Die Aufsichtsbehörden haben nach dem Gesetzestext sicherzustellen, dass auf Grundlage der Ermächtigung verhängte Geldbußen „wirksam, verhältnismäßig und abschreckend“ sind. Für die unter Abs. 4 festgelegten Geldbußen können bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens geahndet werden, oder 10 Millionen €. Und für die katalogartig unter dem Abs. 5 aufgeführten Rechtsverstöße sogar 20 Millionen bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens. Man vergleiche das mit den Vorschriften des jetzt noch geltenden Bundesdatenschutzgesetzes: § 43 DSGVO belässt es bei einer Höchstgrenze von 300.000 €.
Nicht nur natürliche Personen, sondern auch Unternehmen können Adressaten eines Bußgeldes sein. Interessant ist das Verständnis des Unternehmensbegriffes. Hier wird auf die wirtschaftliche Einheit abgestellt. Es macht also keinen Sinn, eine Gesellschaft zu gründen, die sich nur mit dem Datenschutz befasst und unter Umständen in die Insolvenz geht, während gegen die Muttergesellschaft keine Bußgelder verhängt werden können.
Kritik:
Diese Bußgeldregelung ist am Modell des Kartellrechts orientiert. Sie mag geeignet sein, Unternehmen wie Facebook oder Google dazu anzuhalten, den Datenschutz ernst zu nehmen. Google und Facebook mögen auch die personelle Ausstattung haben, um die Vorschriften der DSGVO umzusetzen. Wie aber der Mittelstand die Anforderung der DSGVO umsetzen können soll, ist derzeit noch offen.
Stellt man auf den Mittelstand ab, so ist der Strafrahmen weit über das Ziel hinaus gewählt. Wie es sein kann, dass gerade die Bundesrepublik Deutschland die Bedürfnisse des Mittelstandes derartig missachtet, ist mir unklar. Man sollte aber jetzt nicht in Angst verfallen: Auch deutsche Behörden sind an dem Erhalt von Arbeitsplätzen interessiert. Abseits dessen, dass jetzt eine Beraterindustrie losmarschiert ist und angesichts dieses Rechtsrahmens die Menschen alarmiert, ist damit zu rechnen, dass zumindest die Exekutive in Deutschland auch Maßstäbe der Vernunft anwendet.
Das größte – und man muss es wirklich so sagen – Problem besteht darin, dass der von den Erschaffern der Datenschutzvorschriften mit Recht beklagte Mangel an Personal der Aufsichtsbehörden durch drakonische Strafen kompensiert wird, denen aktuell noch keine klaren Tatbestände gegenüberstehen. Mein Lieblingsbeispiel ist hier der § 11 Abs. 5 BDSG und seine Umsetzung in das neue Recht. Stellt die bloße Zugriffsmöglichkeit auf personenbezogene Daten zum Beispiel im Rahmen des Hostings eine Verarbeitung dar oder nicht? Das ergibt sich eben nicht klar aus den Gesetzen, sondern wird erst durch die Behörden zu klären sein. Und wenn die Behörden ein bestimmtes Bußgeld erlassen haben, kann man gegen dieses Bußgeld ein Rechtsmittel einlegen. Und eigentlich erst dann, wenn das dann zuständige Verwaltungsgericht darüber entschieden hat, besteht Rechtsklarheit. Wir müssen also damit leben, dass wir jetzt für die nächsten 2-3 Jahre viele Fragestellungen vor uns haben, die nicht klar entschieden sind.
Ansatz der Beratung
Der Ansatz einer Beratung kann deshalb nicht sein, alle Menschen damit zu ängstigen, dass ab dem 25. Mai 2018 nun drakonische Bußgelder gegen mittelständische Unternehmen verhängt werden.
Ein Beispiel für eine solche Dramatisierung: ich habe in einer juristischen Zeitschrift einen Artikel darüber gelesen, dass grundsätzlich die Verpflichtung aus dem Art. 30 DSGVO zur Führung eines Verfahrensverzeichnisses nur Unternehmen treffen würde, die mehr als 250 Angestellte haben. Diese Grenze von 250 Personen ist eingeführt worden, um zu verhindern, dass kleine Unternehmen mit der administrativ aufwendigen Pflicht zur Führung eines Verfahrensverzeichnisses belastet werden. Die Autorin aber ist der Ansicht, dass diese Grenze nicht gelte. Sie führt an, dass in der DSGVO die Verpflichtung zur Führung eines Verfahrensverzeichnisses trotzdem bestehe, wenn besonders sensible Daten verarbeitet würden. In Deutschland würde die Personalverwaltung zur Abrechnung von Steuern auch Daten wie Religionszugehörigkeit beinhalten. Deshalb müsste jedes Unternehmen ein Verfahrensverzeichnis aufführen. Diese formaljuristisch richtige Sichtweise der Dinge führt dazu, dass erstens die Kollegin jedes Unternehmen – unabhängig von der jeweiligen Größe – mit ihrer Beratungsleistung beglücken kann. Sie führt aber zweitens dazu, dass mittelständische Unternehmen entgegen dem gesetzgeberischen Willen belastet werden. Und die juristische Auslegung kennt eben nicht nur die Auslegung nach dem sturen Wortsinn sondern auch die Auslegung nach Sinn und Zweck. Und wenn der Gesetzgeber bestimmte Unternehmen privilegieren will, wird man sich von Seiten der deutschen Behörden überlegen müssen, ob es nicht andere Wege gibt, diese Problematik zu lösen, als nun zu fordern, dass wieder jedes Unternehmen ein Verfahrensverzeichnis wird führen müsse.
Mein Ansatz für die Beratung lautet, dass die Unternehmen, die wir beraten, im ersten Schritt prüfen, wo personenbezogene Daten überhaupt verarbeitet werden. Im zweiten Schritt muss geprüft werden, ob bestimmte Prozesse sich nicht so ausgestalten lassen, dass keine personenbezogenen Daten verarbeitet werden. Im dritten Schritt geht es dann darum, vernünftige Dokumentationen zu erstellen, die den Umgang mit den personenbezogenen Daten auch abbilden. Auch hier gilt es ein Kosten-Nutzen-Verhältnis zu finden, das nicht nur stur juristische, mögliche Schreckensszenarien im Auge hat, sondern praktikabel ist. Die Behörden werden mit Gewissheit Unternehmen, die den Datenschutz für nicht wichtig halten anders behandeln als ein Unternehmen, dass ein Verfahrensverzeichnis hat, an dem die Behörde aber aus bestimmten Gründen etwas auszusetzen hat. Etwas zu haben ist besser als nichts zu haben. Man muss deutlich sagen, dass die meisten Juristen und Datenschutzbeauftragten schon lange vor Inkrafttreten der DSGVO Kenntnisse darüber haben, welche Prozesse nun wirklich aus datenschutzrechtlicher Sicht abgehandelt werden müssen und welche Prozesse vielleicht auch weniger Relevanz haben. Man hat somit ein wenig das Gefühl, dass die Phalanx der Datenschützer im Umfeld der DSGVO das Glück empfindet, Anerkennung und Beachtung zu finden. Ob die Beratenen so empfinden, steht auf einem anderen Blatt.
