die rechtlichen Grundlagen der GDPR-Durchsetzung?

Als die DSGVO im Mai 2018 in Kraft trat und die früheren nationalen Datenschutzgesetze für alle EU-Mitgliedstaaten ersetzte, wurde sie von Politikern und Bürgerrechtlern besonders dafür gelobt, dass die Aufsichtsbehörden im Falle der Nichteinhaltung der gesetzlichen Anforderungen viel höhere Strafen verhängen können als unter den früheren nationalen Regelungen.

In der Tat erlaubt Art. 84 DSGVO drastische Geldstrafen, wenn Unternehmen ihren Datenschutzpflichten nicht nachkommen. Alle Anforderungen an die für die Datenverarbeitung Verantwortlichen und die Auftragsverarbeiter im Rahmen der DSGVO werden in zwei Kategorien eingeteilt, für die unterschiedliche Höchstbeträge für die Geldbuße gelten:

• Verstöße gegen die erste Kategorie von Verpflichtungen können zu einer Geldstrafe von bis zu 10 Mio. EUR führen. EUR oder 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. In diese Kategorie fallen Verstöße wie das Fehlen von Datenverarbeitungsverträgen mit IT-Anbietern (Art. 28 DSGVO), unzureichende Datensicherheitsstandards (Art. 32 DSGVO), die Nichteinhaltung von Meldepflichten im Falle einer Datenschutzverletzung (Art. 33-34 DSGVO) oder gegebenenfalls die Nichternennung eines Datenschutzbeauftragten (Art. 37 DSGVO).
• Verstöße gegen die zweite Kategorie von Verpflichtungen können zu einer Geldstrafe von bis zu 20 Mio. EUR führen. EUR oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. In diese Kategorie fallen Verstöße wie die Nichteinhaltung der Grundsätze der DSGVO (Art. 5 DSGVO: Einschränkung der Datenspeicherung, Zweckbindung usw.), die unrechtmäßige Verarbeitung personenbezogener Daten (Art. 6 DSGVO), die Nichtbeachtung der Rechte der betroffenen Personen (Art. 12-22 DSGVO) oder ungerechtfertigte internationale Datenübermittlungen (Art. 44-49 DSGVO).

Nach dem Gesetz müssen die Geldbußen im Einzelfall "wirksam, verhältnismäßig und abschreckend" sein. Art. 83 Abs. 2 DS-GVO enthält eine Liste von Kriterien, die bei der Entscheidung über die Höhe der Geldbuße zu berücksichtigen sind:

• Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der betroffenen Personen und des Umfangs des von ihnen erlittenen Schadens;
• den vorsätzlichen oder fahrlässigen Charakter des Verstoßes;
• etwaige Maßnahmen, die der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter ergriffen hat, um den den betroffenen Personen entstandenen Schaden zu begrenzen;
• den Grad der Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihm getroffenen technischen und organisatorischen Maßnahmen (Art. 25 und 32 DSGVO);
• alle relevanten früheren Verstöße des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters;
• das Ausmaß der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß abzustellen und die möglichen nachteiligen Auswirkungen des Verstoßes abzumildern;
• die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und in welchem Umfang der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter den Verstoß gemeldet hat;
• die Einhaltung von Maßnahmen wie Verwarnungen, Anordnungen oder Untersagungen bestimmter Verarbeitungen (Art. 58 Abs. 2 DSGVO), die zuvor gegen den betroffenen Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordnet wurden;
• die Einhaltung genehmigter Verhaltenskodizes (Art. 40 DSGVO) oder genehmigter Zertifizierungsmechanismen (Art. 42 DSGVO); und
• sonstige erschwerende oder mildernde Umstände, die sich aus den Umständen des Falles ergeben, wie z. B. direkt oder indirekt durch den Verstoß erzielte finanzielle Vorteile oder vermiedene Verluste.

Zusätzlich gelten nationale Bestimmungen über die Rechte und Pflichten der Durchsetzungsstellen, wie die Einzelheiten des Verwaltungsverfahrens, einschließlich der Ausübung des Rechts des Betroffenen, gegen die Entscheidung einer Behörde Widerspruch einzulegen und weitere Rechtsmittel einzulegen.

Wie wurde die DSGVO im Jahr 2019 durchgesetzt?

