© 2020 Deutscher Bundestag WD 3 - 3000 - 293/19 Regelungsspielräume des Gesetzgebers bei der Umsetzung der Bußgeldregelungen der Datenschutz-Grundverordnung Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 293/19 Seite 2 Regelungsspielräume des Gesetzgebers bei der Umsetzung der Bußgeldregelungen der Datenschutz- Grundverordnung Aktenzeichen: WD 3 - 3000 - 293/19 Abschluss der Arbeit: 16. Januar 2020 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 293/19 Seite 3 1. Einleitung und Fragestellung Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in Deutschland als unmittelbar geltendes Recht. Das im Hinblick auf das Inkrafttreten der DSGVO neugefasste Bundesdatenschutzgesetz (BDSG) ergänzt die europäischen Regelungen, bzw. füllt Spielräume aus, die der Unionsgesetzgeber den Mitgliedstaaten eingeräumt hat. Der sachliche Schutzbereich der DSGVO umfasst die automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, Art. 2 Abs. 1 DSGVO. Soweit Unternehmen und Vereine in diesem Sinne personenbezogene Daten verarbeiten, fallen sie in den Anwendungsbereich der DSGVO und müssen deren Regelungen vollständig beachten. Ergänzend hierzu sind auch die Vorgaben des BDSG zu beachten. Nach der Erlaubnisnorm des Art. 6 Abs. 1 DSGVO bedarf es für eine rechtmäßige Verarbeitung personenbezogener Daten grundsätzlich einer Einwilligung oder des Vorliegens eines Erlaubnistatbestandes. Die DSGVO sieht umfangreiche Pflichten vor, die gegenüber der alten Rechtslage zu neuen Informations- und Dokumentationspflichten führen (z. B. die Informationspflichten nach Art. 13 und Art. 14 DSGVO). Zudem sind z. B. mit den technischen und organisatorischen Maßnahmen nach Art. 25 und Art. 32 DSGVO, der Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 DSGVO, der Meldung von Datenschutzverletzungen nach Art. 33 und 34 DSGVO, der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO oder der Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO weitreichende technisch-organisatorische Pflichten vorgesehen.1 Durch die Kontroll- und Sanktionsbefugnisse soll die Einhaltung der Datenschutzbestimmungen so gut wie möglich abgesichert werden. Der DSGVO kommt die Besonderheit zu, dass sie den Mitgliedstaaten Regelungsspielräume zur Spezifizierung der in der DSGVO verankerten Grundsätze eröffnet, indem sie zahlreiche Spezifizierungs -, Verstärkungs- und Abschwächungsklauseln – in der Literatur auch als Öffnungsklauseln bezeichnet – enthält.2 Gefragt wird nach dem Spielraum, den der deutsche Gesetzgeber im Hinblick auf die Verhängung von Sanktionen, insbesondere bezüglich der Höhe hat. 1 Speziell zum Umfang der rechtlichen Vorgaben für Vereine siehe die Dokumentation der Wissenschaftlichen Dienste des Deutschen Bundestages, Datenschutzrechtliche Vorgaben und Sanktionsmöglichkeiten in Bezug auf Sportvereine, WD 3 - 3000 - 075/18 vom 16. April 2018. 2 Zum Begriff und seiner Kritik siehe Selmayr/Ehmann, in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung , 2. Auflage 2018, Einführung Rn. 88. Zu den Regelungsspielräumen, die die DSGVO dem nationalen Gesetzgebers belässt, siehe auch den Sachstand der Wissenschaftlichen Dienste des Deutschen Bundestages, Umsetzung der Datenschutz-Grundverordnung, WD 3 - 3000 - 110/18 vom 12. April 2018. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 293/19 Seite 4 2. Zum Regelungsspielraum des nationalen Gesetzgebers im Hinblick auf die Bußgeldregelungen 2.1 Regelungen des Art. 83 DSGVO Zentrale Vorschrift für die Verhängung von Bußgeldern wegen datenschutzrechtlicher Verstöße ist Art. 83 DSGVO. Art. 83 Abs. 4 und Abs. 5 DSGVO enthalten umfassende Sanktionskataloge für mögliche Verstöße gegen die datenschutzrechtlichen Vorgaben: Nach Art. 83 Abs. 4 DSGVO können Geldbußen bis zu 10.000.000 € oder im Falle eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres insbesondere bei Verstößen gegen die Pflichten der Verantwortlichen gemäß Art. 8, Art. 11, Art. 25 bis 39 und Art. 43 DSGVO verhängt werden. Geldbußen von bis zu 20.000.000 € oder im Falle eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres können bei Verstößen gegen die folgenden