Durchsetzung der DSGVO in Deutschland

Trend: Haben sich die nationalen Datenschutzbehörden in Deutschland bisher auf bestimmte Arten der Nichteinhaltung des Datenschutzrechts konzentriert oder haben die Behörden angekündigt, dass sie bestimmte Arten der Nichteinhaltung in Zukunft genauer untersuchen werden (z. B. unsachgemäße Verwendung von Cookie-Bannern, Überwachung von Mitarbeitenden – möglicherweise auch aufgrund von Covid-bezogenem Homeoffice usw.)? Erkennen Sie eine Konzentration auf bestimmte Branchen/Sektoren? Wenn ja, welche sind dies?

Es lässt sich nicht eindeutig feststellen, ob sich die deutschen Datenschutzbehörden mit Bedacht auf bestimmte Arten von Verstößen konzentrieren. Es ist allerdings zu beobachten, dass die Mehrzahl der deutschen Bußgelder entweder aufgrund unzureichender Rechtsgrundlagen für die Datenverarbeitung (Art. 5, 6 DSGVO) oder von Mängeln bei der Datensicherheit (Art. 32 DSGVO) verhängt wurden.

Die bisher in Deutschland verhängten Bußgelder decken ein recht ausgewogenes Spektrum von Sektoren ab, insbesondere den Gesundheitssektor, den Finanz-, Versicherungs- und Beratungssektor, den Sektor der Privatpersonen und privaten Vereinigungen sowie die Verarbeitung von Mitarbeiterdaten.. Betrachtet man nur die Höhe der Bußgelder, so stellt man fest, dass zwei der drei höchsten deutschen Bußgelder (gegen H&M und notebooksbilliger.de, siehe unten) im Zusammenhang mit der Verarbeitung von Mitarbeiterdaten verhängt wurden.

Welches war bisher das bedeutendste Bußgeld in Deutschland (bitte geben Sie betroffenes Unternehmen, Betrag, Art des Verstoßes, Sektor, kurze Zusammenfassung an)? Wurde die Geldbuße gerichtlich angefochten? Wenn ja, geben Sie bitte den Erfolg bzw. Stand des Verfahrens an.

Das bisher höchste DSGVO-Bußgeld in Deutschland wurde gegen H&M Hennes & Mauritz Online Shop A.B. & Co. KG am 1. Oktober 2020 in Höhe von EUR 35,26 Millionen wegen unzureichender Rechtsgrundlage für die Datenverarbeitung verhängt (ETid-405). Es wurde aufgedeckt, dass H&M – ein in Hamburg ansässiges Modeunternehmen – in Nürnberg ein Dienstleistungszentrum betrieb, in dem private Informationen über Mitarbeiter, einschließlich besonderer Kategorien personenbezogener Daten (z. B. Krankheitssymptome und Diagnosen – die unter anderem aus Rückkehrgesprächen stammten), mindestens seit 2014 umfangreich erfasst und auf einem Netzwerkspeicher gespeichert wurden. Darüber hinaus haben nach Angaben der Hamburger Datenschutzbehörde einige Vorgesetzte auch Kenntnisse über Mitarbeitende aufgezeichnet, z. B. über familiäre Probleme und religiöse Überzeugungen, die sie aus beiläufigen Gesprächen am Arbeitsplatz erfahren hatten. Die auf dem Netzwerkspeicher gespeicherten Informationen waren für bis zu 50 leitende Angestellte des Unternehmens zugänglich und wurden unter anderem zur Bewertung der Arbeitsleistung und für Beförderungsentscheidungen verwendet.

Das zweithöchste Bußgeld (ETid-519) bezog sich ebenfalls auf die Verarbeitung von Mitarbeiterdaten.

Wie ist die Datenschutzbehörde in Deutschland organisiert? Insbesondere: Wie hoch ist das jährliche Budget? Wie viele Mitarbeitende werden beschäftigt? Ist die Behörde einem bestimmten Ministerium unterstellt? Wenn ja, welchem?

Das Datenschutzsystem in Deutschland besteht aus zwei Ebenen mit einer Bundesbehörde (BfDI) für öffentliche Einrichtungen und Telekommunikationsunternehmen und separaten Landesbehörden für den Privatsektor.