Im Jahr 2019 haben sieben Fälle, die die 1-Mio.-USD-Grenze überschritten haben, öffentliche Aufmerksamkeit erregt. USD-Marke überschritten haben, erregten die öffentliche Aufmerksamkeit:

• Die höchsten Einzelstrafen verhängte die britische Aufsichtsbehörde gegen British Airways (ca. 230 Mio. USD) und Mariott Hotel (ca. 125 Mio. USD), in beiden Fällen wegen unzureichender Datensicherheit.
• Die dritthöchste Geldbuße des Jahres wurde gegen Google verhängt, und zwar von der französischen Behörde in Höhe von ca. 57 Mio. USD wegen unzureichender und intransparenter Datensicherheit. USD wegen unzureichender und intransparenter Datenschutzrichtlinien, die zu unrechtmäßigen Datenverarbeitungsvorgängen führten.
• Die Österreichische Post wurde mit einer Strafe von ca. 20 Mio. USD belegt. USD Strafe wegen unrechtmäßiger Erstellung von Profilen österreichischer Bürger anhand ihrer politischen Ansichten, was die Verbraucher dazu ermutigte, vor Gericht Schadenersatz für immaterielle Schäden zu fordern.
• Die höchsten von den deutschen Behörden verhängten Bußgelder rangierten 2019 auf den Plätzen 5 und 6 mit ca. 16 Mio. USD gegen ein Immobilienunternehmen (Deutsche Wohnen), das es versäumt hatte, alte und veraltete Kundendaten zu löschen, und ca. 10,6 Mio. USD gegen einen Telekommunikationsdienstleister (1&1), dessen Kundenservice am Telefon sensible personenbezogene Daten weitergab. USD gegen einen Telekommunikationsdienstleister (1&1), dessen Kundenservice sensible persönliche Daten an Anrufer am Telefon weitergab, ohne angemessen sicherzustellen, dass es sich um den tatsächlichen Kunden handelte.
• In Bulgarien wurde die Nationale Steuerbehörde zu einer Geldstrafe von ca. 2,9 Mio. USD verurteilt. USD geahndet, nachdem personenbezogene Daten von sechs Millionen Personen aufgrund mangelnder Datensicherheitsmaßnahmen unrechtmäßig zugänglich waren.
• Die niederländischen Aufsichtsbehörden verhängten eine Geldbuße von ca. 1 Mio. USD gegen einen Anbieter von Arbeitnehmerversicherungen. USD gegen einen Anbieter von Arbeitnehmerversicherungen wegen Nichteinhaltung der GDPR-Datensicherheitsstandards, da Arbeitgeber auf die Gesundheitsdaten ihrer Angestellten zugreifen konnten, ohne eine Multi-Faktor-Authentifizierung anzuwenden.

Auch wenn diese noch nicht abgeschlossenen Fälle darauf hindeuten, dass unzureichende Datensicherheitsstandards ein wichtiger Auslöser für Ermittlungen und Sanktionen sind, zeigt eine Gesamtbetrachtung der Durchsetzungsmaßnahmen, dass Verstöße gegen fast alle Verpflichtungen der DSGVO geahndet wurden. Dazu gehören Verstöße wie das Fehlen einer Rechtsgrundlage für die Datenverarbeitung, unzureichende Datenschutzerklärungen, die Nichteinhaltung der Rechte der betroffenen Personen (z. B. das Recht auf Auskunft und das Recht auf Vergessenwerden) oder die Verpflichtung zur Meldung von Datenschutzverletzungen sowie Verstöße gegen die Grundsätze der DSGVO wie die Begrenzung der Datenaufbewahrungsfristen, Datenminimierung und Zweckbindung.

Die vom Europäischen Datenschutzausschuss veröffentlichten Daten zeigen, dass die nationalen Aufsichtsbehörden von Mai 2018 bis November 2019 insgesamt 275.557 Beschwerden erhalten und 785 Bußgelder verhängt haben. Laut einer Umfrage des Handelsblatts verhängten allein die verschiedenen Landesbehörden in Deutschland im Jahr 2019 in mindestens 187 Fällen Bußgelder.

Gibt es Bemühungen, die Bußgeldpraxis zu straffen?

Die deutschen und niederländischen Aufsichtsbehörden haben Konzepte für die Berechnung von Bußgeldern bei Verstößen gegen die DSGVO veröffentlicht, um die Durchsetzungspraxis innerhalb des in der DSGVO festgelegten Rahmens zu straffen (siehe oben, max. 10 mio. EUR / 2 % des Jahresumsatzes oder 20 mio. EUR / 4 % des Jahresumsatzes, je nach der jeweiligen Verpflichtung, gegen die mutmaßlich verstoßen wurde). Beide sind als Zwischenlösung gedacht, bis der EDSB endgültige und erschöpfende Leitlinien herausgibt, die in der gesamten EU anzuwenden sind.

