Datenschutz-Bußgelder in der Kritik

Datenschutz-Bußgelder in der Kritik

27. Juli 2021

Bezüglich des Datenschutzes wird grundsätzlich ein einheitliches Maß benötigt. Er soll nicht nur Verbraucher und Mitarbeiter schützen, sondern auch den Missbrauch von Daten verhindern. Er sollte dabei jedoch nicht über das Ziel hinausschießen und deutsche sowie europäische Unternehmen durch horrende Bußgelder im Wettbewerb benachteiligen oder gar in ihrer Existenz gefährden.

Das Verfahren gegen Notebooksbilliger.de

Im Dezember 2020 verhängte die Datenschutzbeauftragte des Landes Niedersachsen Barbara Thiel ein Bußgeld in Höhe von über 10,4 Millionen € gegen den Onlinehändler Notebooksbilliger.de AG (NBB). Dem Unternehmen werden Verstöße gegen das Datenschutzrecht vorgeworfen.

Bereits 2017 wurde ein Kontrollverfahren gegen NBB eröffnet, wobei die Behörde u. a. verfügte, den Gebrauch von Videokameras vereinzelt zu korrigieren. Das Unternehmen zeigte sich sehr kooperativ, nicht nur um eine komplette Übereinstimmung mit der DSGVO zu gewährleisten, sondern auch, um den Vorgaben der Behörde gerecht zu werden. Im Oktober 2019 führte der Vorgang schließlich zu einer formellen Verwarnung. Darüber hinaus leitete die Behörde ein Ordnungswidrigkeitsverfahren gegen NBB ein. Daraus ergab sich letztlich im Dezember 2020 die Anordnung des Bußgeldes.

NBB legte im Januar dieses Jahres Einspruch gegen den Bußgeldbescheid ein. „Das Bußgeld sei völlig unverhältnismäßig und stehe in keiner Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des angeblichen Verstoßes. Der Bescheid sei nicht rechtmäßig und man fordere seine Aufhebung“, so Oliver Hellmold, CEO von Notebooksbilliger.de.

Dem Unternehmen wird vorgeworfen, gegen den Grundsatz der Datensparsamkeit verstoßen zu haben. Die Aufsichtsbehörde sei der Ansicht, dass zu viele Kameras im Einsatz gewesen sind, die persönliche Daten hätten speichern und verarbeiten können, ohne dass dafür eine Rechtsgrundlage vorgelegen habe. Einige Kameras waren so ausgerichtet, dass u. a. Arbeitsplätze, Lager und Aufenthaltsbereiche aufgezeichnet wurden.

NBB rechtfertigt die Nutzung der Kameras so, dass damit der Warenverkehr bei Lagerung, Verkauf und Versand der hochwertigen IT-Produkte überprüft werden kann. Lediglich bei verloren gegangener oder fehlerhafter bzw. defekter Ware können die gespeicherten Aufnahmen dann im Nachhinein auf entsprechende Informationen analysiert werden. Dieses Prozedere ist bei Versand- und Logistikunternehmen allerdings nichts Ungewöhnliches.

Ebendarum will Notebooksbilliger.de den von der niedersächsischen Datenschutzbeauftragten angesprochenen Vorwurf, man habe gezielt sowohl Leistungen als auch das Verhalten seiner Arbeitnehmer kontrolliert, nicht auf sich sitzen lassen. NBB schließt entschieden aus, dass das Videosystem darauf abgezielt habe, die eigenen Mitarbeiter zu überwachen. Zudem habe es die Behörde während der gesamten Verfahrensdauer versäumt, sich persönlich einen direkten Eindruck der Videoüberwachung zu machen.

NBB wird, genau wie vergangenes Jahr schon 1&1, vom Datenschutzspezialisten Hanno Timner (Kanzlei Morrison & Foerster) sowie dem Berliner Strafverteidiger Uwe Freyschmidt vertreten. Diese hatten im November 2020 vor dem Landgericht Bonn für 1&1 eine Herabsetzung des vom Bundesdatenschutzbeauftragten ausgesprochenen Bußgeldes um mehr als 90 % durchgesetzt. „Wie bereits dieses Urteil gezeigt hat, kann der Umsatz eines Unternehmens nicht die entscheidende Bemessungsgrundlage sein. Wir halten das verhängte Bußgeld gegen Notebooksbilliger.de für eindeutig unverhältnismäßig.“, so Rechtsanwalt Timner.

