Stefan Brink

Bußgeldrahmen nach der DS-GVO: "Mit Zuckerbrot und Peitsche"


Dr. Stefan Brink ist Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg und Mitglied des Wissenschaftsbeirats der ZD.

ZD 2019, 141   Das Inkrafttreten der DS-GVO hat vielerorts zunächst Panik ausgelöst. Nach dem 25.5.2018 aber drehte sich die Welt weiter - wesentliche datenschutzrechtliche Anforderungen hatten sich im Vergleich zu den zuvor bereits geltenden Regelungen gar nicht besonders geändert. Was sich aber merklich änderte, sind die Bußgeldrahmen - und sie sorgten in den Medien, der breiten Bevölkerung und besonders bei Unternehmen für Aufsehen. Denn die neuen Sanktionsmöglichkeiten orientieren sich eindeutig am europäischen Kartellrecht. Und das ist heftig.

Nach altem BDSG waren Bußgelder „nur” von bis zu  300.000,- möglich. Mit der DS-GVO wurde ein Bußgeldrahmen von bis zu  20 Mio. oder 4% des weltweit erzielten Jahresumsatzes gesetzt - je nachdem, welcher Wert der höhere ist. Eine wirklich eindeutige Ansage zum Datenschutz nach Brüsseler Verständnis.

Mit der Anwendung des neuen Bußgeldrahmens haben wir Aufsichtsbehörden in Baden-Württemberg und europaweit im vergangenen Jahr die ersten Erfahrungen gesammelt, getreu der einschlägigen Bußgeldvorschrift des Art. 83 Abs. 1 Satz 1 DS-GVO, wonach das Bußgeld wirksam, verhältnismäßig und abschreckend sein soll.

Für dessen Bemessung sind im Einzelfall neben Kriterien wie Art, Schwere und Dauer des Verstoßes, Grad der Vorsätzlichkeit und eventuelle frühere Verstöße insbesondere die getroffenen Schadensminderungsmaßnahmen und der Umfang der Zusammenarbeit mit der Aufsichtsbehörde maßgeblich.

Und damit sind wir auch schon beim Kernpunkt der deutschen Praxis angelangt.

Deutsche Aufsichtsbehörden agieren in ihrer Tradition tendenziell unternehmensfreundlich. Das bedeutet nicht, dass Unternehmen bei Datenschutzverstößen von den Aufsichtsbehörden gegenüber der Härte des Gesetzes protegiert werden. In unserem Selbstverständnis steht vielmehr die Beratung sowohl der Betroffenen als auch der Verantwortlichen im Vordergrund. Und das aus einem einfachen Grund: Wenn ein verantwortliches Unternehmen kooperativ mit uns zusammenarbeitet und merklich seine künftige Datenschutzpraxis verbessert, ist allen Beteiligten wesentlich mehr geholfen als mit einem dicken Bußgeldbescheid. Erst wenn die Beratungen scheitern oder das Unternehmen sich nach einem Vorfall als beratungsresistent erweist und die unzulässige Praxis fortsetzt, wird ein spürbares Bußgeld unvermeidlich.

Sind wir deshalb „gnadenlose Datenschützer”? Sicherlich nicht.

Worin liegt aber der entscheidende Faktor, der eine Behörde zur Verhängung eines niedrigen oder hohen Bußgelds bewegt? Ich erläutere dies gerne anhand unseres ersten Bußgeldfalls nach DS-GVO in Baden-Württemberg.

Im November 2018 haben wir wegen eines Verstoßes gegen die Bestimmungen der Datensicherheit eine Geldbuße von  20.000,- gegen einen baden-württembergischen Social Media-Anbieter verhängt und - in konstruktiver Zusammenarbeit mit dem Unternehmen - für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt. Das Unternehmen hatte sich zwei Monate zuvor mit einer Datenpannenmeldung bei uns gemeldet, nachdem es bemerkt hatte, dass durch einen Hackerangriff personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht worden waren. Kein kleiner Fall ...

Seine Nutzer informierte das Unternehmen DS-GVO-konform unverzüglich und umfassend über den Hackerangriff. Uns als Aufsichtsbehörde wurden in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offengelegt. Wir konnten hierdurch feststellen, dass das Unternehmen die Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht) gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters” zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem begrüßenswerten Ziel, die Nutzer besser zu schützen.

Wie reagierte das Unternehmen nun auf die Datenpanne? Innerhalb weniger Wochen wurden unternehmsintern weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur umgesetzt und die Sicherung der Nutzerdaten auf den aktuellen Stand der Technik gebracht. Innerhalb des Bußgeldrahmens gem. Art. 83 Abs. 4 DS-GVO sprach zudem die sehr gute Kooperation mit meiner Behörde zu Gunsten des Unternehmens. Seine Transparenz war ebenso beispielhaft wie die Bereitschaft, unsere Vorgaben und Empfehlungen umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social Media-Dienstes deutlich verbessert und ausgebaut werden.

Bußgelder sollen nicht nur wirksam und abschreckend sein, sondern auch verhältnismäßig. Wer als deutsches Unternehmen aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann aus einem Hackerangriff sogar gestärkt hervorgehen. So einfach - und zugleich so anspruchsvoll - kann eine sinnvolle Strategie im Umgang mit Datenschutzverstößen aussehen!

Aufsichtsbehörden kommt es zudem nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer. Kooperation mit der Aufsicht kann also die Folgen von Fehlern glimpflich gestalten. Die Devise bei den Aufsichtsbehörden lautet daher eher „Zuckerbrot und Peitsche” - und nicht „Datenschützer gnadenlos”.

