Die von vielen Unternehmen gehegte Sorge vor Rekordbußgeldern war in weiten Teilen unbegründet, oder wenigstens überzeichnet.
Das geht als Zwischenfazit aus den bislang veröffentlichten Tätigkeitsberichten und den in der Presse bekannt gewordenen Fällen hervor. Auf der anderen Seite zeigen die inzwischen verfügbaren Informationen aber auch einen stetigen Anstieg der verhängten Sanktionen und damit insgesamt verstärkte Durchsetzungsaktivitäten der Behörden.
Bislang moderate Zahl verhängter Bußgelder
Aus einem aktuellen Pressebericht folgt, dass die im ersten Jahr nach Inkrafttreten der neuen DSGVO in 75 Fällen Bußgelder verhängt wurden. Auch die inzwischen vorliegenden Tätigkeitsberichte zeigen, dass noch nicht alle Datenschutzbehörden, die bereits einen Bericht veröffentlicht hatten, auch schon Bußgelder ausgesprochen haben. Daraus allerdings zu schließen, dass jene Behörden eine geringere Tendenz zur Sanktionierung von Datenschutzverstößen haben könnten, wäre sicher verfrüht, wenn nicht gar ein Trugschluss.
So waren im Januar 2019 etwa bei dem bayerischen Landesamt für Datenschutzaufsicht 85 Bußgeldverfahren anhängig. Die Tatsache, dass diese sich im Tätigkeitsbericht noch nicht als Bußgelder niedergeschlagen haben, kann mit der langen Dauer von Bußgeldverfahren begründet werden und zeigt lediglich, dass die meisten Verfahren noch nicht abgeschlossen sein dürften. Wahr ist aber auch, dass die Anzahl der bekannt gewordenen Verfahren, die mit einem Bußgeld endeten, bislang insgesamt eher gering ausfällt.
Verwarnungen statt Bußgelder
Es fällt zudem auf, dass insbesondere die Datenschutzbehörden in Hamburg und Sachsen-Anhalt offenbar eine gewisse Bereitschaft zeigen, statt der unmittelbaren Verhängung eines Bußgelds zunächst lediglich Verwarnungen (Art. 58 Abs. 2 lit. b) DSGVO) auszusprechen.
"Rekordbußgelder" fallen bislang aus
Während auf europäischer Ebene bereits Bußgelder im deutlich sechsstelligen Bereich und in einem Einzelfall sogar über 50 Millionen Euro verhängt wurden, fiel deren Höhe in Deutschland bislang vergleichsweise niedrig aus. So liegt beispielsweise das bisher höchste bekannt geworden Bußgeld in Deutschland bei 80.000 Euro und wurde von der Datenschutzbehörde in Baden-Württemberg verhängt (Stand: Anfang Mai 2019).
Aus Unternehmenssicht ist abseits der Diskussion um die Bußgelder allerdings auch zu bedenken, dass Anordnungen der Behörden, bestimmte Arten der Datenverarbeitung zu unterlassen, deutlich empfindlichere Eingriffe darstellen können. Nicht selten können solche Anordnungen nämlich ein ganzes Geschäftsmodell betreffen, in Frage stellen oder gar untersagen.
Kein "Bußgeldkatalog" in Sicht
Ist vor dem Hintergrund der bisherigen Entwicklung überhaupt mit einer Harmonisierung der Bußgeldpraxis unter den deutschen und europäischen Datenschutzbehörden zu rechnen? Nicht selten wird der Wunsch nach einem einheitlichen Vorgehen oder sogar einer Art "Bußgeldkatalog" laut.
Die niederländische Datenschutzbehörde hat vor kurzem den Versuch unternommen, zumindest Kategorien für bestimmte wiederkehrende Datenschutzverstöße und damit einhergehende Bandbreiten für mögliche Bußgelder aufzustellen (siehe hierzu den Artikel unserer niederländischen Kollegen). Es gibt allerdings gegenwärtig keine Anzeichen, dass sich die deutschen Behörden auf eine ähnliche Kategorisierung oder gar einen "Bußgeldkatalog" verständigen werden, der eine Größenordnung für bestimmte, besonders häufig vorkommende Datenschutzverstöße vorgibt.
nach oben