Die Sanktionen

Die Datenschutz-Grundverordnung ermöglicht im Vergleich zu den vorherigen Regeln der Mitgliedstaaten deutlich schärfere Sanktionen. Verletzt der Verantwortliche administrative Pflichten (wie etwa das Anlegen eines Verzeichnisses der Vorgänge, den Abschluss eines Vertrages mit Auftragsverarbeitern oder die rechtzeitige Meldung von Verletzungen) drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des globalen Umsatzes. Werden dagegen datenschutzrechtliche Prinzipien oder Betroffenenrechte verletzt, dann kann sich das Bußgeld sogar auf 20 Millionen Euro oder 4 Prozent des Umsatzes erhöhen.

Wie immer bei Ordnungswidrigkeiten kommt es auf ein Verschulden nicht an. Die Behörden haben bei ihrer Entscheidung über die Verhängung einer Geldbuße in jedem Fall Aspekte wie Art, Schwere, Dauer, vom Betroffenen getroffene Maßnahmen zur Minderung, Umfang der Zusammenarbeit mit der Aufsichtsbehörde und dergleichen zu berücksichtigen. Das schafft einen großen Ermessensspielraum der NAIH, der für den Rechtsverletzer jedoch nicht von Vorteil sein muss … Er ist eher bedrohlich.

Daneben – eventuell noch viel härter – haftet der Verarbeiter jetzt auch für alle durch eine Verletzung verursachten materiellen und immateriellen Schäden des Betroffenen. Jetzt ist also klargestellt, dass auch (nur) eine Rufschädigung sehr teuer werden kann. Zu guter Letzt, natürlich haften Geschäftsführer und interne Datenschutzbeauftragte gegenüber ihrem Unternehmen auch persönlich, wenn sie schuldhaft Bußgelder oder Ansprüche Dritter auslösen.

Der Alp der Beschwerde

Bisher waren systematische Überprüfungen der verantwortlichen Unternehmen – ähnlich wie eine steuerliche Betriebsprüfung – im Datenschutzrecht selten. Die ungarische Datenschutzbehörde hat schlicht nicht genug Mitarbeiter, um branchen- oder problemspezifisch Unternehmen oder Unternehmensgruppen anzugehen. Aber der wirkliche Feind – wenn man so will – lauert ohnehin woanders. Immer öfter drohen Betroffene, ob nun berechtigt, sachfremd oder fast schon erpresserisch, etwa bei arbeitsrechtlichen Konflikten die Datenschutzbehörden einzuschalten.

Zeigte man früher Anwälte bei der Kammer, Geschäftspartner beim Finanzamt oder Arbeitgeber bei den Sozialversicherungsträgern an, so ist jetzt die Beschwerde bei der NAIH „à la mode“. Jede betroffene Person hat nach der DSGVO (Art. 77 I) das Recht auf Beschwerde bei einer Aufsichtsbehörde. Die NAIH ist gehalten, sich mit der Beschwerde zu befassen und zu entscheiden. Seit Inkrafttreten der Datenschutz-Grundverordnung hat sich die Zahl der Beschwerden um Hunderte erhöht.

Bußgeldpraxis in Europa

Trotz Harmonisierung des Rechts ist auch die Praxis der jeweiligen Behörden der Mitgliedstaaten bei der Verhängung von Bußgeldern sehr uneinheitlich. Untersuchungen in Ungarns Nachbarländern zeigen, dass Rumänien und Kroatien bis zum Frühjahr 2019 – also im ersten Jahr nach Inkrafttreten der europäischen Grundverordnung – kein einziges Bußgeld verhängt hatten. Österreichs Behörden sprachen bis Ende März nur neun, recht moderate Bußgelder aus. Deutlich aktiver war die slowenische Aufsicht (21 Bussgelder), aber ihre Gesamtsumme erreichte gerade einmal 50.000 Euro.

Ein etwas anderer Wind weht allerdings in Deutschland. Im Heimatland des Datenschutzrechts wurden seit Inkrafttreten der DSGVO 72 Bußgelder ausgesprochen. Dort entscheiden die Bundesländer, und Baden-Württemberg erwies sich bisher am Schärfsten. Entgegen der verbreiten Auffassung, auch im Datenschutzrecht gebe es in Deutschland ein „Nord-Süd-Gefälle“, sei jedoch vermerkt, dass allein der „Musterstaat“ Bayern bisher gänzlich auf Sanktionen verzichtet hat, um die Verarbeiter noch zu schonen.

Viel interessanter als die Frage nach der Höhe der Bußgelder ist es jedoch zu erörtern, weshalb die Behörden eingreifen und ob sie einheitlich strafen. Im Juni trafen sich die deutschen Datenschutzexperten zur „Zwischenkonferenz 2019 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ und diskutierten ein neues Rechenmodell. Das berechnet übersichtlich und sehr schematisch die Höhe der Geldbußen, die künftig für Datenschutzverstöße fällig werden können.

