Anzeige

Experten im Fokus

Anzeige
HEUSSEN Rechtsanwaltsgesellschaft

„Unternehmen sollten den Datenschutz als Chance begreifen“

Steht Arbeitgeber:innen in rechtlichen Fragen beratend zur Seite: Die HEUSSEN Rechtsanwaltsgesellschaft mbH in Berlin.

Steht Arbeitgeber:innen in rechtlichen Fragen beratend zur Seite: Die HEUSSEN Rechtsanwaltsgesellschaft mbH in Berlin.

Foto: HEUSSEN

„Das Datenschutzrecht ist ein junges und dynamisches Rechtsgebiet. Es gibt zahlreiche Entwicklungen, die beachtet werden müssen“, sagt Robert Faußner, Anwalt mit Schwerpunkt Datenschutzrecht bei der HEUSSEN Rechtsanwaltsgesellschaft. Im Experten-Interview mit der Berliner Morgenpost erklärt er, wie Unternehmen die Themen Datensicherheit und Datenschutz bestmöglich berücksichtigen können, welche Konsequenzen ein Verstoß gegen die europäische Datenschutz-Grundverordnung mit sich bringt und wie die Bebußung eines Unternehmens überhaupt funktioniert.

Herr Faußner, stellen Sie sich bitte einmal kurz vor. Seit wann sind Sie bei der HEUSSEN Rechtsanwaltsgesellschaft tätig und welche sind Ihre Schwerpunkte?

Mein Name ist Robert Faußner, ich bin seit 2018 bei der HEUSSEN Rechtsanwaltsgesellschaft mbH auf dem Gebiet des Datenschutzes tätig. Im Rahmen meiner anwaltlichen Tätigkeit berate ich zu allen Fragen des Datenschutzrechts, wie z.B. zur allgemeinen Datenschutz Compliance, der Datensicherheit oder Bußgeldfällen, wobei der Schwerpunkt meiner Beratung im Beschäftigtendatenschutz liegt. Zudem fungiere ich als externer Datenschutzbeauftragter für zahlreiche Unternehmen des Mittelstandes sowie Großkonzerne verschiedenster Branchen.

Ein Thema, das Sie gerade angesprochen haben und welches für Unternehmen besonders interessant ist, ist Bußgeld im Datenschutz. Können Sie einmal vorab kurz beschreiben, was dieses Thema für Sie so spannend macht?

Durch die Anwendbarkeit der europäischen Datenschutz-Grundverordnung, der DS-GVO, wurde im Vergleich zum alten Bundesdatenschutzgesetz, der Vorgängerregelung der DS-GVO, ein deutlich höherer Bußgeldrahmen für Datenschutzverletzungen geschaffen. So können Bußgelder bis zu einer Höhe von vier Prozent des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhängt werden. Von dieser Möglichkeit machen die europäischen Datenschutzaufsichtsbehörden aktuell immer mehr Gebrauch. Dazu kommt, dass die Anforderungen an ein effizientes und rechtssicheres Datenschutzmanagement in Unternehmen durch die DS-GVO deutlich gestiegen sind, was auch die Gefahr von Bußgeldern erhöht.

Für mich als Rechtsanwalt und externer Datenschutzbeauftragter ist es in diesem Zusammenhang besonders spannend, Unternehmen bei der Umsetzung des Datenschutzmanagements, bei der Einführung neuer datenverarbeitender Systeme und der Bewältigung von sonstigen datenschutzrechtlichen Herausforderungen zu unterstützen. Im Fokus steht hierbei, durch praxisorientierte Lösungen eine Datenschutzkonformität zu erreichen und somit das Bußgeldrisiko für Unternehmen zu minimieren.

Können Sie kurz erläutern, in welchen Fällen überhaupt ein Bußgeld erlassen wird?

