Datenschutz-Grundverordnung: Drohen den Unternehmen ab dem 25. Mai 2018 wirklich Bußgelder in Millionenhöhe?
In weniger als fünf Monaten gilt die EU Datenschutz-Grundverordnung für alle Unternehmen, die Waren und Dienstleistungen innerhalb der Europäischen Union anbieten. Ab dem 25. Mai 2018 können von den Aufsichtsbehörden für Verstöße gegen datenschutzrechtliche Bestimmungen Bußgelder von bis zu EUR 20 Millionen oder 4 % des weltweit erzielten Jahresumsatzes ausgesprochen werden. Es stellt sich deshalb die Frage, ob in Zukunft wirklich Bußgelder in Millionenhöhe verhängt werden.
Bislang belief sich die Grenze für Bußgelder in Deutschland auf EUR 300.000,00, die von den Aufsichtsbehörden jedoch nahezu nie ausgeschöpft wurde.
Auch in Zukunft dürften Bußgelder in Millionenhöhe nicht üblich werden. Allerdings ist damit zu rechnen, dass die Höhe der Bußgelder nicht unerheblich steigen wird.
Zwar liegt es grundsätzlich im Ermessen der jeweiligen Aufsichtsbehörden, ob und in welcher Höhe Bußgelder verhängt werden. Allerdings sollen nach der DS-GVO Bußgelder von den Aufsichtsbehörden eingesetzt werden, um die Vorschriften der DS-GVO konsequent durchzusetzen.
Wenn die Aufsichtsbehörden also zukünftig bei Anordnungen von Bußgeldern deutlich unterhalb des möglichen Rahmens bleiben, besteht für sie die Gefahr, dass der Eindruck entsteht, sie würden Verstöße selbst nicht ernst nehmen. Art. 83 Abs. 1 DS-GVO regelt jedoch, dass Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen. Insofern müssen sie auch für wirtschaftlich starke Unternehmen spürbare Höhen erreichen. Im Interesse der effektiven Durchsetzung der neuen Regelungen sind die Aufsichtsbehörden daher in Zukunft möglicherweise gehalten, deutlich höhere Bußgelder zu verhängen.
Wie genau die Prüfpraxis der Aufsichtsbehörden nach Geltung der DS-GVO aussehen wird, ist derzeit allerdings nur schwer vorherzusagen. Es kann nicht ausgeschlossen werden, dass in drastischen Einzelfällen der Bußgeldrahmen durch die Aufsichtsbehörden ausgeschöpft wird.
Unternehmen ist daher zu raten, Bußgeldrisiken nach der DS-GVO zu ermitteln und die Datenschutzorganisation innerhalb des Unternehmens entsprechend anzupassen.