• 16 unabhängige Datenschutzbehörden in den 16 deutschen Bundesländern. Verantwortlich für die Durchsetzung der DSGVO und des Bundesdatenschutzgesetzes (BDSG) gegenüber privaten und öffentlichen Stellen in dem jeweiligen Bundesland.
• Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als unabhängige, von der Bundesregierung gewählte Datenschutzhüterin mit ca. 300 Mitarbeitenden. Zuständig für die Durchsetzung der DSGVO und des BDSG gegenüber öffentlichen Stellen des Bundes und Telekommunikationsanbietern.

Wie läuft ein Bußgeldverfahren in Deutschland ab? Insbesondere: Kann die Behörde selbst Bußgelder verhängen? Wie ist der Ablauf des Verfahrens (z. B. Mitteilung über die Einleitung des Verfahrens (öffentlich/allein an die Gesellschaft gerichtet?), Mitteilung über die Absicht, ein Bußgeld zu verhängen (öffentlich/allein an die Gesellschaft gerichtet?), förmlicher Bußgeldbescheid)? Welche Rechtsbehelfe sind gegen einen Bußgeldbescheid möglich?

• Bußgelder können direkt von der jeweiligen Bundes- oder Landesbehörde im Rahmen eines Verwaltungsverfahrens verhängt werden.
• Unternehmen können gegen Bußgeldbescheide bei den zuständigen (Straf-)Gerichten Einspruch einlegen.
• Verwaltungsverfahren werden durch (im Wesentlichen gleichartiges) Landes- oder Bundesrecht bzw. bei Bußgeldverfahren durch einheitliches Bundesrecht geregelt.
• Die Verfahren beginnen in der Regel mit einer förmlichen Mitteilung an die betreffende Gesellschaft über die Einleitung eines Bußgeldverfahrens (häufig als Folge eines laufenden allgemeinen Bußgeldverfahrens, in dem die Datenschutzbehörde Informationen von dem Verantwortlichen/Auftragsverarbeiter angefordert und erhalten hat). Das betreffende Unternehmen hat die Möglichkeit, vor Erlass des Bußgeldbescheids durch die Behörde seine Auffassung zu den tatsächlichen und rechtlichen Aspekten des Falles darzulegen.

Wenn die Datenschutzbehörde Bußgelder verhängt: Wohin fließt das Geld (z. B. in die Staatskasse, das Budget der Behörde)?

Bußgelder werden der jeweiligen Landes- oder der Bundeskasse zugewiesen.

Gibt es eine gemeinsame offizielle Berechnungsmethode für die Zumessung von DSGVO-Bußgeldern in Deutschland (wie etwa die Bußgeldmodelle innerhalb der Niederlande oder Deutschlands)?

Es gibt keine gemeinsame offizielle Berechnungsmethode für die Zumessung von Bußgeldern. Die Deutsche Datenschutzkonferenz (DSK) hat jedoch schon vor dem Vorschlag des EDSA im Jahr 2022 ein Konzept zur Bußgeldzumessung veröffentlicht. Das bestehende 'deutsche Konzept' scheint angesichts des Konzepts des EDSA und früherer Gerichtsurteile, die das frühere Konzept der DSK in Frage stellten, in der Praxis nicht mehr berücksichtigt zu werden.

Können Behörden in Deutschland mit einem Bußgeld belegt werden? Wenn ja: Wohin fließt das Geld?

Gegen Behörden und andere öffentliche Stellen werden keine Bußgelder verhängt (§ 43 Abs. 3 Bundesdatenschutzgesetz - BDSG). Es gibt jedoch einige wenige Ausnahmen, z. B. in dem Maße, in dem öffentliche Einrichtungen als Unternehmen des öffentlichen Sektors auf dem Markt konkurrieren. Ebenso können gegen einzelne Mitarbeitende von Behörden Bußgelder verhängt werden, wenn sie als Privatpersonen gegen Datenschutzrecht verstoßen.

Veröffentlicht die Datenschutzbehörde in Deutschland Informationen über einzelne Bußgeldfälle, einschließlich der verhängten Bußgelder oder anderer Verfahrensschritte (z. B. auf ihrer Website oder in ihrem Jahresbericht)? Sind die betroffenen Unternehmen in diesen Veröffentlichungen identifizierbar?

Es gibt keine umfassende Veröffentlichung von Bußgeldern. Datenschutzbehörden sind nicht verpflichtet, jedes Bußgeld zu veröffentlichen. Berichtenswerte Bußgelder werden häufig in Pressemitteilungen oder Tätigkeitsberichten veröffentlicht. In den Pressemitteilungen werden mit einem Bußgeld belegte Unternehmen in der Regel nicht anonymisiert.

