Die Berliner Datenschutzbehörde hat angekündigt, bald Bußgelder in zweistelliger Millionenhöhe wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) zu verhängen. Dabei ließ die Behörde offen, gegen wen sich das Bußgeld richten soll. Im laufenden Verfahren könne die Behörde das Unternehmen aus rechtlichen Gründen nicht namentlich nennen. Zuvor hatte die Berliner Behörde bereits zwei Bußgeldbescheide gegen ein Unternehmen in Höhe von insgesamt 200.000 Euro verhängt. Auch hier nannte die Behörde die betroffene Firma nicht. Das Unternehmen kann gegen die Bußgeldbescheide Rechtsmittel einlegen. Der vorliegende Beitrag gibt einen Überblick über einige aktuelle hohe Bußgelder und deren Konsequenzen auch für andere Unternehmen. Er zeigt zudem, wie man bestehende Bußgeldrisiken durch eine gezielte Vorbereitung mindern kann.
Das Ende der bisherigen Zurückhaltung bei Bußgeldern?
Viele Unternehmen hatten bislang angenommen, die deutschen Behörden würden mit hohen Bußgeldern beim Datenschutz nicht ernst machen. Beispielsweise fiel das erste in Deutschland auf der Grundlage der DSGVO verhängte Bußgeld mit 20.000 Euro ausgesprochen niedrig aus. In ihrer Pressemeldung zu dem verhängten Bußgeld lobte die zuständige Behörde die sehr gute Kooperation des Unternehmens im Bußgeldverfahren und seine Bereitschaft, Fehler beim Datenschutz offen einzuräumen und schnell abzustellen.
Dabei hatten europäische Datenschutzbehörden in anderen EU-Staaten wegen DSGVO-Verstößen bereits hohe Bußgelder angedroht oder verhängt. So hatte die französische Datenschutzbehörde CNIL gegen Google bereits ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Erst kürzlich kündigte die britische Datenschutzaufsicht ICO an, Bußgelder in Höhe von etwa 110 Millionen und in einem anderen Fall von über 200 Millionen Euro verhängen zu wollen. Nach Ansicht mancher Experten war es daher nur eine Frage der Zeit, bis auch deutsche Datenschutzbehörden gegen Unternehmen hohe Bußgelder verhängen. Die Ankündigung der Berliner Datenschutzbehörde scheint diese Ansicht zu bestätigen.
Wie verteidigt man sich effektiv gegen Bußgeldrisiken?
Unternehmen können sich gegen hohe Bußgeldbescheide vor allem durch eine gute Vorbereitung und Dokumentation wehren. Zunächst sollten Unternehmen problematische beziehungsweise risikobehaftete Vorgänge und Geschäftsbereiche identifizieren. Sie sollten noch bestehende Lücken bei der Umsetzung der DSGVO schnell schließen.
Vor Gericht oder in behördlichen Verfahren entscheidet letztlich oft die Beweislage über Erfolg und Misserfolg. Nach Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO müssen Unternehmen nachweisen können, dass sie alle Vorgaben des Datenschutzes richtig umgesetzt haben. In der Praxis ist das eine Hürde, die umfangreiche Dokumentation und Planung erfordert. Dabei sollte die Dokumentation zum Datenschutz so vorbereitet werden, dass ein Richter sie verstehen kann.
Verteidigung lässt sich vorbereiten
Unter anderem sollte man ein Verteidigungshandbuch haben, das Vorgehen, Abläufe und Zuständigkeiten klar regelt, wenn die Behörde vor der Tür steht oder ein Anhörungsbogen in der Post liegt. Typische Punkte für ein solches Verteidigungshandbuch sind etwa Folgende:
- Aufgabenverteilung:
Wer macht was? Wer steuert das Verteidigungsprojekt? Welche internen Ressourcen werden benötigt und eingebunden? Welche externen Dienstleister werden eingebunden, z.B. spezialisierte Kanzleien, Wirtschaftsprüfer, IT-Dienstleister? - Interne Kommunikation:
Wer informiert im Ernstfall wen? - Pressearbeit:
Fehler bei der Pressearbeit können erhebliche Rufschäden nach sich ziehen. Gerade im Zusammenhang mit tatsächlichen oder vermuteten Datenschutzverstößen können sich Rufschäden relativ direkt auf den Absatz eines Konzerns oder einzelner Produkte auswirken. Vor allem in einem technologiegetriebenen Umfeld ist daher eine effektive Pressearbeit oft von entscheidender Bedeutung. - Kommunikation mit der Datenschutzbehörde:
Die Kommunikation gegenüber und der sonstige Umgang mit Datenschutzbehörden ist erfahrungsgemäß für den Ausgang von datenschutzrechtlichen Verwaltungs- oder Ermittlungsverfahren entscheidend. Daher ist es in konkreten DSGVO-Verteidigungsprojekten wesentlich, die Kommunikation gegenüber der Behörde gründlich vorzubereiten und zu planen. - Vorbereitung auf Durchsuchungen:
Datenschutzbehörden haben andere Befugnisse als die Polizei oder die Staatsanwaltschaft. Beispielsweise regelt Art. 31 DSGVO ein umfassende Kooperationspflicht. Daher müssen auch die Leitfäden für Durchsuchungen entsprechend vorbereitet beziehungsweise bestehende Leitfäden angepasst werden.
Die vorstehenden Beispiele sind keineswegs abschließend. So müssen börsennotierte Unternehmen wegen der hohen Maximalbeträge von Bußgeldern nach Art. 83 DSGVO etwa auch an mögliche ad hoc-Publikationspflichten nach dem Wertpapierhandelsgesetz (WpHG) denken.
Bei der Verteidigung gegen Bußgeldrisiken sollte man auch an mögliche Schadensersatzansprüche (SEA) von Verbrauchern denken, deren Daten man verarbeitet (zur Behandlung solcher SEA in der Insolvenz siehe Green and Newman v. Cambridge Analytica, 17 April 2019, CRi 2019, 87 ff.). Manche Anwälte und Prozessfinanzierer konzentrieren sich gerade auf Unternehmen, gegen die Bußgelder verhängt werden.
Fazit und Ausblick
Es spricht Einiges dafür, dass auch die deutschen Datenschutzbehörden ihre anfängliche Zurückhaltung bei der Verhängung hoher DSGVO-Bußgelder bald aufgeben könnten. Anlass zur Panik ist dies aber nicht. Ebenso wie viele andere juristische Prozesse lässt sich auch die Verteidigung eines Unternehmens gegen drohende Bußgelder effektiv vorbereiten. Mit den hier genannten Beispielen kann man zeitnah in eine entsprechende Vorbereitung einsteigen.