Nachdem wir die Konzepte zusammengefasst haben, werden wir sie auf das Unternehmen Example, Inc. in der folgenden (vereinfachten) fiktiven Situation anwenden: Das Unternehmen hatte im letzten Geschäftsjahr einen Umsatz von 6 Mio. EUR. EUR und stützte sich bei bestimmten Datenverarbeitungsvorgängen auf eine Einwilligung, versäumte es aber fahrlässig, die Bedingungen für die Einholung einer gültigen Einwilligung gemäß Artikel 6 DSGVO zu erfüllen, was zu einer unrechtmäßigen Verwendung der personenbezogenen Daten von 2 000 Nutzern führte. Nach einer Aufforderung durch die zuständige Aufsichtsbehörde unternahm Example, Inc. große Anstrengungen, um die Mängel rasch zu beheben, und arbeitete eng mit den Behörden zusammen.

Das niederländische Bußgeldkonzept

In den Leitlinien der niederländischen Behörde (nur auf Niederländisch verfügbar) werden alle Verpflichtungen im Rahmen der DSGVO in vier Kategorien eingeteilt, und jeder Kategorie wird eine (a) Standard-Bußgeldbandbreite und (b) ein Standard-Bußgeld zugeordnet, das dem mittleren Wert der Standard-Bußgeldbandbreite entspricht. Folglich werden in dem Papier eine Reihe von Kriterien genannt, die bei der Entscheidung zu berücksichtigen sind, ob von der Standardstrafe innerhalb der Standardbußgeldspanne abgewichen werden muss. Diese Kriterien spiegeln die zu berücksichtigenden Aspekte nach Art. 83 Abs. 2 GDPR, die wir oben zusammengefasst haben.

Die Standardbußgelder der vier Kategorien betragen 100.000 EUR, 310.000 EUR, 525.000 EUR und 725.000 EUR. In Ausnahmefällen, wie z. B. bei wiederholten Verstößen (automatische Erhöhung um 50 %, wenn das Unternehmen in den letzten fünf Jahren für ähnliche Verstöße mit einer Geldstrafe belegt wurde) oder wenn die Strafe im Einzelfall unangemessen erscheint, kann die Behörde von der Skala abweichen und höhere Geldbußen bis zu den Höchstgrenzen verhängen.

Die Verstöße von Example, Inc. (Art. 6 GDPR) werden in Kategorie 3 mit einer Standardgeldbuße von 525.000 EUR eingestuft. Unter Berücksichtigung der Bemühungen des Unternehmens, die Folgen des Verstoßes abzumildern, und seiner Bereitschaft, mit den Behörden zusammenzuarbeiten, wird die Strafe innerhalb der Standard-Bußgeldspanne von 350.000 bis 830.000 EUR angepasst. Aufgrund der hohen Zahl der betroffenen Nutzer wird sie jedoch über der unteren Grenze liegen. Folglich kann Example, Inc. einen Bußgeldbescheid in einer Höhe zwischen 400.000 und 500.000 EUR erhalten.

Das deutsche Bußgeldkonzept

Das deutsche Bundesverwaltungsamt hat ebenfalls ein Konzept für die Berechnung von Bußgeldern erstellt (in englischer Sprache verfügbar), das in vielen Aspekten ähnlich ist, aber einen stärkeren Schwerpunkt auf die finanzielle Leistungsfähigkeit des Unternehmens legt, indem es den Umsatz des Unternehmens berücksichtigt. Die Bußgelder werden auf der Grundlage eines mehrstufigen Ansatzes berechnet:

