News

Deutsche Daten­schutz­behörden verschärfen Maß­nahmen zur Durch­setzung der DS-GVO

12.11.2019

Neues Konzept zur Bußgeldzumessung

Bekanntermaßen hat die Datenschutz-Grundverordnung (DS-GVO) den Rahmen möglicher Sanktionen für Datenschutzverstöße im Vergleich zur früheren Rechtslage drastisch angehoben. Bei Nichtbefolgung datenschutzrechtlicher Anforderungen können Datenschutzbehörden Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen, je nachdem, welcher der Beträge höher ist.

Schon vergangenes Jahr haben die europäischen Datenschutzbehörden erste Leitlinien zur Anwendung und Festsetzung von Bußgeldern unter der DS-GVO verfasst. Die die deutschen Datenschutzbehörden haben nun kürzlich ein konkretes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht.

Primärer Anknüpfungspunkt für die Bemessung von Geldbußen nach dem neuen Konzept der deutschen Datenschutzbehörden ist der weltweit erzielte Vorjahresumsatz betroffener Unternehmen, aus dem sich mathematisch ein wirtschaftlicher Grundwert für die Bußgeldzumessung errechnen lässt. Selbst bei leichteren Verstößen errechnen sich hiernach je nach Jahresumsatz bereits drastische Ausgangswerte. Diese können durch Multiplikation mit bestimmten Faktoren zu geradezu drakonischen Bußgeldern anwachsen. Ob die Berechnungsmethodik der deutschen Behörden einer gerichtlichen Überprüfung standhält oder sich auf europäischer Ebene durchsetzen wird, bleibt abzuwarten.

Verschärfung der Bußgeldpraxis

Zwar übten sich die deutschen Datenschutzbehörden bei der Verhängung von Bußgeldern für Datenschutzverletzungen bislang noch in Zurückhaltung. Das erste deutsche Bußgeld, das die Baden-württembergische Datenschutzbehörde (LfDI BW) im September 2018 in Höhe von 20.000 Euro gegen den baden-württembergischen Social-Media-Anbieter Knuddels verhängt hatte, ließ noch auf eine vergleichsweise sanfte Sanktionierung hoffen.

Aufhorchen lässt demgegenüber nun die Verhängung eines Bußgeldes durch die Berliner Datenschutzbehörde (BlnDI) in Höhe von 14,5 Mio. Euro gegen die die Deutsche Wohnen SE. Die Berliner Behörde hielt nach eigenen Angaben wegen struktureller Verstöße im Ergebnis ein Bußgeld im „mittleren Bereich“ des vorgegebenen Bußgeldrahmens für angemessen.

Ob Bußgelder in Millionenhöhe in Deutschland weiterhin Ausnahmefälle bleiben werden oder nur einen ersten Vorgeschmack auf die zukünftige Bußgeldpraxis der deutschen Datenschutzbehörden geben, steht in den Sternen. Dem kürzlich veröffentlichten Bußgeldkonzept dürfte eine gewisse Signalwirkung jedoch nicht abzusprechen sein.

Rechenschaftspflicht als Anknüpfungspunkt behördlicher Prüfungs- und Sanktionspraxis

In der Prüfungs- und Sanktionspraxis der Behörden ist außerdem die Tendenz zu beobachten, dass die Behörden gezielt die Einhaltung der Rechenschaftspflicht („Accountability“) im Unternehmen in den Fokus nehmen.

Die datenschutzrechtliche „Accountability“ verpflichtet Unternehmen dazu, datenschutzrechtliche Anforderungen nicht nur einzuhalten, sondern die Einhaltung durch geeignete Dokumentation auch im Einzelnen nachweisen zu können. Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu beispielsweise einen exemplarischen Muster-Prüfkatalog zur Rechenschaftspflicht bei (Groß-) Konzernen und datengetriebenen Unternehmen veröffentlicht.

Um der Rechenschaftspflicht gerecht zu werden, bedarf es neben einem lückenlosen Verarbeitungsverzeichnis insbesondere einer effektiven Datenschutz-Governance. Rückgrat einer robusten Aufbau- und Ablauforganisation im Unternehmen ist ein solides Datenschutzkonzept auf der Basis klarer und praxisgerechter Leit- und Richtlinien zum Datenschutz. Durch organisatorische Regelungen sind insbesondere die datenschutzkonforme Verarbeitung personenbezogener Daten, der ordnungsgemäße Umgang mit Anfragen betroffener Personen sowie mit Datenschutzvorfällen sicherzustellen. Strukturen und -Prozesse für den Datenschutz im Unternehmen gilt es durch regelmäßige Prüfungen im Sinne eines kontinuierlichen Prozesszyklus zu bewerten und zu verbessern. Mitarbeiter sollten durch gezielte Trainings geschult und sensibilisiert werden. Die zum Nachweis der Einhaltung datenschutzrechtlicher Anforderungen erforderliche Datenschutz-Dokumentation bedarf fortwährender Pflege und Aktualisierung.

Gerne unterstützen wir Sie auch bei der Implementierung, Überprüfung und Verbesserung der Datenschutz-Governance im Unternehmen.


Kontakt

Daniel Rücker
Daniel Rücker+49 89 28628457
Sebastian Dienst
Sebastian Dienst+49 89 28628457

Datenschutz
Digital Business
Cyber Risks
IT & Outsourcing
Compliance & Interne Untersuchungen

Share

Alle anzeigen

Insights

LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024
balloon sky
News

EGMR entscheidet über drei „Klimaklagen“ – wegweisender Erfolg für zukünftige Klimaschutzklagen?

16.04.2024
car trails lights
News

Ein neuer verbindlicher Rechts­rahmen für die Lade­infrastruktur in Europa – EU-weites Inkrafttreten der AFIR und Veröffentlichung der Q&A durch die EU-Kommission

16.04.2024
binoculars sun with pulse
News

Russland-Sanktionen:­ Reporting­pflichten für EU-Banken konkretisiert

16.04.2024
Hand berührt LED-Wandbildschirm
News

Data Compliance Governance

16.04.2024
abstraktes Textilmuster
News

Rabatte und Boni wieder auf der Agenda der Kartell­behörden

15.04.2024