Andere europäische Aufsichtsbehörden sehen das allerdings nicht unbedingt genau so.

Die Datenschutzbehörde in Portugal z.B. verhängte schon 2018 wegen eines DS-GVO-Verstoßes eine Geldstrafe i.H.v.  400.000,- gegen ein Krankenhaus, weil zu viele Personen Zugriff auf Patientendaten hatten - ein sehr massives Bußgeld.

Und erst kürzlich hat die französische Aufsichtsbehörde (Commission Nationale de l'Informatique et des Libertés - CNIL) ein Bußgeld verhängt, das seinesgleichen sucht. Gegen den Weltkonzern Google hat sie eine Geldstrafe i.H.v. sage und schreibe  50 Mio. verhängt. Auf Grundlage von stichtaggerecht eingereichten Beschwerden hatte die CNIL einen Verstoß von Google gegen Transparenz- und Informationspflichten festgestellt. Wesentliche Informationen seien auf verschiedene Dokumente verteilt und daher erst nach mehreren Schritten zugänglich gemacht worden, stellte die CNIL fest. Der Nutzer sei daher nicht in der Lage, das Ausmaß der Verarbeitungsvorgänge vollständig zu verstehen, die Vorgänge seien „massiv” und „aufdringlich”.

Den zweiten massiven Datenschutzverstoß fand die CNIL in der fehlenden Einwilligung zu personalisierten Anzeigen. Die allgemeine Zustimmung bei Anmeldung eines Google-Accounts könne nicht als Zustimmung für alle zugehörigen Dienste gelten. Sie sei weder „spezifisch” noch „eindeutig”. Die Schwere der festgestellten Verstöße „gegen die wesentlichen Grundsätze der DSGVO: Transparenz, Information und Zustimmung” und die Tatsache, dass die Rechtsverletzungen noch andauerten, bewegten die CNIL zur exorbitanten Bußgeldhöhe - und zur Veröffentlichung der Entscheidung. Getreu dem Motto: Erst naming, dann blaming, dann shaming.

So berechtigt die erhobenen Vorwürfe auch sein mögen - diese Entscheidung erweckt doch eher den Eindruck eines Exempels; und dass die CNIL über diese öffentlichkeitswirksame Entscheidung nicht gerade traurig war.

Ziel des Gesetzgebers der DS-GVO dürfte weder das eine noch das andere gewesen sein; ihm ging es darum, den Datenschutz voranzutreiben. Und da hilft bloßes Abstrafen nicht weiter. Hier wird auch deutlich, wie unterschiedlich die europäischen Aufsichtsbehörden (noch) „ticken”.

Was bedeutet das? Nun, es gibt viel zu tun für den Europäischen Datenschutzausschuss (EDSA), dem gerade die Einheitlichkeit der Rechtsanwendung in Europa anvertraut ist. Den Aufsichtsbehörden steht zwar ein gewisser Ermessensspielraum zu, insbesondere hinsichtlich der Gewichtung der katalogisierten Kriterien sowie der Bestimmung der Bußgeldhöhe im Einzelnen. Aber die Aufsichtsbehörden haben kein unbegrenztes Ermessen. Vielmehr haben sie die allgemeinen Rechtsgrundsätze der Union zu beachten, also auch den Grundsatz der Gleichbehandlung. Hieraus ergibt sich das Gebot, auch bei der Anwendung der DS-GVO eine gleichmäßige Verwaltungspraxis bei der Verhängung von Bußgeldern zu etablieren, damit gleichartigen Fällen im gesamten Wirkungsgebiet auf vergleichbare Weise begegnet wird.

Nach Art. 70 Abs. 1 lit. k DS-GVO gehört die Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen deshalb zu den Aufgaben des EDSA. Diese werden, vergleichbar mit den Leitlinien der Kommission für Bußgelder im Kartellrecht, quasi-normative Bedeutung erlangen, sodass Abweichungen justiziabel sein werden. Und das ist auch gut so! Denn ein gewisses Maß an Vereinheitlichung wird notwendig sein, um dem einheitlichen Regelwerk DS-GVO auch in seinem gesamten Geltungsbereich gerecht werden und die rechtmäßige Ausführung garantieren zu können.

Immerhin ist es erklärtes Ziel der DS-GVO, mit ihrem einheitlichen Ansatz einen verbindlichen Rechtsrahmen für alle Unternehmen zu schaffen, die ihren Hauptsitz in der EU haben. Das Marktortprinzip des Art. 3 DS-GVO soll dabei Garant für eine gleichartige Anwendung und damit gleiche rechtliche Verpflichtungen und Bedingungen innerhalb und außerhalb der EU sein. Guter Datenschutz im deutschen Unternehmen wird so nicht länger zum Wettbewerbsnachteil.

Auch hier gilt also: Gerade die verschärften Möglichkeiten zu Sanktionen sorgen für mehr Wettbewerbsgleichheit.

In Baden-Württemberg hat sich die Idee von Beratung und Kooperation, gepaart mit angemessenen Sanktionen bislang durchaus bewährt. Uns ist es lieber, das verantwortliche Unternehmen investiert in den Ausbau seiner Datensicherheit und trägt ein maßvolles Bußgeld davon, als dass sich die Staatskassen mit Sanktionsgeldern füllen. Bleibt zu hoffen, dass sich dieser Ansatz auch auf europäischer Ebene etabliert.