Angst vor einem Phantom
Erstellt von Redaktion am Mittwoch 23. Mai 2018
Bußgelder bei Datenschutzverstößen
Quelle : Netzpolitik.ORG
Von Gastaustor Malte Engeler
Dr. Malte Engeler ist Richter und derzeit am Schleswig-Holsteinischen Verwaltungsgericht tätig. Er war zuvor stellvertretender Leiter des aufsichtsbehördlichen Bereiches im Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein und befasst sich wissenschaftlich mit datenschutzrechtlichen Themen.
Im Angesicht der Datenschutzgrundverordnung wollen manche lieber hinwerfen. Dazu hat auch die aus dem Ruder gelaufene Debatte über mögliche Bußgelder beigetragen, meint unser Gastaustor Malte Engeler in seinem Debattenbeitrag. Sorge vor überreagierenden Aufsichtsbehörden sei schließlich fehl am Platz.
Man mag darüber streiten, ob die ab 25.05.2018 geltende Datenschutz-Grundverordnung (DSGVO) der große Wurf oder doch nur alter Wein in neuen Schläuchen ist. Während die einen sie als wichtigen Meilenstein würdigen und den Anpassungsaufwand eher auf dem Niveau unliebsamer Pflichtübungen wie der Steuererklärung sehen, mahnen andere, der Teufel stecke im Detail.
Dass sich Gesetze verändern, alte abgeschafft und neue erlassen werden, ist jedenfalls für Juristinnen nichts Besonderes. Üblicherweise gibt es dann ein paar Fachaufsätze, Konferenzen, Streit über Detailfragen und nach ein paar Jahren Praxis und Gerichtsentscheidungen kehrt wieder Ruhe ein. So kann es der Diskussion um die DSGVO zwar immer noch ergehen, aber derzeit sieht das Bild anders aus. Die DSGVO polarisiert. Selbst außerhalb professioneller Kreise wird auf bemerkenswert leidenschaftliche Weise darüber gestritten, ob dank ihrer die digitale Dystopie gerade noch abgewandt werden konnte oder ob sie der Anfang vom Ende des freien Netzes ist.
Das ist einerseits nicht überraschend. Immerhin erfasst die DSGVO jedwede automatisierte Verarbeitung personenbezogener Daten, die über den rein privaten Bereich hinausgeht. Und die Sorge Einzelner, dass Twitter-Unterhaltungen, Hobbyfotografie oder Blogs von einem „Bürokratiemonster“ erdrosselt werden, ist nun einmal sehr viel näher an unserer Lebensrealität, als es die vielen anderen Gesetze sind, die eher im Hintergrund mit teilweise erheblichen Folgen unseren Alltag beeinflussen.
Andererseits ist die Emotionalität, mit der die DSGVO derzeit thematisiert wird, doch auch erstaunlich. Denn Datenschutzgesetze mit einem ähnlich weitreichenden Anwendungsbereich gibt es seit Jahrzehnten und die der DSGVO zugrundliegenden Begriffe sind seit Langem etabliert: Personenbezogene Daten, Verantwortlichkeit, technische und organisatorische Maßnahmen sowie Informations- und Dokumentationspflichten kannten schon das bisherige Bundesdatenschutzgesetz (BDSG) und die alte EU-Datenschutz-Richtlinie von 1995.
Aus dem Ruder gelaufene Debatte
Was also führt jetzt dazu, dass einzelne Blogger und Entwickler anlässlich der DSGVO ihre Webseiten abschalten oder Unternehmen ihre Anwendungen dem europäischen Markt vorenthalten? Liegt all das wirklich an der DSGVO, die mit ihren kleinen, aber feinen, Ergänzungen hier und da mehr Selbstkontrolle einfordert, strengere Anforderungen stellt oder weitergehende Dokumentationspflichten auferlegt? Ja und Nein.
Natürlich wäre es unredlich, den Aufwand, den die Anpassung (oder gar ihre erstmalige Befolgung) an die DSGVO für Einzelpersonen bedeutet, leichtfertig wegzuwischen. Auch ist es berechtigt und notwendig, auf systematische Widersprüche in (neuen) Gesetzeswerken hinzuweisen, die sich daraus ergeben können, dass Vorgaben, die im Kern für große Unternehmen gedacht sind, auf jederfrau angewendet werden sollen. Trotzdem ist all das wahrlich nichts Neues. Kein Gesetz ist frei von juristischen Streitigkeiten und warum sollte das bei der DSGVO anders sein? Das Sprichwort „Zwei Juristinnen, drei Meinungen“ kommt leider nicht von ungefähr. Die Gründe für die – man muss es wohl leider so nennen – Angst vor der DSGVO, dürften daher im Kern zwei andere sein: Erstens der immens erhöhte Bußgeldrahmen, der bei Verstößen gegen die Vorgaben der DSGVO droht und zweitens die Sorge um Abmahnungen.
