Eine der augenscheinlichsten Änderungen, welche die Datenschutz-Grundverordnung (DSGVO) mit sich bringt, ist die Anhebung der Bußgelder von aktuell bis zu EUR 300.000 auf bis zu EUR 20.000.000 oder im Fall eines Unternehmens auf bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes. Die irische Datenschutzbeauftragte Helen Dixon kommentierte in einem kürzlich gegebenen Interview, wie ihre Behörde zu den neuen Regelungen steht.
Der Inhalt im Überblick
Zuständigkeit der Aufsichtsbehörden
Die Befugnis zur Verhängung von Bußgeldern liegt bei den jeweils zuständigen Aufsichtsbehörden. Diese haben sicherzustellen, dass die Verhängung der Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag sind – neben Art, Schwere und Dauer, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes – eine ganze Reihe von Kriterien zu berücksichtigen. Im Rahmen dieses Kriterienkatalogs ist es den Aufsichtsbehörden überlassen, über das Verhängen von Geldbußen und deren Höhe nach eigenem Ermessen zu entscheiden. Dadurch ergeben sich gewisse Spielräume, in denen sich die Aufsichtsbehörden frei bewegen können, auch wenn die Aufsichtsbehörden zu einer einheitlichen Anwendung der DSGVO in der Union angehalten sind. Die Frage, wie die Aufsichtsbehörden der einzelnen Mitgliedsstaaten mit den ihnen überlassenen Spielräumen umgehen werden, wird sich abschließend wohl erst beantworten lassen, wenn die ersten Bußgelder tatsächlich verhängt werden.
Ankündigung der irischen Datenschutzbeauftragten
Die irische Datenschutzbeauftragte gewährte vor kurzem einen ersten Einblick auf ihre Einstellung zu den neuen Bußgeldvorschriften.
Die Frage, ob sie bereit sei, die ganze Reichweite der Bußgeldvorschriften auszureizen, beantwortete sie mit einem einfachen „Ja“. Der europäische Gesetzgeber habe die Bußgelder in der Erwartung festgelegt, dass es Fälle geben werde, in denen entsprechend hohe Bußgelder angemessen sind. Ihre Behörde werde, soweit die entsprechenden Voraussetzungen gegeben sind, daher auch entsprechende Bußgelder verhängen.
Der gegebenenfalls bestehenden Erwartung, dass es aufgrund der extremen Anhebung der Bußgelder eine Art „Eingewöhnungsphase“ geben werde, erteilte Dixon eine klare Absage. Die DSGVO lege zwar Kriterien fest, die bei der Beurteilung zu verhängender Bußgelder zu beachten sind, wozu auch die Kooperation der verantwortlichen Stelle gehöre. Zweite Chancen werde es bei ihr jedoch nicht geben.
Was wir Frau Dixon gerne noch gefragt hätten
Einige Stimmen in Deutschland halten die Bußgeldbestimmungen der DSGVO verfassungsrechtlich für bedenklich, da Bußgelder auch im Falle von Verstößen gegen Regelungen verhängt werden können, die eine Vielzahl von unbestimmten Rechtsbegriffen enthalten. Ein rechtssicherer Umgang mit den Vorschriften der Datenschutz-Grundverordnung werde dadurch für die verantwortlichen Stellen erschwert. Diese Kritik wurde in dem Interview mit der irischen Datenschutzbeauftragten leider nicht aufgegriffen.
Datenschutzrechtliche Rosine der EU?
Die Aussagen der irischen Datenschutzbeauftragten sind sehr allgemein gehalten und enthalten letztendlich wenig konkretes.
Ob Irland bei Verstößen in Zukunft auch entsprechend durchgreifen oder versuchen wird, seine bisherige Position in punkto Datenschutz zu wahren, bleibt abzuwarten. Schließlich ist Irland europäische Heimat einiger amerikanischer Datenriesen und galt in vergangenen Jahren eher als die datenschutzrechtliche Rosine der EU.
Frau Dixon, die lange für US Multis gearbeitet hat, hat meines Wissens nach in den letzten drei Jahren nicht gezeigt, dass sie zu den Hardlinern gehört. Nicht zuletzt unter ihr sind die Witze über das Data Protection Department in Irland entstanden, dass schon von der Immobilie her nicht gerade beeindruckt: Link zu Google Streetview