Gratis
23. August 2018 - Fakten-Check zur Datenschutz-Grundverordnung

DSGVO: Geldbußen, Geldstrafen & Bußgelder

Drucken

Die „enormen Geldbußen“ der DSGVO sind überall ein Thema. Echte Fakten, Halbwahrheiten und unsinnige Gerüchte mischen sich auf kaum zu entwirrende Weise. Hier finden Sie daher Antworten auf häufige Fragen.

Fakten-Check DSGVO zu den Geldbußen Zu den Geldbußen der DSGVO tauchen derzeit viele Fragen auf. Der Fakten-Check klärt auf. (Bild: iStock.com / NiroDesign)

Zu den Geldbußen der Datenschutz-Grundverordnung (DSGVO) tauchen in der Praxis viele Unsicherheiten auf. Die Verwirrung ist dabei oft groß. Das betrifft v.a. die im Folgenden vorgestellten Bereiche.

Sanktionen im Datenschutzrecht

Frage: Welche Sanktionen für Verstöße gibt es speziell im Datenschutzrecht?

Antwort: Im Mittelpunkt stehen die Geldbußen gemäß Art. 83 Abs. 4 und 5 DSGVO. Diese beiden Absätze enthalten die Tatbestände, die zu Geldbußen führen können. Verhängen kann solche Geldbußen nur die jeweils zuständige Aufsichtsbehörde.

„Geldbuße“ und nicht „Bußgeld“ ist der korrekte Begriff bei Art. 83 DSGVO. Um Missverständnisse zu vermeiden, sollte man ihn möglichst exakt verwenden.

Geldstrafen können nur verhängt werden, wenn eine Straftat vorliegt. „Datenschutz-Straftaten“ sind in § 42 Absätze 1 und 2 Bundesdatenschutzgesetz (BDSG) geregelt. Liegen sie vor, ist sogar eine Freiheitsstrafe möglich oder als mildere Sanktion eine Geldstrafe.

§ 42 BDSG gibt es deshalb, weil Art. 84 Abs. 1 DSGVO die Mitgliedstaaten der EU dazu verpflichtet, ergänzende Sanktionen neben Art. 83 DSGVO vorzusehen.

„Bußgelder“ für Datenschutzverstöße kennen DSGVO und BDSG nicht. So bezeichnete „Bußgeldvorschriften“ sind zwar in § 43 Absatz 1 BDSG enthalten.

Genau besehen haben sie aber mit dem Datenschutz überhaupt nichts zu tun. Sie betreffen lediglich Verstöße gegen bestimmte Pflichten im Zusammenhang mit Kreditverträgen für Verbraucher.

Diese Pflichten sind in § 30 Absätze 1 und 2 BDSG geregelt. Sie haben aber ebenfalls keinen Bezug zum Datenschutz.

Weitere Sanktionen

Frage: Gibt es daneben noch weitere Regelungen, die Sanktionen vorsehen?

Antwort: Für spezielle Bereiche ja. Beispiele dafür sind etwa die folgenden:

  • Ein Arzt, der Patientendaten im Bekanntenkreis ausplaudert, hat die ärztliche Schweigepflicht verletzt (geregelt in § 203 Strafgesetzbuch – StGB).
  • Ein Behördenmitarbeiter, der dienstliche Daten unberechtigt weitergibt, kann wegen Verletzung des Dienstgeheimnisses bestraft werden (§ 353 StGB).

Solche Vorschriften haben einen engen Bezug zum Schutz personenbezogener Daten. Sie gelten neben der DSGVO.

Mögliche Adressaten von DSGVO-Geldbußen

Frage: Gegen wen können Geldbußen nach Art. 83 DSGVO verhängt werden?

Antwort: Ausschließlich gegenüber einem „Verantwortlichen“. Dieser Begriff löst oft große Verwirrung aus.

Gemeint ist damit der „Verantwortliche“ gemäß Art. 4 Nr. 7 DSGVO. Bei einem Unternehmen ist dies das Unternehmen selbst, nicht der einzelne Mitarbeiter. Geldbußen gegen einen einzelnen Mitarbeiter sind nach Art. 83 DSGVO nicht möglich.

Dagegen wird oft eingewandt, dass Art. 4 Nr. 7 DSGVO ausdrücklich auch „natürliche Personen“ als Verantwortliche ansieht. Mitarbeiter werden dadurch aber nicht selbst zum Verantwortlichen.

Gedacht ist vielmehr an den Fall, dass eine natürliche Person Inhaber eines Unternehmens ist. Dann ist sie selbstverständlich auch Verantwortlicher.

Meldung von Datenschutzverletzungen

Frage: Ein Unternehmen meldet der Aufsichtsbehörde pflichtgemäß eine Verletzung des Schutzes personenbezogener Daten (Art. 33 DSGVO). Darf die Aufsichtsbehörde diese Angaben verwenden, um eine Geldbuße zu verhängen?

Antwort: Die Aufsichtsbehörde darf die Angaben aus einer solchen Meldung nicht dafür verwenden; eine Ausnahme gilt nur, wenn der Meldepflichtige zustimmt. So regelt es § 42 Abs. 3 DSGVO. So gesehen scheint die Meldung einer Schutzverletzung kein Sanktionsrisiko nach sich zu ziehen.

Doch Vorsicht: Eine Meldung kann Anlass dafür sein, dass die Aufsichtsbehörde eigene Ermittlungen anstellt. Dabei könnte sie dann Mitarbeiter oder andere Personen als Zeugen befragen. Und deren Angaben dürfen sehr wohl Verwendung finden. Die gesetzliche Regel heißt eben gerade nicht: Meldet ein Verantwortlicher einen Datenschutzverstoß, darf die Aufsicht keine Geldbuße mehr verhängen.

