Rückblick DSGVO Bußgeldverfahren 2019
03. Januar 2020Das Handelsblatt hat bei den deutschen Datenschutzaufsichtsbehörden eine Umfrage über Bußgelder auf Basis der DSGVO durchgeführt. Außer Mecklenburg-Vorpommern machten alle Behörden Angaben. Insgesamt wurden Stand Mitte September 225 Bußgelder verhängt, davon 185 Bußgelder in 2019.
Die meisten Bußgeldbescheide (2019: 64, 2018: 33) wurden laut Handelsblatt in Nordrhein-Westfalen ausgestellt. Im Tätigkeitsbericht des LDI NRW 2019 werden für das Jahr 2018 abweichend 36 Bußgeldbescheide in einer Gesamtsumme von 15.600 Euro angegeben. Berlin nimmt mit 44 Bußgeldern in 2019 Platz 2 im Bußgeld-Ranking ein. Mit 19 Ordnungswidrigkeitsverfahren mit Bußgeld folgt Niedersachsen.
Das höchste Bußgeld in Höhe 14,5 Millionen Euro von wurde von der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) Maja Smoltczyk gegen die Deutsche Wohnen SE ausgesprochen. Das zweithöchste Bußgeld in Höhe von 9,55 Millionen Euro wurde vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH verhangen. Beide Unternehmen haben Einspruch gegen die Bußgeldbescheide eingelegt. Den dritten Platz in der Rangliste der höchsten Bußgelder in Deutschland belegt die Landesbeauftragte für den Datenschutz Niedersachsen (Barbara Thiel), die einen Bußgeldbescheid in Höhe von 294.000 Euro gegen eine unbekannte Organisation ausstellte. Der unbekannten Organisation wird vorgeworfen, Personalakten unnötig lange aufzubewahren (Verstoß gegen das Prinzip der Datenminimierung, Art. 5 Abs. 1 lit. e DSGVO) und Gesundheitsdaten bei Personalauswahlverfahren zu erheben (Verstoß gegen das Prinzip der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO und das Verarbeitungsverbot von besonderen Kategorien personenbezogener Daten, Art. 9 Abs. 1 DSGVO).
In unserer Bußgeld-Datenbank finden sich derzeit 19 Einträge zu Bußgeldern von deutschen Aufsichtsbehörden. Davon entfallen sechs Bußgelder auf die Bundesnetzagentur, die unter anderem für Telekommunikationsunternehmen zuständig ist und nach dem Bußgeldrahmen des Telekommunikationsgesetzes von maximal 500.000 Euro und nicht nach dem Bußgeldrahmen der DSGVO sanktioniert. Damit verbleiben noch 13 Bußgelder, die auf Basis der DSGVO ausgesprochen wurden. Zu den restlichen 212 Bußgeldverfahren der deutschen Datenschutzaufsichtsbehörden sind keine näheren Angaben zu finden. Es gibt zwar keine Publizitätspflicht für Bußgeldverfahren, dennoch nährt diese Praxis Zweifel, ob damit die notwendige Abschreckungswirkung insbesondere gegen Unternehmen entfaltet werden kann. Barbara Thiel, Landesdatenschutzbeauftragte in Niedersachsen, sagt in einem im Dezember 2019 veröffentlichten ZD-Interview, dass aus ihrer Sicht eine Sanktion gemäß Art. 83 Abs. 1 DSGVO wirksam und abschreckend sei, wenn sie einerseits generalpräventiv geeignet sei, die Allgemeinheit von Verstößen abzuhalten sowie das Vertrauen der Allgemeinheit in die Geltung des Rechts zu stärken, und andererseits spezialpräventiv dazu führe, den Täter von weiteren Verstößen abzuhalten. Auf der Webseite der Landesdatenschutzbeauftragten sind bislang keine Informationen dazu zu finden. Auch auf anderen Behördenseiten finden sich keine oder nur aggregierte Angaben, die sich nicht für die Aufnahme in unserer Datenbank eignen.
Die Aufsichtsbehörden Hamburg, Niedersachsen, Nordrhein-Westfalen, Saarland, Sachsen und Thüringen haben Angaben zu laufenden Verfahren, teilweise noch nach altem Recht vor Anwendbarkeit der DSGVO, gemacht. Stand Mitte Dezember 2019 sind 223 Fälle in Untersuchung. Insgesamt wird von den Behörden zu wenig Personal für die Bearbeitung der Fälle beklagt. Heinz Müller, der Datenschutzbeauftragte des Landes Mecklenburg-Vorpommern, trat im Dezember aus der SPD aus, weil er für seine Behörde zu wenig Unterstützung der rot-schwarzen Koalition bekommen habe.