Das Bußgeld gegen 1&1

Dem Telekommunikationsdienstleister wurde vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ein Verstoß gegen Art. 32 DSGVO vorgeworfen und daraufhin ein Bußgeldbescheid in Höhe von 9,55 Millionen € verhängt. Auch 1&1 legte Widerspruch mit der Begründung ein, dass das Bußgeld im Verhältnis zum Vergehen unangemessen hoch sei und die Bemessung nicht dem Grundgesetz entsprechen würde.

Das Landgericht Bonn bescheinigte mit dem im November 2020 ausgesprochenen Urteil zwar den Verstoß, beschränkte jedoch das Bußgeld auf nur noch 900.000 €.

Das Gericht begründete seine Entscheidung damit, dass ein rein umsatzorientiertes Bußgeldkonzept andere wichtige Faktoren zur Berechnung nicht berücksichtigen würde. Der Umsatz wäre zwar für eine erste Orientierung gedacht, für die Bußgeldbemessung müssen allerdings auch weitere Kriterien, wie beispielsweise die Schwere der Verletzung, die Art, die Dauer, die Wiederholung, die Reaktion des Verantwortlichen und die Umsetzung von Maßnahmen zur Begrenzung hinzugezogen werden.

Das Bußgeldkonzept

Am 14. Oktober 2019 gab die Datenschutzkonferenz (DSK) ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ bekannt. Mit Hilfe des Bußgeldkonzeptes soll die Bußgeldpraxis der deutschen Aufsichtsbehörden reguliert werden.

Das Konzept bezieht sich auf die Bestimmung von Bußgeldern in Verfahrensangelegenheiten gegen Unternehmen bezüglich der Datenschutz-Grundverordnung. Es wird also weder für Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit eingesetzt, noch gilt es verpflichtend für grenzüberschreitende Fälle, andere Datenschutzaufsichtsbehörden der EU oder gar Gerichte.

Je nach dem Umfang und Schweregrad und schließlich auch dem Umsatz des Unternehmens können auch noch so kleine Verstöße gegen die DSGVO Bußgelder in Millionenhöhe bedeuten und somit erhebliche Konsequenzen für die Unternehmen nach sich ziehen.

Dabei wird gerade durch das Einbeziehen des Umsatzes ein Wertungswiderspruch bei schwerwiegenden Vergehen von kleinen Unternehmen und geringfügigen Verstößen von großen Unternehmen hervorgerufen. Es könnten also umsatzschwächere Unternehmen einen Vorteil haben. Große Unternehmen können dagegen auch dann benachteiligt werden, wenn die ihnen vorgeworfenen Verstöße von geringem Ausmaß sind. Hier würde nämlich einem derartigen Verstoß allein wegen der Unternehmensgröße ein viel zu hoher Stellenwert zugesprochen. Das steht allerdings mit dem Gesetz im Widerspruch, ein dem Verstoß entsprechendes Bußgeld zu verhängen.

Wissenswertes zum Thema Bußgeld

Bis zu welcher Höhe kann ein Bußgeld nach DSGVO erfolgen?

Die DSGVO benennt für Datenschutzverstöße Bußgelder von bis zu 20 Millionen € oder für Unternehmen von bis zu 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag letztlich höher ist).

Wer entscheidet über die Durchsetzung von einem DSGVO-Bußgeld?

Für die Beurteilung, Ermittlung sowie Sanktionierung von Datenschutzverstößen sind die zuständigen Aufsichtsbehörden verantwortlich. Darunter zählen die Bundesdatenschutzbeauftragte sowie die Datenschutzbeauftragten der Länder. Bei diesen können Betroffene eventuelle Vergehen anzeigen.

