© 2018 Deutscher Bundestag WD 3 - 3000 - 184/18 Umsetzung der datenschutzrechtlichen Bußgeldregelungen Ausarbeitung Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 184/18 Seite 2 Umsetzung der datenschutzrechtlichen Bußgeldregelungen Aktenzeichen: WD 3 - 3000 - 184/18 Abschluss der Arbeit: 10.07.2018 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 184/18 Seite 3 1. Fragestellung Die Ausarbeitung thematisiert die Umsetzung der datenschutzrechtlichen Bußgeldbestimmungen, namentlich der Art. 83 und Art. 84 der Datenschutz-Grundverordnung (DSGVO). Hierbei wird sowohl auf die deutsche Rechtslage in Bund und Ländern als auch auf Regelungen in den Staaten der Europäischen Union eingegangen. 2. Bußgeldbestimmungen der DSGVO Die zentralen Vorgaben für die Verhängung von Bußgeldern wegen datenschutzrechtlicher Verstöße enthält Art. 83 DSGVO. Aufgrund des Anwendungsvorranges dieser Regelung, der aus dem Verordnungscharakter folgt (vgl. Art. 288 Abs. 2 AEUV), sind die europäischen Bußgeldregelungen unmittelbar anwendbares Recht, das ggf. entgegenstehende nationale Vorschriften verdrängt.1 Die europäischen Vorgaben sind nicht abschließend zu verstehen. Den Mitgliedstaaten bleibt, wie Art. 84 DSGVO zeigt, ein eigener Regelungsspielraum, der insbesondere zur Schaffung weiterer nationaler Bußgeld- bzw. Straftatbestände genutzt werden kann.2 Die europarechtlichen Vorgaben können dabei als Mindeststandard des datenschutzrechtlichen Sanktionsregimes angesehen werden.3 Aufgrund fehlender Vorgaben sind die Bußgeldregelungen zudem hinsichtlich der verfahrensrechtlichen Ausgestaltung auf die nationalen Gesetzgeber angewiesen.4 In der Literatur wird zudem darüber diskutiert, eine Erweiterung der Bußgeldtatbestände auf weitere Personen vorzusehen. Die bestehenden Regelungen richten sich an Verantwortliche und Auftragsdatenverarbeiter . Denkbar ist es darüber hinaus auch, Verstöße von Angestellten bußgeldrechtlich zu ahnden.5 Ausdrückliche Öffnungsklauseln zugunsten nationaler Regelungen sind zudem in Art. 83 Abs. 7 und Abs. 9 DSGVO enthalten. Nach Art. 83 Abs. 7 DSGVO kann jeder Mitgliedstaat festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können. Nach Art. 83 Abs. 9 DSGVO können Mitgliedstaaten, deren Rechtsordnung kein Bußgeldverfahren kennt, stattdessen ein gerichtliches Verfahren vorsehen. Nach dem 151. Erwägungsgrund betrifft dies Dänemark und Estland. 3. Umsetzung im nationalen Recht Die Umsetzung bzw. Ergänzung der Vorgaben der Datenschutz-Grundverordnung erfolgt vor allem durch das Bundesdatenschutzgesetz (BDSG) sowie durch die Datenschutzgesetze der Länder. Auf beiden Regelungsebenen existieren auch Vorschriften zum Bußgeldverfahren. 1 Vgl. Frenzel, in: Paal/Pauly, 2. Aufl. 2018, Art. 83 DSGVO Rn. 1. 2 Vgl. Holländer, in: Wolff/Brink, 24. Edition, Stand: 01.05.2018, Art. 83 DSGVO Rn. 89. 3 Vgl. Wolff, in: Schantz/Wolff, 1. Aufl. 2017, Rn. 1142. 4 Frenzel, in: Paal/Pauly, 2. Aufl. 2018, Art. 83 DSGVO Rn. 31. 5 Vgl. Wolff, in: Schantz/Wolff, 1. Aufl. 2017, Rn. 1144 ff. Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 184/18 Seite 4 3.1. Regelungen des BDSG Nach § 41 BDSG finden mit bestimmten Maßgaben für Bußgeldverfahren nach Art. 83 DSGVO die Vorschriften des Gesetzes über Ordnungswidrigkeiten sinngemäß Anwendung. Damit greift der Gesetzgeber für das Bußgeldverfahren auf bestehende und bekannte Verfahrensregelungen zurück. Besondere Straftatbestände sind darüber hinaus in § 42 BDSG enthalten. Ergänzende Bußgeldtatbestände enthält § 43 Abs. 1 BDSG. Nach § 43 Abs. 3 BDSG kann zudem gegen Behörden und sonstige öffentliche Stellen des Bundes im Sinne des § 2 Abs. 1 BDSG kein Bußgeld verhängt werden. 3.2. Regelungen der Länder Auch die Länder haben in ihren Landesdatenschutzgesetzen eigene Regelungen zur Bußgeldverhängung getroffen, die im Wesentlichen den bundesrechtlichen Vorgaben ähneln. In der Regel wurde auch auf Landesebene eine Verhängung von Bußgeldern gegen Behörden und öffentliche Stellen ausgeschlossen.6 Eine besondere Bußgeldregelung enthält § 22 Abs. 1 des Datenschutzgesetzes Mecklenburg- Vorpommerns (DSG-MV).7 Demnach können Mitarbeiter einer öffentlichen Stelle mit Bußgeldern belegt werden. Für die öffentliche Stelle selbst greift hingegen die Ausschlussregelung des § 22 Abs. 3 DSG-MV. Der Landesgesetzgeber erhält damit den bisherigen Rechtszustand aufrecht.8 Die Bußgelder sind in diesem Fall auf 50.000 € begrenzt. Gegenüber den Bußgeldgrenzen in Art. 83 Abs. 4 und Abs. 5 DSGVO sieht der Landesgesetzgeber deutlich niedrigere Bußgelder vor. Diese Begrenzung stellt jedoch keine Abweichung von den Vorgaben des Art. 83 DSGVO dar. Wie dargestellt, beinhaltet die Datenschutz-Grundverordnung lediglich Bußgeldregelungen für Verantwortliche und Auftragsverarbeiter, jedoch nicht für deren Mitarbeiter. Der Landesgesetzgeber hat mit der Regelung in § 22 Abs. 1 DSG-MV den Kreis der Bußgeldpflichtigen gegenüber Art. 83 DSGVO erweitert. Da dieser Bereich nicht mehr im Anwendungsbereich der Datenschutz-Grundverordnung liegt, konnte auch eine von Art. 83 DSGVO abweichende Bußgeldobergrenze geregelt werden. 