• Auf der Grundlage des weltweiten Gesamtjahresumsatzes des vorangegangenen Geschäftsjahres wird das Unternehmen in eine der vier von der Behörde veröffentlichten Größenkategorien (unterteilt in 20 Unterkategorien) eingestuft. Beispiel: Inc. (Jahresumsatz von 6 Mio. Euro) fällt in Kategorie B.2.
• Der Mittelwert der Umsätze, die in diese Kategorie fallen, bildet die Grundlage für die weitere Berechnung der Geldbußen. Die Kategorie B.II umfasst Unternehmen mit einem Jahresumsatz zwischen 5 und 7,5 Mio. Euro (Mittelwert: 6,25 Mio. EUR). Beispiel, Inc. wird folglich so behandelt, als ob sein Jahresumsatz 6,25 Mio. Euro betragen würde.
• Der durchschnittliche Umsatz wird dann durch 360 (Tage) geteilt, um einen durchschnittlichen Tagessatz zu ermitteln. Für das Unternehmen Example, Inc. bedeutet dies einen Tagessatz von 17.361 EUR.
• Dieser Tagessatz wird mit einem Faktor multipliziert, der die Schwere der Tat widerspiegelt. Der betreffende Verstoß wird auf einer von zwei verschiedenen, von den Behörden veröffentlichten Skalen gemessen, je nachdem, ob die niedrigere (Skala 1) oder die höhere (Skala 2) Höchststrafe der DSGVO für die jeweilige Verpflichtung gilt. Vorbehaltlich einer normativen Bewertung anhand der Kriterien des Art. 83 Abs. 2 DSGVO, reicht die Skala von "leichten" bis zu "sehr schweren" Verstößen, die mit Faktoren von 1 bis über 12 bewertet werden. Die Nichteinhaltung von Art. 6 GDPR von Example, Inc. löst die Skala 2 aus. Wenn die Umstände des Einzelfalls (hohe Anzahl betroffener Personen und fahrlässiger Charakter der Tat vs. Wille zur Kooperation) es erlauben, den Verstoß als "mittel" einzustufen, könnte Faktor 6 angewendet und mit dem Tagessatz von 17.361 EUR multipliziert werden, was eine Strafe von 104.166 EUR ergibt.
• Erscheint das errechnete Bußgeld unter Berücksichtigung aller im vorangegangenen Schritt nicht berücksichtigten Umstände des Einzelfalls nicht angemessen, wird es entsprechend angepasst (z.B. wird eine lange Verfahrensdauer zu Gunsten des Verletzers berücksichtigt).

Gleiches Gesetz, unterschiedliche Sanktionen?

Der Vergleich der beiden Ansätze führt zu dem Ergebnis, dass Example, Inc. unter der Aufsicht der niederländischen Behörden viel stärker betroffen wäre. Dieses Ergebnis ist der Tatsache geschuldet, dass ihr Konzept den Umsatz des Unternehmens außer Acht lässt. Hätte Example, Inc. einen Umsatz von 30 Mio. statt von 6 Mio. EUR, würde das deutsche Konzept zu einer fast gleich hohen Belastung führen. EUR hätte, würde das deutsche Konzept fast zu demselben Betrag führen wie das niederländische.

Beide Konzepte deuten darauf hin, dass die Behörden die Höchstgrenzen für Bußgelder nach der Datenschutz-Grundverordnung nur bei schweren Verstößen ausschöpfen werden. Es sollte jedoch bedacht werden, dass sich mehrere Verstöße, die z. B. im Laufe einer umfangreichen Untersuchung aufgrund eines einzigen kleinen Vorfalls aufgedeckt werden, schnell zu schweren Strafen summieren können. Darüber hinaus lassen beide Konzepte den Behörden einen erheblichen Spielraum, um die Geldbußen im Einzelfall anzupassen.

Was ist in Zukunft zu erwarten?

Die Bereitschaft der Aufsichtsbehörden, Verstöße gegen die DSGVO mit Bußgeldern und Ordnungsverfügungen zu sanktionieren, hat 2019 zugenommen, und dieser Trend wird sich voraussichtlich fortsetzen. In der Vergangenheit wurden Untersuchungen vor allem durch Beschwerden und Anfragen betroffener Verbraucher ausgelöst. Die jüngsten Aktivitäten der Behörden zeigen jedoch, dass sie auch einen systematischeren Ansatz bei der Durchsetzung anstreben, indem sie "typische DSGVO-Verstöße" als Ausgangspunkt für eine umfassende Einführung von Sanktionen definieren.

Was die Geldbußen anbelangt, so könnten ergänzende Leitlinien des EDPB zur Berechnung der Höhe einer Geldbuße Unternehmen in die Lage versetzen, ein angemessenes Risikomanagement für ihre Datenschutzverpflichtungen durchzuführen. Zugegebenermaßen weiß niemand so recht, wann mit solchen Leitlinien zu rechnen ist. Auch werden nicht die Aufsichtsbehörden, sondern die Gerichte das letzte Wort über die Angemessenheit von Bußgeldern im Einzelfall haben, falls der Täter die Entscheidung der Durchsetzungsstelle anfechten sollte.