Bereits im August hatte die Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues, gegenüber dpa angekündigt, bald ein Bußgeld in Millionenhöhe verhängen zu wollen. Allerdings stehe man noch am Anfang. Wie deutlich die Datenschützer hinter dem Konzept stehen, lässt das Protokoll der Zwischenkonferenz erahnen. Darin heißt es, dass das vorgestellte Konzept auf Interesse gestoßen sei, da es „im Gegensatz zu anderen Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ gewährleiste. Es ist eine Reaktion auf das Modell der französischen Datenschutzbehörde CNIL, das den deutschen Datenschützern zu wenig nachvollziehbar und zu sehr einzelfallbezogen war (JUVE Rechtsmarkt 10/2019).

…und in Ungarn

„Ein Jahr nach Ablauf der GDPR-Nachfrist wird jeder nicht gemeldete Datenvorfall, von dem wir Kenntnis erlangen, geahndet.“dr. Attila Péterfalvi, Präsident der ungarischen Behörde für Datenschutz und Informationsfreiheit (NAIH), August 2019

Eine ähnliche Kritik würden deutsche Datenschützer wohl auch an Ungarn richten. Auch hier war die Vorgehensweise bisher eher „erratisch“, das heißt wenig stringent und berechenbar. Die Auswahl der bestraften Verarbeiter scheint willkürlich. Im Jahre 2018 führte NAIH 1.205 Prüfungsverfahren durch, 233 Untersuchungen wurden durch gemeldete Datenschutzverletzungen angestoßen. Bis zum Frühjahr 2019 wurden sechs Bußgelder verhängt, in der Regel wegen fehlender Rechtsgrundlage für die Verarbeitung, mangelnder Aufklärung der Betroffenen über die Verarbeitung oder weil Verletzungen nicht innerhalb der 72-Stundenfrist gemeldet wurden.

Und die Auswahl der Verarbeiter? Das erste saftige Bußgeld in Höhe von 11 Millionen Forint wurde der oppositionellen Demokratischen Koalition (DK) auferlegt. Das IT-System der Partei wurde gehackt, Daten der „Sympathisanten“ wurden dadurch zugänglich und die DK meldete den Vorgang nicht. Wegen rechtswidriger Datenverarbeitung – das Sammeln personenbezogener Daten von Anhängern – wurde auch die Scientology-Kirche von Ungarn und ihre Mission in Nyíregyháza mit einem Bußgeld belegt, und zwar in Höhe von jeweils 12 Millionen Forint.

Das bisher höchste Bußgeld, das in diesem Jahr verhängt wurde, traf jedoch den Veranstalter des populären Sziget-Festivals. Veranstaltungsbesucher brachten bei der Datenaufsicht zur Anzeige, dass bei Betreten des Festivalgeländes ihre Personalausweise rechtswidrig gescannt worden seien. Die NAIH stellte eine Fülle weiterer Datenschutzverletzungen fest und verhängte ein Bußgeld in Höhe von 30 Millionen Forint. An diese Bußgelder wird man sich gewöhnen müssen. Die ungarische Aufsicht beginnt jetzt, Verarbeiter systematisch zu überprüfen.

Politischer Datenschutz

Ist die Auswahl der bestraften Gruppen willkürlich? Wird das Datenschutzrecht instrumentalisiert? Am 11. September führte die Budapester Polizei eine Hausdurchsuchung bei András Pikó, dem gemeinsamen Bürgermeisterkandidaten der Opposition im 8. Bezirk, durch. Vorwurf – so die regierungsnahe Tageszeitung Magyar Nemzet: unter anderem der Missbrauch personenbezogener Daten. Der Kandidat führte eine elektronische Liste über die freiwilligen Unterstützer und die an diese ausgegebenen Unterschriftsformulare. Jeder soll sich hier seinen eigenen Reim machen. Die Gerichte wird dieser Vorgang sicher noch beschäftigen.

Wie dem auch sei, auch die Polizei der Hauptstadt ist unlängst selbst mit einem Bußgeld wegen eines Verstoßes gegen das Datenschutzrecht abgestraft worden. Ein Mitarbeiter der Budapester Polizei-Hauptkommandantur BRFK meldete intern den Verlust seines Pendrive, auf dem die personenbezogenen Daten aller (!) Kollegen der Hauptstadtpolizei gespeichert waren. Die gebotene Meldung des Vorgangs an die NAIH unterblieb beziehungsweise erfolgte erst sechs Wochen zu spät. Die Aufsicht sprach konsequent gegen die Polizei ein Bußgeld von 5 Millionen Forint aus. Hier drängt sich allerdings die Frage auf, ob die Bestrafung einer ungarischen Behörde (BRFK) durch eine andere ungarische Behörde (NAIH) überhaupt wehtut?

Auf eine abschließende Antwort auf diese Frage müssen wir jedoch leider warten, denn noch vor der Vollstreckung des Bußgeldes tauchte der vermisste Pendrive dann plötzlich wieder auf. Er habe – so der Mitarbeiter der Polizei Budapests – den Pendrive unversehrt in seinem Auto gefunden. Da nur er mit dem Auto führe, habe kein unbefugter Dritter auf die Daten zugreifen können, hieß es. Ein Verstoß gegen das Datenschutzrecht habe daher also nie vorgelegen. Da sind wir ja beruhigt.

Der Autor ist deutscher und ungarischer Rechtsanwalt

marc-tell.madl@mpk-partners.com