Datenschutzrechtlicher Handlungsbedarf: Berliner Aufsichtsbehörde verhängt Rekord-Bußgeld von 14,5 Mio. Euro
50.000 Euro gegen eine Online-Bank, rund 200.000 Euro gegen einen Lieferdienst und jüngst mit einem Betrag von 14,5 Millionen Euro das bisher höchste Bußgeld in Deutschland , gegen ein Unternehmen der Immobilienwirtschaft. Die Berliner Aufsichtsbehörde hat bisher in sehr unterschiedlichen Fällen die in Deutschland bislang höchsten Bußgelder wegen Verstößen gegen das Datenschutzrecht verhängt.
Nach öffentlich verfügbaren Informationen variieren nicht nur die Höhe der erlassenen Bußgelder stark, sondern auch die den Unternehmen vorgeworfenen Verstöße gegen datenschutzrechtliche Bestimmungen: So ging es inhaltlich um die Verarbeitung von Kundendaten auf „Schwarzen Listen“ über die Einhaltung von Betroffenenrechten bis hin zur Verwendung von Archivsystemen zur Speicherung von personenbezogenen Daten.
Im Folgenden beleuchten wir die Hintergründe des kürzlich verhängten Rekord-Bußgeldes und stellen sodann mit Blick auf die in letzter Zeit erkennbare Praxis der Aufsichtsbehörden den Handlungsbedarf für Unternehmen dar.
Die Entscheidung der Berliner Aufsichtsbehörde
Eine detaillierte inhaltliche rechtliche Auseinandersetzung mit dem Bußgeldbescheid ist derzeit ebenso wenig möglich wie eine abschließende Bewertung von dessen Inhalt. Denn die vollständige und mit einer fundierten Begründung versehene Bußgeldentscheidung liegt bislang nicht vor, weshalb nur eine auf die mit knappen Erläuterungen der Hintergründe versehene Pressemitteilung der Berliner Aufsichtsbehörde gestützte vorläufige Einschätzung möglich ist.
Aus der Pressemitteilung der Landesdatenschutzbeauftragten geht die Rechtsauffassung hervor, dass das betroffene Unternehmen Datenbestände gespeichert haben soll, ohne dass hierfür eine Rechtsgrundlage vorlag.
Nach Maßgabe der Pressemitteilung sei die Verhängung eines Bußgeldes wegen Verstößen gegen Art. 25 Abs. 1 DSGVO und Art. 5 DSGVO daher „zwingend“ gewesen. Die genannten Normen beinhalten Vorgaben zum Datenschutz durch technische Gestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1 DSGVO) sowie allgemeine Grundsätze zu den Anforderungen an Datenverarbeitungen (Art. 5 DSGVO).
Beide Normen zeichnen sich durch die Verwendung unbestimmter Rechtsbegriffe aus, die – anders als „harte Vorgaben“ der DSGVO wie beispielsweise die Pflicht zur Führung von Verarbeitungsverzeichnissen oder die Benennung von Datenschutzbeauftragten – im Einzelfall durch Gerichte auszulegen sind.
Das betroffene Unternehmen hat angekündigt, sich gegen die erhobenen und als Grundlage für die Entscheidung verwendeten Vorwürfe verteidigen und diese gerichtlich überprüfen lassen zu wollen, siehe Pressemitteilung.
Für den Fall, dass es tatsächlich zu einer gerichtlichen Überprüfung kommt, ist zu erwarten, dass sich das zur Entscheidung berufene Gericht mit zwei Fragestellungen auseinandersetzen wird: Nämlich zum einen, ob die personenbezogenen Daten ohne Rechtsgrundlage gespeichert wurden oder es möglicherweise doch Aufbewahrungspflichten gab, die die Speicherung rechtfertigten. Zum anderen, ob und gegebenenfalls inwieweit Verstöße auf Basis unbestimmter Rechtsbegriffe, wie sie in Art. 5 und Art. 25 Abs. 1 DSGVO enthalten sind, überhaupt tauglicher Gegenstand von Bußgeldentscheidungen sein können.