Aufgrund des weiten Anwendungsbereichs der DS-GVO sind in Unternehmen eine Vielzahl von Datenschutzverletzungen denkbar. Als Beispiele lassen sich die Verarbeitung von personenbezogenen Daten ohne geeignete Rechtsgrundlage, mangelhafte Datenschutzerklärungen, Fehlversendungen oder der unzureichende Umgang mit Betroffenenrechten nennen. Jedoch werden in der Praxis nicht alle Verstöße zwangsläufig durch die zuständigen Datenschutzaufsichtsbehörden mit einem Bußgeld belegt. Die meisten und auch höchsten Bußgelder werden regelmäßig auf dem Gebiet der Datensicherheit verhängt. So wurde gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von 22 Millionen Euro wegen eines Datenverlustes aufgrund eines Cyberangriffs verhängt und der Facebook-Konzern Meta erhielt im März ein Bußgeld in Höhe von 17 Millionen Euro wegen nicht ausreichender technischer und organisatorischer Maßnahmen. Aber auch aufgrund fehlender oder unzureichender Löschkonzepte, ein bisher unterschätztes Thema, können Unternehmen hohe Bußgelder drohen. Ein aktuelles Beispiel mit Bezug zu Berlin ist der Fall „Deutsche Wohnen“, bei dem die Berliner Datenschutzaufsichtsbehörde wegen eines mangelhaften Löschkonzeptes ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt hat. Zwar stellte das Landgericht Berlin das Verfahren wegen einer offenen Frage im Bereich der Zurechnung der Datenschutzverletzung ein, dennoch zeigt der Fall eindrucksvoll, welche finanziellen Folgen ein Verstoß gegen die DS-GVO haben kann.

Würden Sie den Fall und vor allem das Urteil einmal für uns beschreiben?

Im Rahmen einer Vor-Ort-Kontrolle im Jahr 2017 stellte die Berliner Datenschutzaufsichtsbehörde fest, dass die Deutsche Wohnen ein Archivsystem zur Speicherung personenbezogener Daten von Mietern verwendete und teils sensible Mieterdaten, wie z.B. Gehaltsabrechnungen, Selbstauskunftsbögen, Arbeitsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge, zu lange aufbewahrte und kein geeignetes Löschkonzept vorhanden war. Als die Deutsche Wohnen nach einer erneuten Prüfung diesen Verstoß noch nicht behoben hatte, erließ die Berliner Aufsichtsbehörde ein empfindliches Bußgeld. Gegen den daraufhin erlassenen Bußgeldbescheid legte die Deutsche Wohnen Einspruch vor dem Landgericht Berlin ein. Das Verfahren wurde hierauf eingestellt.

Grund für diese Entscheidung war, dass nach Sicht des Landgerichts die Deutsche Wohnen als sogenannte juristische Person nach dem deutschen Ordnungswidrigkeitenrecht nicht Betroffener in einem Bußgeldverfahren sein könne, da nur natürliche Personen eine Ordnungswidrigkeit begehen könnten. Die Aufsichtsbehörde hätte im Bußgeldbescheid darlegen müssen, dass der Vorstand der Deutschen Wohnen es unterlassen hat, das geforderte Löschkonzept einzuführen. Die Berliner Datenschutzaufsichtsbehörde ist jedoch der Auffassung, dass Geldbußen nach der DS-GVO direkt gegen Unternehmen erlassen werden können und es nicht auf eine zurechenbare Handlung einer natürlichen Person ankomme. Nach einer sofortigen Beschwerde der Staatsanwaltschaft Berlin gegen die Einstellung des Verfahrens befasst sich derzeit auf Vorlage des Kammergerichts Berlin der Europäische Gerichtshof mit der Frage, welcher Auffassung zu folgen ist.

Welche Probleme oder Herausforderungen haben Unternehmen bei der Umsetzung des Datenschutzes, um Bußgelder zu vermeiden?

Das Datenschutzrecht ist ein junges und dynamisches Rechtsgebiet. Es gibt zahlreiche Entwicklungen, die beachtet werden müssen, sei es die Datenübermittlung in Drittländer, Stichwort Schrems II, oder der Umgang mit Cookies auf Webseiten. Erst kürzlich hat die Datenschutzkonferenz in einer Stellungnahme die Nutzung der sogenannten Facebook-Fanpages für datenschutzwidrig erklärt. Dies macht das Datenschutzrecht zu einem hochkomplexen Rechtsgebiet. Durch das kürzlich veröffentlichte europäische Bußgeldmodell könnte es zudem zu noch höheren Bußgeldern kommen.

