von Tim Wybitul

Mittlerweile haben mehrere deutsche Datenschutzaufsichtsbehörden zweistellige Millionenbußgelder nach Art. 83 DSGVO verhängt. Kurz nach Geltung der DSGVO war es teilweise noch durchaus möglich, sich mit den zuständigen Behörden einvernehmlich auf niedrige Bußgeldzahlungen zu einigen. So konnten wir beispielsweise bei einem der ersten auf der Grundlage der DSGVO verhängten Bußgelder mit der zuständigen Behörde eine Einigung auf eine Zahlung von 20.000 Euro erzielen. Derartige Erfolge werden vor dem Hintergrund der mittlerweile oft sehr hohen in Deutschland und anderen EU-Mitgliedstaaten verhängten Bußgelder wegen Datenschutzverstößen schwieriger.

Daher kommt es immer häufiger zu Gerichtsverfahren, in denen Richter die Wirksamkeit und die Höhe verhängter Bußgelder überprüfen. Die Erfahrung zeigt, dass es sich für Unternehmen lohnt, bei drohenden oder bereits verhängten Bußgelder genau hinzuschauen. Denn die deutschen Datenschutzaufsichtsbehörden verhängen Bußgelder in der Regel direkt gegen Unternehmen. Dabei argumentieren sie, dass sie keine Feststellungen zu dem rechtswidrigen und vorwerfbaren Verhalten einzelner Personen im Unternehmen machen müssten. Die deutschen Behörden gehen in einer entsprechenden Entschließung davon aus, dass sämtliche Datenschutzverstöße aus dem Geschäftsbetrieb heraus dem Unternehmen unmittelbar zuzurechnen wären.

Die Erfahrung zeigt, dass diese Vollstreckungspraxis der Deutschen Datenschutzaufsichtsbehörden durchaus angreifbar ist. So hat sich kürzlich ein mit der Entscheidung über ein hohes DSGVO-Bußgeld befasstes Gericht klar gegen diese Vorgehensweise ausgesprochen. Die Richter bewerteten den zugrunde liegenden Bußgeldbescheid als unwirksam.

In dem hier abrufbaren Überblick aus der aktuellen Zeitschrift für Datenschutz (ZD) fassen wir die für die Praxis wichtigsten Argumente und Strategien für die Verteidigung gegen direkt gegen Unternehmen verhängte DSGVO Bußgelder zusammen. Der Beitrag erscheint mit freundlicher Genehmigung des Verlag C. H. Beck.