Bislang spielt die Möglichkeit, Bußgelder wegen der Verletzung von Datenschutzvorschriften zu verhängen (vgl. § 43 BDSG), in der Praxis der Aufsichtsbehörden eine nachgeordnete Rolle. Wer es als Unternehmen nicht geradezu darauf anlegt, datenschutzwidrige Geschäftsmodelle trotz Hinweis und Abmahnung durch die Landesdatenschutzbeauftragten fortzuführen, der wird nur ausnahmsweise in den „Genuss“ eines Bußgeldbescheids kommen.
Auch der Bußgeldrahmen von 50.000 bis 300.000 Euro (§ 43 Abs. 3 BDSG) war bislang kalkulierbar und blieb regelmäßig unausgeschöpft – Millionenstrafen wie gegen die Bahn oder den privaten Krankenversicherer Debeka blieben die seltene Ausnahme.
Das ändert sich jetzt. Unter den zahlreichen Änderungen der Rechtslage, die die EU-DSGVO mit sich bringt, ist das neue Sanktionsregime (Art. 83) sicherlich die eindrücklichste:
Exorbitante Bußgelder erwarten die Verantwortlichen, die sich nicht mehr allein an einem festen Rahmen von bis zu 10 Mio. Euro (Art. 83 Abs. 4) bzw. 20 Mio. Euro (Art. 83 Abs. 5) orientieren, sondern – nach dem Vorbild der europäischen Wettbewerbsstrafen – bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.
Verschärfend wirkt auch, dass solche drakonischen Strafen schon an vergleichsweise überschaubare Rechtsverstöße geknüpft sind, etwa an die verspätete Meldung einer Datenpanne oder eine Falschauskunft an den Betroffenen. Da zudem die Sanktionen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ (Art. 83 Abs. 1) sein sollen, wird man künftig von einer Ausschöpfung dieses Rahmen ausgehen müssen.
Hier geht es zum Kongress-Programm
Ein weiterer Aspekt wird für die Bußgeldpraxis in Deutschland und Europa eine wesentliche Rolle spielen: Bislang lag es in der Hand der unabhängigen deutschen Aufsichtsbehörden, ob und in welchem Umfang verantwortliche Stellen bei Datenschutzverstößen mit einer Sanktionierung zu rechnen hatten – und die staatlichen Datenschutzbeauftragten haben von dieser Befugnis bislang mit viel Augenmaß Gebrauch gemacht. Unter der Ägide der EU-DSGVO wird die Entscheidung über die Angemessenheit einer Verhängung von Bußgeldern den örtlichen Aufsichtsbehörden aus der Hand genommen und im Ergebnis dem Europäischen Datenschutzausschuss anvertraut, assistiert von den Betroffenen und weiteren Aufsichtsbehörden, die maßgeblichen Einfluss gewinnen. In Zukunft wird es also weit weniger auf das Augenmaß des zuständigen Landesbeauftragten ankommen, sondern auf den Durchsetzungswillen des für die Vollzugspraxis maßgeblichen Europäischen Datenschutzausschusses und auf den Verfolgungswillen der übrigen europäischen Aufsichtsbehörden.
Innerhalb dieses neuen Rechts- und Vollzugsrahmens verändern sich damit die wesentlichen Orientierungspunkte so grundlegend, dass jetzt die Frage zu beantworten ist: Wie sollen Unternehmen hier reagieren, worauf sollen sie sich ab Mai 2018 einstellen?