Erschwerend kommt in Deutschland für Unternehmen hinzu, dass im Gegensatz zu anderen europäischen Ländern jedes Bundesland über eine eigene unabhängige Datenschutzaufsichtsbehörde verfügt und es somit keine einheitliche Instanz gibt. Zwar gibt die sogenannte Datenschutzkonferenz, das Gremium der deutschen Datenschutzaufsichtsbehörden, eine gewisse Orientierung, dennoch ist es für Unternehmen nicht leicht, den Überblick zu behalten. Dies macht es für diese fast schon erforderlich, sich diesbezüglich von einem Datenschutzbeauftragten oder Rechtsanwalt beraten zu lassen. Für Unternehmen gilt es, diese Dynamik und die damit häufig verbundene Rechtsunsicherheit in einem datenschutzkonformen und funktionsfähigen Datenmanagement in der täglichen Praxis abzubilden. Der Datenschutz sollte im Unternehmen zwingend beachtet werden, z.B. in der Planungsphase von neuen Projekten.

Sie haben das EU-Bußgeldmodell angesprochen. Können Sie dies einmal näher erläutern?

Bisher gab es auf europäischer Ebene keine einheitliche Regelung zur Berechnung von Bußgeldern im Datenschutzrecht. Das Europarecht strebt aber eine Harmonisierung des Rechts und damit eine einheitliche Berechnung der DS-GVO-Bußgelder in den europäischen Ländern an. Dies soll nun durch das EU-Bußgeldmodell erreicht werden. Die Bußgeldberechnung erfolgt in fünf Schritten.

Zunächst ermittelt die Behörde, ob ein Datenschutzverstoß oder mehrere sanktionierende Datenschutzverstöße durch das Unternehmen begangen wurden.

In einem zweiten Schritt wird die Schwere des Verstoßes nach Umständen des Einzelfalls, wie z.B. Art und Dauer des Verstoßes sowie die Art der involvierten personenbezogenen Daten bestimmt. Der Verstoß wird dabei als gering, mittel oder hoch einstuft. Hierauf werden je nach Schweregrad des Verstoßes und dem gesetzlichen Höchstbetrag für formelle oder materielle Datenschutzverstöße ein Ausgangsbetrag für die weitere Bußgeldberechnung festgelegt. Der Ausgangsbetrag kann dann je nach Unternehmensumsatz prozentual reduziert werden. Bei einem Unternehmen mit bis zu zwei Millionen Euro Jahresumsatz könnte der Ausgangsbetrag um 0,2 Prozent reduziert werden.

Im dritten Schritt werden erschwerende Umstände wie vorherige Verstöße oder mildernde Umstände, wie z.B. Maßnahmen der Schadensminderung oder eine Zusammenarbeit mit der Aufsichtsbehörde im Rahmen des Bußgeldverfahrens, berücksichtigt. Am Ende der Bewertung wird eine vorläufige Bußgeldhöhe festgelegt.

In einem vierten Schritt wird der tatsächliche Höchstbetrag des Bußgeldes festgelegt. Bei einem weltweiten Jahresumsatz bis 500 Millionen Euro kann das Bußgeld bei formellen Verstößen höchstens zehn Millionen Euro und bei materiellen Verstößen höchstens 20 Millionen Euro betragen. Bei einem Umsatz von über 500 Millionen Euro liegt der Höchstbetrag des Bußgeldes bei zwei bzw. vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Im abschließenden fünften Schritt wird bei der Festlegung des endgültigen Bußgeldes die Wirksamkeit, Verhältnismäßigkeit und Abschreckung miteinbezogen.

Haben Sie abschließend einen Tipp für Unternehmen, wie ein Bußgeld möglichst verhindert werden kann bzw. wie Risiken bereits im Vorfeld minimiert werden können?

Unternehmen sollten die Themen Datensicherheit und Datenschutz in jeder Projektphase berücksichtigen und sich bei der konkreten Umsetzung beraten lassen. Wichtig ist vor allem ein funktionierendes Datenschutzmanagementsystem. Dies verringert die Bußgeldgefahr massiv. Die Investition in eine Beratung kann sich hierbei bezahlt machen, da ein Bußgeld nicht nur eine finanzielle Belastung für das Unternehmen darstellt, sondern auch zur Rufschädigung führen kann. Unternehmen sollten den Datenschutz als Chance begreifen, interne Prozesse zu optimieren und dadurch die Effizienz von Betriebsabläufen zu steigern.

Wir freuen uns auf Sie!

 

Kontakt

 

HEUSSEN Rechtsanwaltsgesellschaft mbH  

Kurfürstendamm 31

10719 Berlin

Tel. 030 700 94 936 

Web: www.heussen-law.de

Kontakt zu Herrn Faußner

 

Schwerpunkte

 

Arbeitsrecht

Immobilienrecht

Stiftungen

 

Unternehmensnachfolge

Vermögensnachfolge