Während die Expertinnen bezüglich der Abmahnrisiken aber noch heiß diskutieren [PDF], ob und wie hoch die Risiken nach Geltungsbeginn der DSGVO überhaupt sind, scheint das Thema Bußgelder sehr viel greifbarer geworden zu sein. Wo das alte BDSG für formelle Fehler (z.B. einen nicht bestellten Datenschutzbeauftragter) maximal 50.000 € und für inhaltliche Verstöße (z.B. eine unerlaubte Datenweitergabe an Dritte) maximal 300.000 € Bußgeld in Aussicht stellte, sieht die DSGVO nun einen Rahmen von bis zu 4 Prozent des Jahresumsatzes beziehungsweise 20 Millionen € vor – je nachdem, was höher ist.
Rechtspolitisch ist diese Erhöhung natürlich nachvollziehbar. Soll der Sanktions- und Präventionsgedanke eines Bußgelds irgendeine Wirkung entfalten, so muss es mit der gewachsenen wirtschaftlichen Bedeutung der Datenverarbeitung Schritt halten. Auch geben derart bedrohliche Zahlen den notorisch ignorierten Datenschutzbeauftragten in den Unternehmen und Behörden handfeste Argumente, sich Gehör zu verschaffen.
Und doch ist genau hier die aktuelle Debatte heillos aus dem Ruder gelaufen. Praktisch kein Bericht über die DSGVO kommt ohne den einleitenden Hinweis auf die vier-Prozent-Grenze oder die 20-Millionen-Marke aus. Bevor überhaupt eine inhaltliche Aufarbeitung mit den jeweiligen Themen stattfindet, muss so jeder Leserin zwangsläufig das Herz in die Hose rutschen. Die DSGVO ist damit auf dem besten Weg, den in der Öffentlichkeit bisher vorhandenen Rückhalt nicht nur zu verspielen, sondern in wutschnaubendes Unverständnis, über so viel bürokratische Überforderung zu verwandeln. Die vorrangig mit Blick auf die Netzgiganten gemünzte Drohkulisse der DSGVO droht so einen immensen Kollateralschaden zu verursachen.
Anspruch und Wirklichkeit der Datenschutzaufsicht
Das ist umso bedauerlicher, weil vieles dafür spricht, dass diese Drohkulisse mindestens eine Übertreibung oder gar nur eine Fassade ist. Schaut man sich nämlich die derzeitige und vergangene Vollzugspraxis der Aufsichtsbehörden sowie deren ehemaligen und zukünftigen Befugnisse genauer an, zeigt sich, dass der einseitige Fokus auf Bußgelder nicht nur das Wohlwollen verspielen könnte, dass das Thema Datenschutz sich erarbeitet hat. Nein, diese Schieflage droht auch zu entblößen, wie schlecht es tatsächlich um den verlässlichen und flächendeckenden Vollzug der Datenschutzgesetze in Deutschland steht.
Zu diesem Ergebnis kommt man, wenn man sich vor Augen führt, welche Botschaft mit der ständigen Betonung der neuen erhöhten Bußgeldrahmen einhergeht. Jedenfalls unausgesprochen ist doch immer die Andeutung enthalten, dass der bisherige Rahmen einfach nicht hoch genug war, um dem Datenschutz zu einer effektiven Durchsetzung zu verhelfen. Der hessische Aufsichtsbehördenchef wird sogar mit den Worten zitiert: „Wir waren zahnlos und haben jetzt Zähne bekommen.“ Zwar wird das Zitat ergänzt durch ein „Das heißt nicht, dass wir bissig geworden sind“, die Botschaft ist trotzdem deutlich: „Bisher waren den Behörden die Hände gebunden, aber jetzt sind sie endlich schlagkräftig“.
