Bußgelder – das schärfste Schwert der DSGVO
Sanktioniert
Kurz vor Inkrafttreten der Datenschutz-Grundverordnung am 25. Mai 2018 wurde viel Panik in Bezug auf horrende Bußgelder für Datenschutzverstöße verbreitet. Wie hat sich die Bußgeldpraxis in Deutschland und dem Rest der Europäischen Union nach gut drei Jahren DSGVO entwickelt? Eine Bilanz.
Schon vor dem Inkrafttreten der Datenschutz-Grundverordnung der EU machte das Regelwerk von sich reden: Artikel 83 gibt den Aufsichtsbehörden die Befugnis, bei Verstößen gegen die DSGVO Bußgelder zu verhängen, die „wirksam, verhältnismäßig und abschreckend“ sein sollen – also deutlich höher liegen als zuvor. So können bei besonders schwerwiegenden Verstößen Geldbußen von bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes verhängt werden – eine deutliche Verschärfung gegenüber der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt): Hiernach belief sich das Maximalbußgeld bislang auf 30 000 Euro.
Die DSGVO hatte sich die Etablierung eines einheitlichen Datenschutzstandards innerhalb der Europäischen Union zum Ziel gesetzt. Wie sich vor allem in der ersten Umsetzungsphase zeigte, hatte die Freiheit der für die Überwachung des Datenschutzes zuständigen Landesdatenschutzbehörden zur Folge, dass die Bußgeldpraxis schon innerhalb Deutschlands große Unterschiede aufwies. Dies zeigte sich zum einen in der Auslegung der Vorschriften der DSGVO, insbesondere jedoch beim Verhängen und der Höhe der Bußgelder.