Beispielsweise können folgende Verstöße gegen den Datenschutz ein Bußgeld zur Folge haben:

Die unerlaubte Verarbeitung personenbezogener Daten von Kindern und Jugendlichen. Erst ab einem Alter von 16 Jahren ist die Einwilligung eines Kindes rechtmäßig, ansonsten ist die Zustimmung der Sorgeberechtigten notwendig. (Art. 8, 83 Abs. 4a DSGVO)

Personenbezogene Daten, die zum Zweck der Identifizierung einer Person nicht oder nicht mehr benötigt werden, müssen auch nicht aufbewahrt, eingeholt oder verarbeitet werden. (Art. 11, 83 Abs. 4a DSGVO)

Der Verstoß gegen die vereinbarten Aufgaben des Datenschutzbeauftragten. (Art. 39, 83 Abs. 4a DSGVO)

Die unzulässige Verarbeitung personenbezogener Daten. (Art. 6, 83 Abs. 5a DSGVO)

Der unbefugte Transfer personenbezogener Daten an Empfänger in einem Drittland oder an internationale Organisationen. (Art. 44 - 49, 83 Abs. 5c DSGVO)

Sich mit der Absicht der eigenen Bereicherung oder Schädigung eines anderen durch falsche Angaben Zugang zu persönlichen Daten verschaffen, die nicht öffentlich einsehbar sind. (§ 42 Abs. 2 Nr. 2 BDSG)

Was viele Verbraucher nicht wissen und deshalb oft zu sorglos ihre personenbezogenen Daten bekannt geben, ist, dass diese bares Geld wert sind. Unternehmen können sich diese Informationen beispielsweise für die Schaltung von individueller Werbung zunutze machen und darüber letztlich Gewinne in Millionenhöhe erzielen. Schlimmstenfalls können Bankdaten missbräuchlich abgefragt werden, um sich damit widerrechtlich Zugriff auf Konten zu verschaffen. Mit Personal- und Ausweisnummern können falsche Dokumente angefertigt und verkauft werden.

So haben in den vergangenen Jahren viele Unternehmen verbotenerweise mit Daten Geld eingenommen und bei dessen Verarbeitung die nötige Transparenz vermissen lassen.

Auch aus diesen Gründen wurde der Datenschutz-Bußgeldkatalog nach DSGVO eingeführt, um die besondere Schutzwürdigkeit der personenbezogenen Daten hervorzuheben.

Die DSGVO sieht aber nicht nur abschreckend hohe Geldbußen vor. Wenn Betroffene durch die unrechtmäßige Verarbeitung ihrer persönlichen Daten geschädigt werden, können diese von den Verantwortlichen Schadenersatz einfordern. Das gilt sowohl für materielle als auch für immaterielle Schäden. (Vergleich Art. 82 DSGVO)

Hinweis in eigener Sache: Lesen Sie hier unseren Beitrag "Schadensersatzanspruch Betroffener für vermeintliche Datenschutzverletzungen".

 

Meine Quellen:

 

https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

https://www.handelsblatt.com/politik/deutschland/dsgvo-bussgeld-wegen-datenschutzverstoessen-urteil-gegen-1und1-ist-rechtskraeftig/26826800.html?ticket=ST-205399-tMOZhKOPagYDe55ca5zx-ap5

https://www.dsgvo-portal.de/news/lg_bonn_urteil_29_owi_1-20_lg_1und1_dsgvo_bussgeld.php

https://www.lg-bonn.nrw.de/behoerde/presse/zt_archiv_060/Archiv-2020/Pressemitteilung27-2020-vom-11_11_2020-Bussgeld-gegen-Telekommunikationsd___.pdf

https://blog.notebooksbilliger.de/wp-content/uploads/2021/01/Pressemitteilung_NBB_Datenschutz_08012021.pdf

https://support.notebooksbilliger.de/hc/de/articles/360016974298-Fragen-und-Antworten-zum-Verfahren-der-Landesdatenschutzbeh%C3%B6rde

https://www.datenschutz.org/dsgvo-bussgeld/

 

Autorin: Aline Neißner