Aktuell in CR

Das Opportunitätsprinzip für die Verhängung von Bußgeldern nach der DSGVO (Golla, CR 2018, 353)

Nachdem eine Bußgeld-Apokalypse vorerst ausgeblieben ist (I.), untersucht dieser Beitrag in CR 6/2018, ob Datenschutzaufsichtsbehörden jeden ihnen bekannt werdenden Datenschutzverstoß mit Bußgeldern sanktionieren müssen oder die DSGVO ein neues Opportunitätsprinzip begründet (II.). Er klärt darauf aufbauend den verbleibenden Raum für das Opportunitätsprinzip nach § 47 OWiG (III.). Im Ausblick erscheint das Bußgeld als nur ein Sanktionsinstrument im Konzert der Eingriffsmöglichkeiten, das die DSGVO bei Datenschutzverstößen anstimmt (IV.).

Inhaltsverzeichnis:

I. Vom Ausbleiben der Apokalypse

II. Opportunitätsprinzip nach der DSGVO

1. Ansatz der Art. 29-Gruppe
2. Ermessen für Datenschutzaufsichtsbehörden im Rahmen der Verhältnismäßigkeit
3. Sanktionen als Regelfall?
4. Der Sanktions-Begriff der DSGVO
5. Österreichischer Ansatz
6. Zwischenergebnis: eigenständiges Opportunitätsprinzip der DSGVO

III. Opportunitätsprinzip nach § 47 OWiG

1. Anwendbarkeit unter der DSGVO
2. Unionsrechtskonforme Auslegung
3. Divergierende Ansätze in EU-Mitgliedstaaten

IV. Ausblick: Tortenschlacht statt Apokalypse?

1. Künftige Bußgeldpraxis
2. Bußgelder als eine von vielen möglichen Sanktionen

 

_______________________

 

I. Vom Ausbleiben der Apokalypse

[1] Der 25.5.2018 ist verstrichen und die Apokalypse ausgeblieben. Es wurden nicht zehntausende Bußgeldbescheide nach Art. 83 DSGVO an Blogger, Bäckereien1 und Hundesportvereine zugestellt. Mitarbeiterinnen der Aufsichtsbehörden haben nicht in Windjacken mit dem Aufdruck „LfDI Sanktionsstelle“ die Zentralen von IT-Unternehmen gestürmt. Die als „größte Katastrophe des 21. Jahrhunderts“2 beschworene DSGVO ist nicht zur Weltvernichtungsmaschine geworden, sondern auf dem Weg, sich nachhaltig als zentrale Regelung des europäischen Informationsrechts zu etablieren.3 Die Propheten des Untergangs schütteln sich das Konfetti aus dem Haar und gehen ihrer täglichen Arbeit nach.

[2] Das Sanktionsrecht der DSGVO wirft viele rechtsdogmatisch interessante und praktisch wichtige Fragen auf. Neben den Diskussionen um den Unternehmensbegriff der DSGVO4 und das durch Art. 83 DSGVO grundlegend neu begründete System der Täterschaft und Haftung von juristischen Personen5 geraten die rechtsstaatlich bedenkliche Unbestimmtheit der Vorschriften (nach Maßgabe von Art. 49 Abs. 1 GRCh )6 sowie das Fehlen eines allgemeinen Teils des Bußgeldrechts der Europäischen Union und die Grundlagen des Bußgeldverfahrens7 in den Fokus.

[3] Dieser Beitrag widmet sich einer grundlegenden Frage des Bußgeldverfahrens, um die jüngst aufgrund der österreichischen Anpassungsgesetzgebung zur DSGVO eine heftige Diskussion entbrannte:8

 

Sind die Datenschutzaufsichtsbehörden verpflichtet, sämtliche ihnen zur Kenntnis gelangenden Datenschutzverstöße nach der DSGVO mit Bußgeldern zu sanktionieren?
 

II. Opportunitätsprinzip nach der DSGVO

[4] Die DSGVO misst der Sanktionierung von Datenschutzverstößen gegenüber der Richtlinie 95/46/EG und dem BDSG a.F. eine erhöhte Bedeutung zu.9 Dies ergibt sich schon aus der detaillierten Regelung der Bußgelder in Art. 83 DSGVO im Vergleich zu Art. 24 Richtlinie 95/46/EG , der den Mitgliedsstaaten für die Sanktionierung von Datenschutzverstößen einschließlich der Verhängung von Bußgeldern einen weiten Regelungsspielraum einräumte.10 Der strengere Regelungsansatz der DSGVO ist nachvollziehbar, klafft doch im Datenschutzrecht zwischen den rechtlichen Vorgaben und ihrer Befolgung eine so große Lücke „wie in fast keinem anderen Rechtsgebiet“.11

1. Ansatz der Art. 29-Gruppe

[5] Die DSGVO führt allerdings nicht dazu, dass Bußgeldbehörden in jedem Fall, in dem ihnen ein Datenschutzverstoß zur Kenntnis gelangt, ein Bußgeld verhängen müssen. Diese Auffassung vertritt auch die Art. 29-Gruppe, nach der Bußgelder zwar nicht erst als letztes Mittel zur Durchsetzung der DSGVO zum Einsatz kommen sollen, gleichzeitig aber auch nicht in einer Weise genutzt werden sollen, „dass ihre Wirksamkeit als Instrument eingeschränkt wird.“12 Ein Bußgeld für jeden festgestellten Datenschutzverstoß würde einen übermäßigen, mit dem Verhältnismäßigkeitsgrundsatz nicht vereinbaren Einsatz bedeuten und wäre nicht nur mit der aktuellen Ausstattung der Datenschutzaufsicht nicht realisierbar, sondern auch nicht im Sinne der DSGVO.

2. Ermessen für Datenschutzaufsichtsbehörden im Rahmen der Verhältnismäßigkeit

[6] Um die Frage genauer zu beantworten, welcher Spielraum den Datenschutzaufsichtsbehörden für die Verhängung von Bußgeldern noch bleibt, sind primär Art. 83 Abs. 1 und Abs. 2 DSGVO heranzuziehen. Abs. 1 gibt generell für die Verhängung von Bußgeldern vor, dass diese „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein müssen.13 Diese Anforderungen sprechen nicht für die Verhängung von Bußgeldern in jedem Fall.

...

Hier geht's direkt zum Aufsatz:

- im Beratermodul CR:  Login für CR-Print-Abonnenten & registrierte Kunden

- im juris PartnerModul IT-Recht:  Login für registrierte Kunden

Weiterlesen können Sie auch im CR Schnupperabo.


Verlag Dr. Otto Schmidt vom 12.06.2018 11:12

zurück zur vorherigen Seite