Wenn keine Informationen über einzelne Bußgeldfälle veröffentlicht werden: Stellt die Datenschutzbehörde aggregierte Informationen über die Gesamtzahl der Fälle und/oder den Gesamtbetrag von Bußgeldern zur Verfügung?

Die jeweiligen Datenschutzbehörden der Bundesländer veröffentlichen in der Regel die Anzahl und den Gesamtbetrag der verhängten Bußgelder in ihren Jahresberichten.

Sind in Deutschland Musterfeststellungsklagen/Sammelklagen im Datenschutzrecht vorgesehen, d. h. können mehrere betroffene Personen mit vereinten Kräften gegen einen Verantwortlichen klagen?

Das deutsche Rechtssystem verfügt über verschiedene kollektive Rechtsschutzmechanismen:

• Musterfeststellungsklage
• Abhilfeklage
• Unterlassungsklage

Im Jahr 2023 verabschiedete der Deutsche Bundestag das Verbandsklagenrichtlinienumsetzungsgesetz (VRUG). Dieses Gesetz hat nicht nur das Verbraucherrechtedurchsetzungsgesetz (VDuG) eingeführt, sondern auch die Möglichkeiten der kollektiven Durchsetzung von Verbraucherrechten in Deutschland erheblich erweitert. Zuvor gestattete die im Jahr 2018 eingeführte Musterfeststellungsklage Verbraucherorganisationen die Klärung von Rechtsfragen, die eine Verbrauchergruppe betrafen. Das VRUG ergänzt dies nun durch die Abhilfeklage, die diese Organisationen befähigt, im Rahmen des VDuG direkt Schadensersatz für Verbraucher zu fordern.

Die Musterfeststellungsklage ermöglicht es qualifizierten Einrichtungen, wie Verbraucherorganisationen, im Namen von Verbrauchergruppen Klage zu erheben. Es wird jedoch kein individueller Schadensersatz zugesprochen, sondern ein Feststellungsurteil zu gemeinsamen Rechtsfragen erwirkt. Dieses Urteil vereinfacht die Durchsetzung von Einzelforderungen von Verbrauchern, die sich dem Verfahren anschließen. Die Vorschriften für diese Klageform sind in § 41 VDuG niedergelegt.

Die Abhilfeklage ermöglicht es Verbraucherorganisationen, Unternehmen im Namen von Gruppen von (mindestens 50) in ähnlicher Weise geschädigten Verbrauchern zu verklagen und Rechtsansprüche wie Schadensersatz geltend zu machen. Dies ist eine bedeutsame Änderung für Deutschland, denn sie stärkt die Rechte der Verbraucher und ermöglicht eine effizientere Beilegung von Streitigkeiten.

Das deutsche Unterlassungsklagengesetz (UKlaG) gestattet unter sehr begrenzten Umständen Sammelklagen bei Verstößen gegen Verbraucherrechte. Nach § 2 UKlaG umfassen "Verbraucherrechte" im Zusammenhang mit Datenschutzrechten auch Bestimmungen, die festlegen, unter welchen Umständen personenbezogene Daten für Werbezwecke, Markt- oder Meinungsforschung, den Betrieb einer Kreditauskunftei, das Profiling, den Datenhandel oder für ähnliche kommerzielle Zwecke erhoben und verarbeitet werden dürfen. Diese Ansprüche sind jedoch auf Unterlassungsansprüche und die Beseitigung des Verstoßes beschränkt (kein Anspruch auf Schadensersatz). Wie bei der Musterfeststellungsklage und der Abhilfeklage können nur bestimmte Einrichtungen solche Sammelklagen erheben.

Was ist in Deutschland vorherrschend: Bußgelder von Behörden oder Gerichtsverfahren wie Schadensersatzforderungen oder Unterlassungsklagen? Lässt sich ein Trend für die kommenden Jahre erkennen?

Derzeit werden vorrangig Bußgelder von Datenschutzbehörden verhängt. Rechtsstreitigkeiten wegen Datenschutzverletzungen im Privatsektor werden immer noch selten angestrengt. Dies ist höchstwahrscheinlich auf die hohen Verfahrenskosten in Verbindung mit der Zuerkennung von lediglich geringen Schadensersatzbeträgen zurückzuführen. Die Einführung der Abhilfeklage könnte jedoch in naher Zukunft eine Zunahme privater Rechtsstreitigkeiten nach sich ziehen. Zudem haben wir einen Anstieg bei der Durchsetzung der Rechte betroffener Personen beobachtet, woraus sich wahrscheinlich mehr Rechtsstreitigkeiten ergeben werden.