Menü

Sebastian Hofauer, LL.M.

Rechtsanwalt

DSGVO, Bußgeld und Rechtsschutzmöglichkeiten

Die europäische Datenschutz-Grundverordnung („DSGVO“) sorgt gerade wegen der neuen Bußgeldregelungen (Art. 83 DSGVO) für großes Interesse. Die hohen Bußgeldandrohungen machen vielen Unternehmen Angst und sorgen für Verunsicherung über die bestehenden Geschäftsabläufe.

Selbstverständlich gibt es auch bei DSGVO-Bußgeldverfahren rechtsstaatliche Prinzipien und Rechtsschutzmöglichkeiten. In diesem Beitrag werden die wichtigsten Fragen und Antworten zu DSGVO und Bußgeld dargestellt.

Wenn Sie einen Bußgeldbescheid wegen eines Verstoßes gegen die DSGVO erhalten sollten, können Sie mich gerne unverbindlich kontaktieren. Ich bespreche dann mit Ihnen Ihre Möglichkeiten und mit welchen Kosten Sie rechnen müssen. Ein erster Anruf oder eine E-Mail kostet Sie natürlich nichts (außer vielleicht Telefongebühren).

Gegen wen kann ein DSGVO Bußgeld verhängt werden?

Geldbußen nach der DSGVO können gegen natürliche Personen (also gegen Menschen) und Unternehmen verhängt werden.

In welcher Höhe kann ein DSGVO Bußgeld verhängt werden?

Die Geldbußen unter der DSGVO sind deutlich härter als nach den bisher geltenden nationalen Bestimmungen (BDSG).

Wie sich aus Art. 83 DSGVO ergibt, sind je nach Schweregrad folgende Bußgelder möglich:

  • Bis zu 20 Millionen € oder
  • bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

(je nachdem, welcher der Beträge höher ist).

Was ist unter einem „Unternehmen“ zu verstehen?

Hierzu enthält Erwägungsgrund Nr. 150 eine Aussage, die es in sich hat:

„Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden.“

Der entscheidende Unterschied zum bisherigen deutschen Recht liegt darin, dass nicht mehr auf eine juristische Person (z.B. eine GmbH) abgestellt wird, sondern auf das Unternehmen als wirtschaftliche Einheit. Somit kann z.B. auch ein ganzer Konzern als wirtschaftliche Einheit betrachtet werden. Das wiederum hat entsprechende Auswirkungen auf die Höhe der Bußgelder, wenn diese am Umsatz bemessen werden.

Müssen die Aufsichtsbehörden in jedem Fall Bußgelder verhängen?

Den Erwägungsgründen der DSGVO lässt sich hierzu eine klare Aussage entnehmen:

Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden.“ (Erwägungsgrund Nr. 148)

Der europäische Gesetzgeber wünscht also ausdrücklich, dass die Datenschutzregelungen der DSGVO mit entsprechendem Druck durchgesetzt werden.

Auch Art. 83 Abs. 1 DSGVO enthält insoweit eine klare Ansage:

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Allerdings hat auch der europäische Gesetzgeber erkannt, dass das Gebot der Verhältnismäßigkeit gilt und daher nicht in jedem Fall ein Bußgeld nötig ist. So heißt es in Erwägungsgrund Nr. 148 auch:

„Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden.“

Welche Rechte haben Betroffene in Bußgeldverfahren nach der DSGVO?

Wenn eine Aufsichtsbehörde nach der DSGVO Bußgelder verhängen möchte, muss sie sich an ein ordnungsgemäßes Verfahren halten. So bestimmt Art. 83 Abs. 8 DSGVO ausdrücklich:

„Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.“

Auch der Erwägungsgrund Nr. 148 sagt hierzu ausdrücklich:

„Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen.“

Zu diesen angesprochenen Verfahrensgarantien gehören:

Nach welchen Vorschriften richtet sich ein DSGVO-Bußgeldverfahren?