Diese Darstellung könnte allerdings nicht irreführender sein, denn seit Jahren stehen den Behörden die im alten BDSG enthaltenen Bußgeldrahmen zur Verfügung. Ausgenutzt haben sie diesen jedoch nur in überschaubarer Häufigkeit und auch nur in moderater Höhe – wenn überhaupt bindende Bescheide erlassen wurden. Die Tätigkeitsberichte der Datenschutzbeauftragten enthalten zwar nur selten konkrete Angaben zur Höhe der verhängten Bußgelder. Dort, wo konkrete Zahlen zu finden sind, zeigt sich aber, dass man sich im eher unteren Mittelfeld aufhielt.
Die Hamburgische Behörde nennt in ihrem Bericht [PDF] für den Zeitraum 2016 bis 2017 beispielsweise ein Bußgeld in Höhe von 15.000 €. Das Bayerische Landesamt schildert in seinem Tätigkeitsbericht [PDF] aus den Jahren 2013 und 2014, dass in diesen zwei Jahren zwar beachtliche 117 Bußgeldverfahren geführt wurden, die meisten allerdings ohne Sanktion eingestellt wurden. Nur in 37 Fällen wurde ein Bußgeld verhängt und alle Bußgelder zusammen summierten sich auf rund 200.000 €.
Davon, dass für Bagatellen Maximalbußgelder verhängt (und auch gerichtlich akzeptiert) wurden, kann also keine Rede sein. Ganz im Gegenteil, in vielen Fällen – so die Tätigkeitsberichte der Datenschutzbehörden – wurden die Bußgelder sogar noch auf eingelegten Einspruch der Beschuldigten durch die Amtsgerichte reduziert. Und bei alledem ist noch nicht einmal berücksichtigt, dass die Aufsichtsbehörden auch nach altem Recht bereits die Möglichkeit hatten, ohne Obergrenze auch den durch die Datenschutzverstöße erzielten Gewinne abzuschöpfen. Es ist mit Blick auf die bisherige Praxis der Behörden deshalb schlicht unrealistisch, ab Geltungsbeginn der DSGVO nun zum Beispiel wegen kleinsten Fehlern in einer Datenschutzerklärung, Millionenbußgelder zu fürchten.
Bußgelder müssen verhältnismäßig sein
Anzusprechen ist in diesem Zusammenhang allerdings eine Äußerung des Hamburgischen Aufsichtsbehördenleiters, der im Rahmen einer Fachtagung mit der Aussage zitiert wurde, nun alle Bußgelder entsprechend dem Verhältnis der alten und neuen Maximalsummen mit dem Faktor 67 multiplizieren zu wollen. Das passt insofern ins Bild, als dass die hamburgische Behörde – soweit ersichtlich – diejenige deutsche Aufsichtsbehörde ist, die mit der derzeit höchsten Gesamtsumme von einer Million Euro aufwarten kann. Dabei handelt es sich allerdings nicht um ein Bußgeld, sondern um ein verwaltungsrechtliches Zwangsgeld im Zusammenhang mit der Verarbeitung der Daten von Whatsapp-Nutzern durch Facebook.
Beides ändert jedoch nichts daran, dass die Bußgeldhöhe immer schon an den wirtschaftlichen und persönlichen Verhältnissen der Verantwortlichen zu messen war. Eine Hobbybloggerin wird aber nun einmal nicht automatisch wohlhabender, nur weil der maximale Bußgeldrahmen erhöht wird. Stattdessen wird auch nach der DSGVO eine im Einzelfall verhältnismäßige Bußgeldhöhe zu verhängen sein, die angesichts der wirtschaftlichen Verhältnisse der Webseitenbetreiberin eine effektive, aber keine unverhältnismäßige Wirkung entfaltet.
Der Fokus auf diesen neuen Bußgeld-Maximalrahmen erweckt den Eindruck, dass die Datenschutzbehörden nun mit eisernem Besen durch die Blogs und Webseiten fegen und sich dabei auf den Erlass von Bußgeldbescheiden konzentrieren werden. Verstärkt wird diese Wahrnehmung dadurch, dass selbst bekannte Datenschutz-Fürsprecher wie Jan-Philipp Albrecht oder Max Schrems mit geradezu martialischen Statements wie „Es wird kein Pardon geben“ und „Begging For The 4 Percent“ Stimmung machen. Und natürlich kommt eine möglichst große Verunsicherung auch all jenen entgegen, deren Rechtsberatungs- und Compliance-Dienstleistungen von diesem Mix aus Rechtsunsicherheit und Drohkulisse profitieren. Nicht ohne Zynismus sprechen einige davon, dass die DSGVO vor allem die Anwältinnen gut verdienen lässt. Die entscheidenden Akteure bei alledem ignorieren diese Stimmen jedoch: Die Aufsichtsbehörden. Sie sind es schließlich, die als Bußgeldverantwortliche die aufgebaute Drohkulisse wahr machen sollen.
