Block nomic Studio - stock.adobe
Datenschutz: Wie die Aufsichtsbehörden Bußgelder regeln
Die Datenschutzkonferenz hat Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden veröffentlicht und will Unternehmen und Betroffene informieren.
„Die im Koalitionsvertrag vorgesehene Bündelung der Datenschutzaufsicht bei der Bundesdatenschutzbeauftragten bietet die Chance für die dringend notwendige, bundesweit einheitliche Auslegung der europäischen Datenschutz-Grundverordnung“, erklärte der Bitkom-Präsident Dr. Ralf Wintergerst.
Doch es finden bereits jetzt Maßnahmen zur weiteren Vereinheitlichung bei den Datenschutzaufsichtsbehörden statt, zum Beispiel bei den so gefürchteten Bußgeldern im Fall einer Datenschutzverletzung. So gibt es bereits seit längerem eine Leitlinie des Europäischen Datenschutzausschusses (EDSA), wie Bußgelder berechnet werden.
Zudem wurden jetzt Musterrichtlinien für Verfahren über Geldbußen der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich beschlossen, wie die Datenschutzkonferenz (DSK) mitgeteilt hat.
Richtlinien für einheitliche Bußgeldverfahren
Auf den ersten Blick mögen Musterrichtlinien nach einem Vorhaben oder dem Wunsch für mehr Einheitlichkeit bei Bußgeld-Verfahren klingen, denn die Datenschutzaufsichtsbehörden als Mitglieder der DSK (Datenschutzkonferenz) sind unabhängig in ihrem Handeln.
Doch die Musterrichtlinien sollen Verbindlichkeit erlangen. So besagt die Einleitung zu den Musterrichtlinien: „Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einigt sich auf die (…) Musterrichtlinien für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden (MRiDaVG). Die Behördenleitungen der Datenschutzaufsichtsbehörden des Bundes und der Länder, soweit diese für den nicht-öffentlichen Bereich zuständig sind, beabsichtigen die Musterrichtlinien in ihrer Behörde jeweils als Verwaltungsvorschriften zu erlassen. Durch die Vorgaben dieser Richtlinien soll die behördeninterne und -übergreifende Gleichförmigkeit datenschutzaufsichtsbehördlicher Verfahren über Geldbußen erreicht werden“.
Unter Verwaltungsvorschrift kann man sich eine interne Dienstanweisung vorstellen, sie ist also eine Vorgabe, wie in der Behörde in einem bestimmten Verfahren gehandelt werden soll.
Wenn also die Datenschutzaufsichtsbehörden der Länder und des Bundes entsprechend einheitliche Dienstanweisungen verwenden, wenn es um Bußgeld-Verfahren geht, bedeutet dies eine Vereinheitlichung bei der Umsetzung der DSGVO bei solchen Sanktionen, wie es zum Beispiel Wirtschaftsverbände fordern, aber auch die Datenschutzaufsichtsbehörden selbst schon gefordert haben.
Dazu Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit und 2025 Vorsitzende der DSK: „Mit den Beschlüssen reagiert die Datenschutzkonferenz auf häufige Fragen aus der Praxis. Das vereinheitlicht die aufsichtsrechtlichen Verfahren in Deutschland und gibt zugleich Orientierung für die datenverarbeitenden Stellen sowie die betroffenen Personen.“
Zudem hatten die Landesdatenschutzaufsichtsbehörden schon mehrfach gefordert, die DSK zu institutionalisieren und mit einer Geschäftsstelle zum gemeinsamen Entscheidungsgremium von Bund und Ländern zu formen und Rechtssicherheit durch verbindliche Mehrheitsentscheidungen in der DSK zu schaffen.
Einheitlichkeit im Datenschutz ist also ein erklärtes Ziel und wird nun zum Beispiel im Bereich der Bußgeldverfahren angegangen.
Was für Bußgeldverfahren geregelt wird
Wie die Musterrichtlinien (PDF) zeigen, werden Vorgaben für Bußgeldverfahren in zahlreichen Feldern vorgesehen, dazu gehören das Absehen von der Einleitung eines Verfahrens über Geldbußen, die Entscheidung über die Einleitung oder Fortführung eines Verfahrens über Geldbußen, die Bekanntgabe über die Verfahrenseröffnung, die Ermessensentscheidung, die Einstellungsverfügung, die Herausgabe von Informationen über Verfahren über Geldbußen oder auch die Mitteilungen im Rahmen der eigenen Öffentlichkeitsarbeit.
So findet man dort zum Beispiel: Mitteilungen an die Öffentlichkeit über Verfahren über Geldbußen sind im Rahmen der eigenen Öffentlichkeitsarbeit zulässig. Sie haben sachlich und inhaltlich richtig zu sein. Über den Erlass eines Bescheides über Geldbußen sollte die Öffentlichkeit grundsätzlich erst unterrichtet werden, nachdem der Bescheid zugestellt oder sonst bekanntgemacht worden ist.
Ein aktuelles Beispiel zeigt dies: Die Bundesdatenschutzbeauftragte, Prof. Dr. Louisa Specht-Riemenschneider, hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhe von 45 Millionen Euro auferlegt. Durch böswillig handelnde Mitarbeitende in Partneragenturen, die im Auftrag von Vodafone Verträge an Kunden vermitteln, war es unter anderem zu Betrugsfällen durch fingierte Verträge oder Vertragsänderungen zulasten von Kunden gekommen.
„Ich möchte hervorherben, dass Vodafone während der Dauer des gesamten Verfahrens ununterbrochen und uneingeschränkt mit mir kooperiert und auch Umstände offengelegt hat, durch die sich das Unternehmen selbst belastet hat“, betonte Specht-Riemenschneider. „Die Geldbußen wurden akzeptiert und schon vollständig an die Bundeskasse gezahlt.“
Specht-Riemenschneider abschließend: Wo Datenschutzverstöße stattfinden, muss sanktioniert werden. Ich möchte mit meiner Arbeit aber auch erreichen, dass es gar nicht erst zu Datenschutzverstößen kommt. Unternehmen, die das Datenschutzrecht einhalten wollen, müssen dazu befähigt werden.“
Dafür sind auch transparente und einheitliche Verfahren wichtig, entsprechende Musterrichtlinien der Datenschutzbehörden sind deshalb sehr zu begrüßen.