Interessant wäre es überdies, wenn sich das zur Entscheidung berufene Gericht mit der Aussage der Aufsichtsbehörde befassen würde, dass bußgeldmindernd zu berücksichtigen ist, dass keine missbräuchlichen Zugriffe auf die Archivsysteme nachweisbar gewesen seien. Diese Aussage der Aufsichtsbehörde könnte nämlich dahin verstanden werden, dass ein besonderer Fokus auf den technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) zum Schutz vor unbefugten Zugriffen liegt. Sollte dem so sein, dürften zwei (weitere) Aspekte interessant werden: Erstens wird man sich fragen dürfen, ob die Aufsichtsbehörde bestimmten Regelungsbereichen wie z. B. den technischen und organisatorischen Maßnahmen ein besonders hohes Gewicht beimessen darf und ob bei Vor-Ort-Kontrollen die Verstöße in einer bestimmten Rangfolge gewichtet werden können. Spiegelbildlich wird es dogmatisch interessant sein zu erfahren, warum die Aufsichtsbehörde bei Ausübung ihres Ermessens das Nicht-Vorliegen bestimmter Verstöße bußgeldmildernd berücksichtigt.
Erkennbare Praxis der Aufsichtsbehörden
Im Hinblick auf die bisher erkennbare Praxis der Aufsichtsbehörden sowie das am 16.10.2019 veröffentlichte Konzept der Datenschutzkonferenz zur Berechnung von Bußgeldern ergeben sich die nachstehend umschriebenen ersten Erkenntnisse für die weitere Entwicklung und künftige Praxis.
1. Erkenntnis: Datenschutz ist nicht mehr nur „best practice“
Die „DSGVO-Warmlaufphase“ ist vorbei. Zeiten, in denen Betroffene und Aufsichtsbehörden wohlwollend „Kulanz“ walten ließen, gehören der Vergangenheit an.
Aktuell befinden wir uns in einem Stadium, das man als „Übergangsphase“ bezeichnen kann: Es ist deutlich erkennbar, dass die Beachtung grundlegender Vorgaben des Datenschutzrechts zunehmend als Selbstverständlichkeit angesehen wird, insbesondere bei zentralen Datenschutzthemen wie Betroffenenrechte oder Löschung.
Folglich gehen auch die Aufsichtsbehörden zunehmend zu systematischen Prüfungen diverser Branchen und datenschutzrechtlich relevanter Themenbereiche über.
Zugleich ist jedoch erkennbar, dass die Aufsichtsbehörden bei festgestellten Mängeln im Regelfall nicht sofort „hart durchgreifen“. Bei allen vorstehend beschriebenen Sachverhalten, die Bußgelder nach sich gezogen haben, hatten die Aufsichtsbehörden zunächst mit durchaus beträchtlicher Vorlaufzeit geprüft, beanstandet und dann Empfehlungen zur Abstellung der ermittelten datenschutzrechtlichen Missstände ausgesprochen. Dabei wurde – soweit ersichtlich – jeweils ein durchaus kooperativer Ansatz verfolgt. Erst als seitens der Verantwortlichen über längere Zeiträume keine Maßnahme getroffen worden waren, ergingen die Bußgeldbescheide. Dieses stufenweise Vorgehen der Aufsichtsbehörden ist – in gewissem Maße – als Ausfluss des Gebotes der Verhältnismäßigkeit des Exekutivhandelns durchaus im Gesetz angelegt und in der Praxis auch angezeigt.
Allerdings ist es gut vorstellbar, dass auch die nunmehr eingeleitete „Übergangsphase“ nicht allzu lange andauern wird. Es dürfte davon auszugehen sein, dass die weitere Entwicklung darin mündet, dass Aufsichtsbehörden jedenfalls bei gravierenden Verstößen zunehmend weniger das Gespräch mit den Verantwortlichen suchen und – auch aus Abschreckungsgründen – schneller „durchgreifen“ und Bußgelder verhängen.
2. Erkenntnis: Hinweise der Aufsichtsbehörden als Hilfestellung nutzen
Nimmt man den Fall des jüngst verhängten Rekordbußgeldes als Beispiel, wird schnell deutlich: Die Aufsichtsbehörden mögen (noch) Vor-Ort-Prüfungen durchführen und den Unternehmen dann in gewissem Maße aufbereiten, welche Mängel zu beheben sind. Diese „Hausaufgaben“ sollten alle datenverarbeitenden Unternehmen dann auch gründlich analysieren. Zwar sollten seitens der Aufsichtsbehörden geäußerte Rechtsauffassungen nicht dazu führen, dass Unternehmen unreflektiert Maßnahmen ergreifen, um die monierten Missstände abzustellen. Dies gilt in besonderem Maße, wenn sich nach Rücksprache mit Datenschutzexperten herausstellt, dass die Rechtslage im Streitfall von den zur Entscheidung berufenen Gerichten durchaus anders bewertet werden könnte.
