Im Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Seither sind in Deutschland und in ganz Europa die Bußgeldverfahren bei einem Datenschutzverstoß drastisch gestiegen. Mit einem Bußgeld von 35,5 Millionen Euro wurde das bisher höchste Bußgeld gegen ein Textilunternehmen ausgestellt. Im DSGVO-Portal werden die verhängten Bußgelder bei Verstößen gegen den Datenschutz veröffentlicht.
Wie es zu einem Bußgeldverfahren bei einem Datenschutzverstoß gegen die DSGVO kommt und wie dieses abläuft, erfahren Sie in diesem Artikel.
Wird ein Datenschutzverstoß bei der Behörde gemeldet, kommt es oft zu einem Bußgeldverfahren gegen das verantwortliche Unternehmen. Das Verhängen eines Bußgelds richtet sich durch Verweis des Art. 83 DSGVO nach dem §41 und §43 BDSG, sowie nach dem Gesetz gegen Ordnungswidrigkeiten (OWiG) und der Strafprozessordnung (StPO).
Grundsätzlich gilt aber, dass es keine Pflicht zur Verhängung von Bußgeldern gibt, sowie, dass es keine Pflicht zur Einleitung eines Verfahrens gibt. Die Entscheidung hierüber liegt im Ermessen der Behörde, die ihre Entscheidung vor allem auch stark davon abhängig macht, wieviele und welche personenbezogenen Daten abgeflossen sind. Somit führt nicht jeder Datenschutzverstoß zu der Verhängung eines Bußgelds.
Hier erfahren Sie mehr darüber wie es überhaupt zu einem Datenschutzverstoß kommen kann, bevor dieser gemeldet und das nachfolgende Verfahren eingeleitet wird.
Der Ablauf eines Bußgeldverfahrens bei einem Datenschutzverstoß
Das Bußgeldverfahren bei einem Datenschutzverstoß wird in der Regel mit der Abgabe eines Verdachtsmoments bei der zuständigen Sanktionsstelle eingeleitet. Diese wendet sich dann mittels Schreiben mit der Bitte um Auskunft an das verantwortliche Unternehmen. Nach Erhalt des schriftlichen Auskunftsersuchens hat das betroffene Unternehmen die Möglichkeit, Stellung hierzu zu beziehen und den Fall aus seiner Sicht genau aufzuklären. Spätestens zu diesem Zeitpunkt des Verfahrens sollte der Datenschutzbeauftragte informiert werden, wenn dies nicht schon geschehen ist.
Ihr Datenschutzbeauftragter kann Ihnen helfen, die Risiken abzuschätzen und mit Ihnen das weitere Vorgehen zu besprechen, sowie direkte Maßnahmen einzuleiten, um sich beispielsweise vor einer weiteren Datenpanne oder einem Datenschutzverstoß zu schützen. Nach der Stellungnahme des betroffenen Unternehmens prüft die zuständige Behörde, wie mit dem Fall weiter verfahren wird. Stellt sich durch die Stellungnahme heraus, dass es zu keinem Datenschutzverstoß gekommen ist, wird das Verfahren eingestellt und es kommt zu keinem Bußgeld. Sofern der Verdacht nicht widerlegt werden kann, wird gegen das betroffene Unternehmen ein Bußgeld verhängt.
Im nächsten Schritt bekommt das Unternehmen den Bußgeldbescheid zugeschickt (§ 65 f. OWiG), welches dann zwei Wochen Zeit hat, diesen zu prüfen und Einspruch einzureichen (§67 OWiG). Das Unternehmen hat die Möglichkeit, die Verhältnismäßigkeit des Bußgelds anzuklagen, sodass dieses noch einmal angepasst werden kann. Ob sich die Anklage lohnt, ist immer einzelfallabhängig und sollte ebenso vorher mit dem Datenschutzbeauftragten oder mit einem Anwalt besprochen werden.
Kommt es allerdings zu einem Einspruch, kann die Behörde folgende Schritte einleiten:
- Mögliche Weiterleitung an die Staatsanwaltschaft
- Mögliche Weiterleitung ans Amtsgericht oder ans Landgericht
Ob der Einspruch begründet ist, prüft zunächst die Behörde. Die Behörde entscheidet dann darüber, den Bescheid einzustellen (§ 69 Abs.2 S.1 OWiG) oder das Verfahren aufrecht zu erhalten und an die Staatsanwaltschaft weiterzugeben (§ 69 Abs.2. S.1, Abs.3 S.1 OWiG). Die Staatsanwaltschaft nimmt dann möglicherweise weitere Ermittlungen vor. Wenn das Verfahren weder eingestellt wird, noch weitere Ermittlungen durchgeführt werden, so legt die Staatsanwaltschaft die Akten dem Richter vor (§69 Abs.4 S.2 OWiG). Die Staatsanwaltschaft entscheidet gemeinsam mit der Behörde, ob das Verfahren eingestellt wird oder ob der Fall an das zuständige Gericht weitergeleitet wird (§41 Abs.2 S.3 BDSG). Bei einer Höhe des Bußgelds von über 100.000,00 € wird das Verfahren direkt an das Landgericht weitergegeben, bei einer Höhe von unter 100.000,00 € ans Amtsgericht (§41 Abs.1 S.3).
Liegt der Fall beim Gericht, so hat das Gericht die Verpflichtung, den Sachverhalt zu prüfen und aufzuklären, um dann den endgültigen Bescheid auszusprechen. Es bestehen die Möglichkeiten, dass das Verfahren eingestellt wird, dass dem Unternehmen der endgültige Bußgeldbescheid ausgestellt wird, eine Nebenfolge verhangen wird oder, dass ein Freispruch erfolgt (§72 Abs. 3 S.1 OWiG). Mit der letzten Entscheidung endet das Verfahren.
Was können Unternehmen machen, um einem Bußgeldverfahren bei einem Datenschutzverstoß vorzubeugen?
Ein gutes Datenschutzniveau sollte in jedem Unternehmen vorhanden sein. Wenn das Unternehmen gemeinsam mit dem Datenschutzbeauftragten ein ordentliches Datenschutzmanagement aufstellt, auf Betroffenenanfragen sorgfältig und zeitnah reagiert, sowie ein gutes IT-Sicherheitsniveau aufweist, so kann das Unternehmen sich weitestgehend vor Datenschutzvorfällen schützen.
In Ihrem Unternehmen liegt ein möglicher Datenschutzverstoß vor und Sie wissen nicht, wie Sie am besten handeln?
Wir helfen Ihnen! Unsere Berater im Datenschutz schätzen die Situation in Ihrem Unternehmen ein und unterstützen Sie bei den folgenden Schritten.
Sprechen Sie uns an!
Pia Peltzer