Die Datenschutzkonferenz des Bundes und der Bundesländer (NDSK) hat am 16. Oktober 2019 ihr Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Es wird ausdrücklich darauf hingewiesen, dass Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich seien.
Da auch dieses Konzept, um die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen, an den Umsatz eines Unternehmens bei der Bußgeldzumessung anknüpft, bleibt ein Kritikpunkt bestehen, der schon zur modifizierten Version des Konzepts geäußert wurde. Bei größeren Unternehmen wird das Konzept der DSK zur Bußgeldzumessung schnell zu überhöhten Bußgeldern führen, welche dann voraussichtlich vor Gericht landen und dort angepasst werden müssen.
Bisher wurden in sechs Bundesländern Bußgelder verhängt:
Baden-Württemberg (7 Fälle/203.000 Euro);- Rheinland-Pfalz (9 Fälle/124.000 Euro);
- Berlin (18 Fälle/105.600 Euro);
- Hamburg (2 Fälle/ 25.000 Euro);
- Nordrhein-Westfalen (36 Fälle/15.600 Euro);
- Saarland (3 Fälle/590 Euro).
Strafen in Millionenhöhe, wie im Vorfeld der DSGVO von Unternehmen und Vereinen befürchtet, sind bislang noch nicht verhängt worden.
Das es auch kleinere Unternehmen treffen kann zeigt ein Fall aus Hamburg. Dort hatte die Datenschutzbehörde mit Datum vom 17.Dezember 2108 einen Bußgeldbescheid an ein kleines Versandunternehmen versandt und dieses aufgefordert, einen Betrag von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Begründet wird dieser Bescheid nach Art. 83 Abs. 4 DSGVO durch das Fehlen eines Auftragsverarbeitungsvertrags.
Dabei hatte das Unternehmen selbst den Vorgang angestoßen. Per E-Mail wurde der Hessische Landes-Datenschutzbeauftragte um Rat gefragt. Denn ein Unternehmen, das Kundendaten des Versandunternehmens verarbeitet, hatte trotz mehrfacher Anforderung keinen Vertrag zur Auftragsverarbeitung (Artikel 28 DS-GVO) übersandt.
Die Landes-Datenschutzbehörde teilte mit, dass die Pflicht, eine solche Vereinbarung abzuschließen, nicht nur den Dienstleister, sondern auch den Auftraggeber treffe. Das Unternehmen müsse daher in eigenem Interesse dafür sorgen, dass ein entsprechender Vertrag nach Artikel 28 DS-GVO geschlossen wird. Das Unternehmen aber wollte sich diese Arbeit nicht machen.
Mehr hierzu können Sie hier nachlesen.
Quelle: Heise-Online