Gleichwohl gilt: Die Hinweise der Aufsichtsbehörden sollten jedenfalls als Anlass für die Überprüfung der Datenverarbeitung genommen werden - und in diesem Zusammenhang kann es durchaus sinnvoll sein, sich bei Bedarf weiter mit den Aufsichtsbehörden abzustimmen. Dies gilt umso mehr, wenn die Aufsichtsbehörde – wie im jüngsten Bußgeld-Fall – zu verstehen gibt, dass sie von einer bewussten Missachtung datenschutzrechtlicher Grundsätze ausgeht.
3. Erkenntnis: Unternehmen haben Einflussmöglichkeiten auf die Bemessung des Bußgeldes
Schließlich ist deutlich erkennbar, dass sich die Aufsichtsbehörden zukünftig an das von der Datenschutzkonferenz entwickelte und verabschiedete Konzept zur Bemessung von Bußgeldern halten werden und sich insofern eine systematische Sanktionspraxis entwickeln wird.
Auf der Grundlage des DSK-Konzeptes werden schematisch anhand von fünf Parametern (Unternehmensgröße, Jahresumsatz, Tagessätze, Schweregrad und Anpassung bei Vorliegen entlastender Umstände) Bußgelder errechnet.
Für den Fall, dass ein Verstoß identifiziert wird und gegebenenfalls gar eine Bebußung droht, sollten Unternehmen grundsätzlich mit den Aufsichtsbehörden kooperieren und dabei besonderes Augenmerk auf die Einflussmöglichkeiten bei entlastenden Faktoren legen. Im Falle des jüngst verhängten Bußgeldes wurde ausweislich der Pressemitteilung insbesondere bußgeldmildernd berücksichtigt, dass (wenigstens) erste Maßnahmen mit dem Ziel der Beseitigung der festgestellten Verstöße getroffen worden waren. Damit derlei Umstände „im Ernstfall“ tatsächlich zu Gunsten des Bußgeldadressaten berücksichtigt werden können, sollten Unternehmen eingeleitete Maßnahmen fortlaufend dokumentieren. Aus den bisherigen Fällen wird ersichtlich, dass schon dokumentierte Bemühungen zur Abstellung struktureller Organisationsprobleme zu Gunsten des Unternehmens wirken können.
Eine weitere bußgeldmildernde „Stellschraube“ im jüngsten Fall war die „formal gute Zusammenarbeit“ mit der Aufsichtsbehörde. Dies darf dahin verstanden werden, dass eine gute Kooperation mit der Aufsichtsbehörde unabhängig von der inhaltlichen Bewertung oder Behebung der Verstöße dazu führen kann, dass Bußgelder niedriger ausfallen.
Es ist daher empfehlenswert, eine konstante Kommunikation mit der Aufsichtsbehörde zu gewährleisten und im Einzelfall die Kommunikation so zu gestalten, dass diese nicht in – für den konkreten Vorwurf sogar möglicherweise irrelevante – datenschutzrechtliche Grundsatzdiskussionen mündet.
In jedem Fall sollte hierzu fachlicher Rat und erforderlichenfalls anwaltlicher Beistand gesucht werden.
Fazit
Unternehmen sollten die aktuelle Entscheidung der Berliner Aufsichtsbehörde zum Anlass nehmen, zentrale Datenschutzthemen (z. B. Bestimmung der Rechtsgrundlagen für Datenverarbeitungen, Umsetzung von Löschkonzepten, Umgang mit Betroffenenanfragen und das Management von Datenschutz-Dokumenten wie Verfahrensverzeichnissen und Auftragsverarbeitungsverträgen) nochmals zu prüfen.
Zwar lassen sich aus den Pressemitteilungen zu dem jüngst veröffentlichten Bußgeld nicht unmittelbar rechtliche Klarstellungen, beispielsweise zum Umgang mit „Altlasten“ in Archivsystemen, ableiten. In strategischer Hinsicht ist es Unternehmen jedoch anzuraten, sich auf eine neue Phase der Praxis der Aufsichtsbehörden einzustellen. Hierzu zählt insbesondere das Gebot, etwa im Falle von Untersuchungen durch die Aufsichtsbehörde festgestellten Mängeln gründlich nachzugehen und durch kooperatives Verhalten dazu beizutragen, dass ein Bußgeld zu Gunsten des Unternehmens möglicherweise niedriger bemessen werden kann.