Für die Praxis gilt daher der dringende Ratschlag: Muss ein Unternehmen eine Datenschutzverletzung melden, die einen Tatbestand nach Art. 83 Absätze 3 und 4 oder sogar den Tatbestand einer Straftat erfüllen könnte, ist unbedingt juristischer Rat einzuholen!

„Freischuss“ für erstmalige Verstöße?

Frage: Stimmt es, dass die Aufsichtsbehörden keine Geldbuße verhängen, wenn ein Verantwortlicher erstmalig unbeabsichtigt gegen die DSGVO verstößt („Freischuss“)?

Antwort: Nein, dieses Gerücht trifft nicht zu. Solche Wunschvorstellungen gibt es im politischen Raum und bei Verbänden immer wieder. Sie lassen sich mit dem Wortlaut von Art. 83 Abs. 1 DSGVO nicht vereinbaren.

Die Regelung geht vielmehr davon aus, dass „in jedem Einzelfall“ eine wirksame Geldbuße verhängt wird.

Entgegen allen Gerüchten gilt übrigens auch in Österreich nichts anderes. Das dortige Datenschutzgesetz (DSG) enthält in § 11 Satz 2 zwar folgende Regelung: „Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“ Das führt aber schon dem Wortlaut nach nicht zu einem „Freischuss“.

Zudem ist ausdrücklich betont, dass Art. 58 DSGVO (Befugnisse der Aufsichtsbehörde) dadurch nicht eingeschränkt wird.

Absehen von Geldbuße möglich?

Frage: Kann die Datenschutzaufsichtsbehörde im Einzelfall trotzdem von einer Geldbuße völlig absehen?

Antwort: Ja, das ist möglich. Begründen lässt sich dies auf zweierlei Weise:

  • Entweder argumentiert man, dass sich über § 41 Abs. 1 Satz 1 BDSG die Regelung des § 47 Abs. 1 des Ordnungswidrigkeitengesetzes (OwiG) anwenden lässt. Diese Bestimmung legt fest, dass die Aufsichtsbehörde ein Verfahren wegen einer Geldbuße nach pflichtgemäßem Ermessen einstellen kann.
  • Oder man greift direkt auf Art. 83 DS-GVO (Allgemeine Bedingungen für die Verhängung von Geldbußen) zurück. Er legt fest, dass eine Geldbuße stets verhältnismäßig sein muss. Es sind durchaus Fälle denkbar, in denen jede auch noch so geringe Geldbuße unverhältnismäßig wäre.

Mit einem „Freischuss“ für alle erstmaligen fahrlässigen Verstöße hat das aber nichts zu tun.

Gibt es Geldbußen „aus heiterem Himmel“?

Frage: Stimmt es, dass ein Bescheid über eine Geldbuße „aus heiterem Himmel“ im Briefkasten liegen kann?

Antwort: Nein, das ist Unfug. Selbstverständlich erfolgt vor einem Bescheid eine förmliche, schriftliche Anhörung.

Dies hat nicht nur der nationale Gesetzgeber so festgelegt (§ 41 Abs. 1 Satz 1 BDSG in Verbindung mit den entsprechenden Regelungen des OwiG). Die Pflicht hierzu würde sich auch aus dem Grundsatz des fairen Verfahrens ergeben. Er ist durch Art. 47 Abs. 2 der Europäischen Grundrechtecharta im Europarecht abgesichert.

Keine Geldbußen gegen Behörden?

Frage: Stimmt es, dass Geldbußen gegen Behörden nicht möglich sind?

Antwort: Ja, das trifft zu. Art. 83 Abs. 7 DSGVO lässt es zu, dass die Mitgliedstaaten eine solche Ausnahmeregelung treffen. Durch § 43 Abs. 3 BDSG hat der Bund davon Gebrauch gemacht.

Doch Vorsicht: Diese Ausnahme gilt nicht, wenn Behörden im Wettbewerb mit privaten Wirtschaftsunternehmen stehen. Sie gilt also beispielsweise nicht für öffentliche Krankenhäuser. Sie stehen nämlich im Wettbewerb mit privaten Krankenhäusern.

Sondergerichte für Einsprüche?

Frage: Stimmt es, dass besondere Gerichte Einsprüche gegen Bescheide über Geldbußen entscheiden?

Antwort: An diesem Gerücht ist ein wahrer Kern.

Normalerweise sind für solche Verfahren die Amtsgerichte zuständig (§ 41 Abs. 1 Satz 1 BDSG in Verbindung mit § 68 OwiG, ergänzt durch Vorschriften der Bundesländer). Falls eine Aufsichtsbehörde jedoch eine Geldbuße von mehr als 100.000 Euro festsetzt, entscheidet das zuständige Landgericht (so geregelt in § 41 Abs. 1 Satz 2 BDSG).

Diese Unterscheidung dürfte freilich eher für Spezialisten von Bedeutung sein, weniger für den Unternehmensalltag.

In Deutschland gibt es derzeit 638 Amtsgerichte, aber nur 117 Landgerichte. Zum zuständigen Landgericht ist es daher meist etwas weiter.

Maßlose Höhe von Geldbußen?

Frage: Warum sieht die Datenschutz-Grundverordnung Geldbußen in einer Höhe vor, die viele als irrsinnig empfinden?

Gegenfrage: Wären die Geldbußen für weltweit tätige Unternehmen sonst abschreckend? Ihre Umsätze bewegen sich regelmäßig im Milliardenbereich. Entsprechend hoch muss die Androhung möglicher Geldbußen ausfallen.

Mit dem „Geldbußenalltag“ hat das nichts zu tun. Millionengeldbußen werden seltene Einzelfälle bleiben.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit vielen Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.