Bedingt aufsichtsbereit
Eben diese Aufsichtsbehörden allerdings betonen mittlerweile immer offener, dass sie selbst noch nicht einmal fit für die Anforderungen der DSGVO sind. Der Baden-Württembergische Behördenleiter schätzte beispielsweise, dass ein Drittel der Aufsichtsbehörden gar nicht in der Lage ist , adäquat auf Verstöße zu reagieren. Die Nordrhein-Westfälische Aufsichtsbehördenleiterin musste eingestehen, vor Ende des Jahres die von der DSGVO geforderte Online-Meldemöglichkeit von Datenschutzbeauftragten gar nicht anbieten zu können und daher unterlassene Meldungen auch nicht ahnden zu wollen. Die Schleswig-Holsteinische Aufsichtsbehörde schließlich schaltete eine Woche vor Geltungsbeginn der DSGVO aus Überforderung schlicht das Telefon für Beratungsanfragen ab. Europaweit sieht es nicht viel besser aus. Wer vor diesem Hintergrund die Sorge schürt, eben diese Behörden werden ab dem 25.05.2018 in bisher ungeahnter Art und Weise zum Vollzug übergehen, stellt im Namen der Aufsichtsbehörden einen Scheck aus, den diese unter Umständen nicht werden einlösen können.
Die ständige Betonung der Bußgelder lenkt darüber hinaus auch von der Tatsache ab, dass zu den ureigenen Aufgaben der Aufsichtsbehörden gleichrangig neben der Durchführung von Bußverfahren auch die aktive Behebung von Mängeln in der Datenverarbeitung steht. Nicht allein die Ahndung vergangener Verstöße, sondern vor allem auch die Behebung bestehender Mängel gehört zu den Befugnissen der Behörden. Wenn etwa auf einem Blog das Tracking via Google Analytics nicht korrekt konfiguriert ist, kann die Aufsichtsbehörde zunächst einmal konkrete Maßnahmen anordnen, die nötig sind, um einen rechtskonformen Einsatz herzustellen. Ob daneben oder darüber hinaus überhaupt ein Bußgeld für den fehlerhaften Einsatz angemessen ist, hängt vom Einzelfall ab. Ebenso denkbar und im Ermessen der Aufsichtsbehörde steht es, dass kein Verfahren eingeleitet wird oder dass statt eines Bußgeldes nur eine Verwarnung erteilt wird.
Eine Hypothek für den Datenschutz
Und damit tritt schließlich ein letzter Aspekt zutage, der zu der durch die DSGVO ausgelösten Verunsicherung beiträgt: Die Datenschutzbehörden waren bisher schlicht für die allermeisten Bloggerinnen, Hobbyfotografinnen und App-Entwicklerinnen völlig unbekannte Akteure. Während jede Autofahrerin schon einmal in eine Verkehrskontrolle geraten oder einen Strafzettel fürs Falschparken kassiert haben dürfte, gab es im Bereich der Datenverarbeitung bisher praktisch keine flächendeckende Aufsichtstätigkeit. Die DSGVO zerrt damit in gewisser Weise auch die Aufsichtsbehörden selbst ins DSGVO-Scheinwerferlicht, an das diese sich ebenfalls erst einmal gewöhnen müssen.
Wie sie sich auf dieser auch für sie noch neuen Bühne verhalten, ist bisher nicht absehbar. Dass auf die bisherige Ära der Zurückhaltung nun die Zeit der Überreaktion folgt, ist dabei angesichts der weitgehend unveränderten Personalausstattung und strategischen Ausrichtung der meisten Behörden wahrlich nicht das naheliegende Szenario.
Ein dem widersprechendes Bild zu malen, führt daher nicht nur zu unnötiger Verunsicherung zulasten der wohlwollenden Haltung vieler Netzaffiner gegenüber dem Datenschutz. Es könnte sich auch als Eigentor erweisen, wenn durch das Wecken allzu großer Erwartungen letztlich doch nur die Defizite der deutschen Datenschutzpraxis ans Licht gebracht wurden. Damit würden die Chancen, die ein einheitlicher und europaweit koordinierter Datenschutz bedeuten, verspielt.