Nach § 41 BDSG finden die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) überwiegend Anwendung, ebenso die Strafprozessordnung (StPO) und das Gerichtsverfassungsgesetz (GVG). Lediglich folgende Vorschriften finden keine Anwendung:

  • § 17 OWiG (Höhe der Geldbuße)
  • § 35 OWiG (Verfolgung und Ahndung durch die Verwaltungsbehörde)
  • § 36 OwiG (Sachliche Zuständigkeit der Verwaltungsbehörde)
  • § 56 OWiG (Verwarnung durch die Verwaltungsbehörde)
  • § 57 OWiG (Verwarnung durch Beamte des Außen- und Polizeidienstes)
  • § 58 OWiG (Ermächtigung zur Erteilung der Verwarnung)
  • § 87 OWiG (Anordnung der Einziehung)
  • § 88 OWiG (Festsetzung der Geldbuße gegen juristische Personen und Personenvereinigungen)
  • § 99 OWiG (Vollstreckung von Nebenfolgen, die zu einer Geldzahlung verpflichten)
  • § 100 OWiG (Nachträgliche Entscheidungen über die Einziehung)

§ 68 OWiG (Zuständiges Gericht) findet mit der Maßgabe Anwendung, dass das Landgericht entscheidet, wenn die festgesetzte Geldbuße den Betrag von einhunderttausend Euro übersteigt.

§ 69 Abs. 4 S. 2 OWiG (Zwischenverfahren) findet mit der Maßgabe Anwendung, dass die Staatsanwaltschaft das Verfahren nur mit Zustimmung der Aufsichtsbehörde, die den Bußgeldbescheid erlassen hat, einstellen kann.

Wie läuft ein DSGVO-Bußgeldverfahren ab?

Ein Ordnungswidrigkeitenverfahren beginnt zunächst damit, dass die zuständige Aufsichtsbehörde einen bestimmten Sachverhalt überprüft und dabei einen Verstoß gegen datenschutzrechtliche Vorschriften feststellt.

Anschließend wird der Betroffene (Anm.: Das ist nicht der Betroffene im Sinne des Datenschutzrechts, sondern der datenschutzrechtlich Verantwortliche, der einen Verstoß begangen haben soll) zunächst angehört (§ 55 OWiG). Dies geschieht regelmäßig mit einem Anhörungsbogen. Darin wird dem Betroffenen die Einleitung eines Ordnungswidrigkeitenverfahrens und der bislang festgestellte Sachverhalt mitgeteilt. Der Betroffene wird außerdem über sein Auskunftsverweigerungsrecht belehrt; zugleich wird ihm Gelegenheit zur Stellungnahme gegeben. Gibt der Betroffene keine Stellungnahme ab oder führt seine Stellungnahme zu keiner abweichenden Beurteilung durch die Aufsichtsbehörde, ergeht gemäß §§ 65 ff. OWiG ein Bußgeldbescheid.

Gegen den Bußgeldbescheid kann der Betroffene bei der Behörde, die ihn erlassen hat, innerhalb von zwei Wochen nach dessen Zustellung Einspruch einlegen. Für den Einspruch besteht übrigens kein Anwaltszwang, der Einspruch kann also durch den Betroffenen selbst oder durch einen Verteidiger erfolgen. Eine Begründung ist nicht zwingend vorgeschrieben, kann aber schon in diesem Stadium hilfreich sein.

Die Aufsichtsbehörde prüft bei einem Einspruch zunächst, ob dieser wirksam eingelegt wurde. Ist dies nicht der Fall, wird der Einspruch als unzulässig verworfen (§ 69 Abs. 1 OWiG). Ist der Einspruch zulässig, kann die Aufsichtsbehörde dem Einspruch abhelfen, indem sie den Bußgeldbescheid zurücknimmt. Ansonsten wird die Sache dem zuständigen Gericht vorgelegt (§ 69 Abs. 4 OWiG).

Das zuständige Gericht überprüft den Einspruch erneut auf seine Zulässigkeit. Anschließend kommt es zur Hauptverhandlung, es sei denn, das Gericht hält eine Hauptverhandlung nicht für erforderlich und der Betroffene und die Staatsanwaltschaft sind mit einer Entscheidung im Beschlussverfahren einverstanden (§ 72 OWiG).

Der Termin zur Hauptverhandlung (§ 71 OWiG) wird vom Gericht bestimmt. Der Betroffene ist grundsätzlich zum Erscheinen verpflichtet (§ 73 OWiG). Fehlt der Betroffene unentschuldigt, wird der Einspruch ohne Verhandlung zur Sache mit Urteil verworfen (§ 74 Abs. 2 OWiG).

Gegen die Entscheidung des Gerichts besteht anschließend noch die Möglichkeit der Rechtsbeschwerde. Gegen diese Entscheidung gibt es kein weiteres Rechtsmittel.

Fazit

Auch wenn nach der DSGVO drastische Bußgelder im Raum stehen, gilt das Prinzip der Verhältnismäßigkeit und das Recht auf ein faires Verfahren.

Sollten Sie mit einem Anhörungsbogen oder einem Bußgeldbescheid wegen datenschutzrechtlicher Verstöße konfrontiert werden, können Sie sich gerne an mich wenden.