4. Umsetzung in Mitgliedstaaten der Europäischen Union Die Vorgaben der Datenschutz-Grundverordnung sind in allen Mitgliedstaaten der Europäischen Union unmittelbar geltendes Recht und bedürfen streng genommen keiner Umsetzung. In den meisten Mitgliedstaaten der EU bestehen jedoch ähnliche ergänzende bzw. ausfüllende Regelungen wie im deutschen Recht. Auch von den dargestellten Öffnungsklauseln wurde in anderen europäischen Staaten Gebrauch gemacht. Dies betrifft insbesondere die Anwendbarkeit der Bußgeldtatbestände auf Behörden und öffentliche Stellen. Nach Informationen aus zahlreichen 6 Vgl. nur Art. 23 Abs. 3 des Bayerischen Datenschutzgesetzes; § 28 des Berliner Datenschutzgesetzes. 7 Abrufbar unter: https://www.datenschutz-mv.de/static/DS/Dateien/Rechtsgrundlagen/Landesdatenschutzgesetz.pdf (Stand: 10.07.2018). 8 Gesetzentwurf der Landesregierung Drs. 7/1568 S. 53; abrufbar unter: http://www.dokumentation.landtagmv .de/parldok/dokument/40493/gesetz_zur_anpassung_des_landesdatenschutzgesetzes_und_weiterer_datenschutzrechtlicher _vorschriften_im_zustaendigkeitsbereich_des_ministeriums_fuer_in.pdf (Stand: 10.07.2018). Wissenschaftliche Dienste Ausarbeitung WD 3 - 3000 - 184/18 Seite 5 EU-Ländern ist eine Verhängung von Bußgeldern gegen Behörden und öffentliche Stellen wie in Deutschland ausgeschlossen oder nur unter erheblichen Einschränkungen möglich. Dies betrifft namentlich Belgien, Luxemburg, Lettland, Litauen, Estland, Schweden, Kroatien, Portugal, Polen, Frankreich und Österreich. Besondere Vorgaben für die Bußgeldbemessung bzw. für die Handhabung der Bußgeldregelungen bestehen zudem in Portugal und Österreich. So ergänzt der portugiesische Gesetzgeber beispielsweise die Maßstäbe für die Bemessung des Bußgeldes nach Art. 83 Abs. 2 DSGVO. Demnach ist neben den dort genannten Kriterien für die Bußgeldhöhe auch ausschlaggebend, wie die wirtschaftliche Situation eines Verantwortlichen aussieht , ob es sich um einen einmaligen oder wiederholten Verstoß handelt und bei einer juristischen Person, welche Größe diese hat, bzw. welche Tätigkeiten diese ausübt. Die Vorgaben konkretisieren Art. 83 Abs. 2 DSGVO, dessen lit. k jedoch ohnehin die Berücksichtigung aller anderen erschwerenden oder mildernden Umstände verlangt und daher als Auffangklausel anzusehen ist.9 Auch der österreichische Gesetzgeber hat eigene Ausgestaltungen des Bußgeldverfahrens vorgenommen . Hervorzuheben ist hierbei vor allem § 11 des Österreichischen Datenschutzgesetzes. Dieser lautet: „Die Datenschutzbehörde wird den Katalog des Art. 83 Abs. 2 bis 6 DSGVO so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird. Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“10 Die Regelung kann als gesetzgeberische Klarstellung des Verhältnismäßigkeitsgrundsatzes angesehen werden, der ebenfalls ohnehin bei der Anwendung der Bußgeldregelungen gilt. Eine abweichende Regelung zu Art. 83 DSGVO kann die österreichische Norm grundsätzlich nicht beinhalten, da sie mangels entsprechender Öffnungsklausel in diesem Falle von den europäischen Vorgaben verdrängt werden würde. *** 9 Frenzel, in: Paal/Pauly, 2. Aufl. 2018, Art. 83 DSGVO Rn. 13. 10 Die Norm ist abrufbar unter: https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=27a4f797-b4cc- 4070-a46e-91bba60b6edb&Position=1&Abfrage=Bundesnormen&Kundmachungsorgan=&Index=&Titel=dsg&Gesetzesnummer =&VonArtikel=&BisArtikel=&VonParagraf=11&BisParagraf=&VonAnlage=&BisAnlage =&Typ=&Kundmachungsnummer=&Unterzeichnungsdatum=&FassungVom=14.06.2018&VonInkrafttretedatum =&BisInkrafttretedatum=&VonAusserkrafttretedatum=&BisAusserkrafttretedatum=&Normabschnittnummer- Kombination=Und&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&Result- PageSize=100&Suchworte=&Dokumentnummer=NOR40201398 (Stand: 10.07.2018).