Erstmals seit Inkrafttreten der europäischen Datenschutz‑Grundverordnung wurden in Deutschland Sanktionen verhängt. Noch bewegt sich die Höhe der Bußgelder in einem vertretbaren Rahmen: Während in Frankreich in einem Verfahren gegen einen Internetanbieter ein Bußgeld in Höhe von 50 Mio. EUR bekannt wurde, hat die Aufsichtsbehörde in Baden‑Württemberg gegen ein im Social Media Bereich tätiges Unternehmen für die versehentliche Offenlegung von Passwörtern als Bußgeld 20.000 EUR festgesetzt.
Wie war die Aufsichtsbehörde auf den Fall aufmerksam geworden? Die DS‑GVO verpflichtet den Verantwortlichen, nach Kenntnis von Datenschutzverstößen binnen 72 Stunden die zuständige Aufsichtsbehörde zu informieren, sofern der Verstoß zu einem Risiko für die Rechte der Betroffenen führt. Eine solche Meldung war Grundlage des Bußgeldverfahrens.
Der baden‑württembergische Landesdatenschutzbeauftragte teilte im Rahmen einer Pressemitteilung mit, dass gerade das kooperative Vorgehen des Unternehmens zu dem niedrigen Bußgeld geführt hat. Berücksichtigt man den Sanktionsrahmen der DS‑GVO von bis zu 20 Mio. EUR bzw. 4 % des weltweit erzielten Jahresumsatzes, bewegt sich die Bußgeldhöhe in der Tat auf einem niedrigen Niveau.
Der Fall macht allerdings deutlich, dass mit der durch die DS‑GVO vorgegebenen Meldepflicht vorsichtig umzugehen ist. Die Unternehmen stehen vor einem Dilemma: Wird mit den Aufsichtsbehörden kooperiert und werden proaktiv sensible Informationen offengelegt, sieht sich der Verantwortliche anschließend empfindlichen aufsichtsbehördlichen Maßnahmen gegenüber. Es besteht ein Konflikt zwischen europarechtlich begründeter Meldepflicht und dem verfassungsrechtlichen Grundsatz der Selbstbelastungsfreiheit.
Angesichts dieser riskanten Ausgangslage sollten Meldungen nicht ohne sorgfältige datenschutzrechtliche Prüfung erfolgen. Dabei werden die Weichen für den Ausgang eines Verfahrens direkt zu Beginn gestellt. Es ist in den vergangenen Monaten zwar zu beobachten, dass die Aufsichtsbehörden wegen einer Vielzahl unterschiedlicher Anfragen und Prüfungen zurückhaltend agieren; dennoch sind weitere Präzedenzfälle zu erwarten, bei denen die Bußgelder deutlich höher liegen dürften.
Dr. Cornelius Böllhoff
Partner
Rechtsanwalt
(boellhoff@redeker.de)
Dr. Daniel Neuhöfer, LL.M.
Partner
Rechtsanwalt
(neuhoefer@redeker.de)
Der Newsletter stellt keine individuelle Rechtsberatung dar und verfolgt ausschließlich den Zweck, über ausgewählte Themen zu informieren. Bei Fragen zum Newsletter wenden Sie sich bitte an einen genannten Ansprechpartner.