Bestimmungen verhängt werden: – die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Art. 5, Art. 6, Art. 7 und Art. 9 DSGVO; – die Rechte der betroffenen Person gemäß den Art. 12 bis 22 DSGVO; – die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Art. 44 bis 49 DSGVO; – alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX der DSGVO erlassen wurden; – Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DSGVO. Nach Art. 83 Abs. 1 DSGVO stellt die Aufsichtsbehörde sicher, dass die Verhängung der Geldbuße in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Art. 83 Abs. 2 DSGVO enthält eine Aufzählung von Maßstäben, die bei der Bemessung des jeweiligen Bußgeldes zu berücksichtigen sind. 2.2. Spielraum des Gesetzgebers Die europarechtlichen Vorgaben des Art. 83 DSGVO können als Mindeststandard des datenschutzrechtlichen Sanktionsregimes angesehen werden.3 Hatte die Datenschutzrichtlinie4 es den Mitgliedstaaten noch selbst überlassen, geeignete Maßnahmen zu treffen, beansprucht die DSGVO nunmehr „die behördliche Festsetzung von Geldbußen in Tatbestand und Rechtsfolge supranational und 3 Ausarbeitung der Wissenschaftlichen Dienste des Deutschen Bundestages, Umsetzung der datenschutzrechtlichen Bußgeldregelungen, WD 3 - 3000 - 184/18, vom 10. Juli 2018, S. 3. So auch Wolff, in Schantz/Wolff (Hrsg.), Das neue Datenschutzrecht, 1. Auflage 2017, Rn. 1142. 4 Vgl. Art. 24 Datenschutz-RL 95/46/EG. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 293/19 Seite 5 damit zugleich einheitlich“5 zu regeln. Im Hinblick auf die Regelungen bezüglich des Tatbestandes und des Bußgeldrahmens der Art. 83 Abs. 4 bis 6 DSGVO kommt dem nationalen Gesetzgeber kein Regelungsspielraum zu. Die Aufsichtsbehörden haben gemäß Art. 83 Abs. 1 DSGVO sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Anders als die Vorgaben der Wirksamkeit und Verhältnismäßigkeit, ist die Anforderung, dass die Ahndung auch abschreckend wirkt, keine Selbstverständlichkeit und erhöht die Komplexität der Bedingungen, unter denen die Behörde zu entscheiden hat.6 Spielräume für den deutschen Gesetzgeber eröffnen die Öffnungsklauseln der Art. 83 Abs. 7 DSGVO und Art. 84 DSGVO. Art. 83 Abs. 7 DSGVO gibt den Mitgliedstaaten die Möglichkeit festzulegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können. Im Hinblick auf Vereine und Unternehmen sind die Vorgaben des Art. 83 DSGVO aber Mindestmaß. Gemäß Art. 84 DSGVO verbleibt den Mitgliedstaaten ein Regelungsspielraum, der insbesondere zur Schaffung weiterer nationaler Bußgeld- bzw. Sanktionstatbestände genutzt werden kann. Hier ist insbesondere auf den Straftatbestand des § 42 BDSG hinzuweisen.7 Die DSGVO trifft keine Regelungen zur verfahrensrechtlichen Ausgestaltung des Bußgeldverfahrens. Diesbezüglich hat der Gesetzgeber einen Umsetzungsspielraum. Der Bundesgesetzgeber hat mit der Regelung des § 41 BDSG davon Gebrauch gemacht. Danach finden mit bestimmten Maßgaben für Bußgeldverfahren nach Art. 83 DSGVO die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß Anwendung.8 *** 5 Popp, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 83 Rn. 1. 6 Vgl. Frenzel, in: Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018, Art. 83 Rn. 7. Zur Sanktionspraxis siehe Brink, Bußgeldrahmen nach der DS-GVO: „Mit Zuckerbrot und Peitsche“, Zeitschrift für Datenschutz 2019, S. 141 und das Interview mit der Landesbeauftragten für den Datenschutz Niedersachen, Barbara Thiel und dem Datenschutzbeauftragten und Mitherausgeber der Zeitschrift für Datenschutz, Tim Wybitul, Bußgelder wegen Datenschutzverstößen – aus Sicht von Aufsichtsbehörden und Unternehmen, ZD-Interview mit Barbara Thiel und Tim Wybitul, Zeitschrift für Datenschutz 2020, S. 3 ff. 7 Siehe auch Holländer, in: Wolff/Brink, BeckOK Datenschutzrecht, 30. Edition, Stand: 01.05.2019, Art. 84 Rn. 11. 8 Zur Umsetzung bzw. Ergänzung der Vorgaben der DSGVO durch das BDSG sowie durch die Datenschutzgesetze der Länder siehe auch Ausarbeitung der Wissenschaftlichen Dienste des Deutschen Bundestages, Umsetzung der datenschutzrechtlichen Bußgeldregelungen, WD 3 - 3000 - 184/18, vom 10. Juli 2018, S. 3.