Was droht wenn kein Datenschutzbeauftragter bestellt wird?

Was droht wenn kein
Datenschutzbeauftragter bestellt wird?

Das Datenschutzrecht hat in der öffentlichen Diskussion auf Grund verschiedener Datenschutzvorfälle an Bedeutung gewonnen. Dennoch unterschätzen viele Unternehmen nach wie vor die Risiken, die mit einer Nichtbeachtung der datenschutzrechtlichen Vorschriften einhergehen. Der Einsatz eines Datenschutzbeauftragten und die Beachtung datenschutzrechtlicher Vorgaben im Übrigen wird von den Unternehmen als zu hoher Kostenfaktor empfunden. Dennoch drohen bei Überprüfung durch die Aufsichtsbehörden rechtliche Konsequenzen, die wiederum auch eine Kostenbelastung darstellen können. Dieser Beitrag soll klären, was bei einem Verstoß gegen die datenschutzrechtlichen Vorschriften drohen kann, insbesondere dann, wenn kein Datenschutzbeauftragter bestellt wurde.

Nachdem der Datenschutz lange ein Thema für Spezialisten gewesen ist, wurde inzwischen durch die zahlreichen Datenschutzskandale auch die Öffentlichkeit aufgeschreckt. Durch Einführung der Datenschutzgrundverordnung sind die Anforderungen an den betrieblichen Datenschutz zudem nicht nur strenger geworden, sondern auch deutlich mehr in den Fokus der Behörden gerückt.
So wurden seit 2018 empfindliche Bußgelder bis zu einem dreistelligen Millionenbetrag ausgesprochen.

Datenschutzexperte

Benötige auch ich einen Datenschutzbeauftragten?
Jetzt prüfen

Beratungstermin vereinbaren Kostenloser Datenschutz-Check

Organisation der Datenschutzaufsicht in Deutschland

Im Bereich der Datenschutzaufsicht liegt die Verantwortung für fast alle Bereiche bei den Bundesländern und nicht beim Bund. Eine zentrale Kontrollstelle, die den Behörden der Länder Anweisungen erteilen könnte, existiert nicht. Eine unterschiedliche Praxis der Aufsichtsbehörden ist damit möglich. Um solche Meinungsverschiedenheiten auszuschließen, tauschen sich Datenschutzbehörden regelmäßig aus. Ziel ist ein einheitlicher Umgang bei vergleichbaren Themen.

Klassische Aufgabe der Aufsichtsbehörden

Die Aufgaben der Datenschutzbehörde werden in Art. 57 DSGVO normiert. Die klassische Aufgabe der Aufsichtsbehörden ist die Kontrolle, sei es die anlassbezogene Kontrolle oder die Stichprobenüberprüfung.

Vorgehensweise der Behörden im Datenschutzrecht

Erhält die Behörde von einem Verstoß gegen das Datenschutzrecht Kenntnis, wird diese in der Regel das Unternehmen mit dem Sachverhalt konfrontieren und um fristgebundene Stellungnahme bitten. Bei Gefahr im Verzug oder bei stichprobenartigen Kontrollen kann auch direkt eine umfassende Überprüfung vorgenommen werden. Wird dann ein Verstoß festgestellt, so besteht unter anderem die Möglichkeit ein Bußgeld nach Art. 83 DSGVO zu verhängen.

Welche Rechtsfolge tritt ein, wenn trotz einer Verpflichtung kein Datenschutzbeauftragter ernannt wird?

Unternehmen mit mehr als 19 Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß Art. 37 DSGVO i.V.m. § 38 BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben). Obwohl diese Verpflichtung seit Jahren besteht, sind viele Unternehmen diesem Erfordernis bisher nicht nachgekommen.

Der Verstoß gegen diese Verpflichtung stellt jedoch eine Ordnungswidrigkeit dar, die mit einem Bußgeld bis zu 10 Millionen € oder 2% des weltweiten Jahresumsatzes geahndet werden kann.

Bußgeld nach Art. 83 DSGVO möglich

Alle Bußgeldtatbestände aufzuführen würde den Rahmen sprengen. Herausgegriffen sei im Folgenden exemplarisch Art. 83 Abs. 4a DSGVO:

"Bei Verstößen gegen die folgenden Bestimmungen werden […] Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß […] 37 [= Stellung eines Datenschutzbeauftragten] […]."

Was wird von diesem Tatbestand genauer umfasst?

Zweifelsfrei umfasst ist der Tatbestand, dass ein Unternehmen trotz der Verpflichtung aus Art. 37 DSGVO einen Beauftragten nicht oder zu spät bestellt.

Wird ein Beauftragter für den Datenschutz zwar formell bestellt, ist er aber außerstande, diese Funktion auszuführen oder erfüllt er eindeutig die Qualifikationsvoraussetzungen nicht, liegt ebenfalls keine wirksame Bestellung vor und ist damit der Tatbestand der Ordnungswidrigkeit erfüllt.

Ermessen der Behörde

Die für die Verfolgung und Ahndung zuständigen Behörden haben bei der Festsetzung des Bußgelds einen Ermessensspielraum. Die Bußgeldhöhe ist dabei so zu bestimmen, dass sie ausreichend abschreckend wirkt. Welches Bußgeld festgesetzt werden muss, bestimmt sich nach den Umständen des Einzelfalls. Es können auch die wirtschaftlichen Verhältnisse des Unternehmens einen Ausschlag geben. Dies kann unter anderem vor allem dann angezeigt sein, wenn das Unternehmen aus Kostengründen die Ordnungswidrigkeit begangen hat..

Sinn der Bußgeldregelung

Mit der Bußgeldbewehrung soll verhindert werden, dass sich die Begehung einer Ordnungswidrigkeit für den Täter in irgendeiner Weise lohnt. Bei einer durchgeführten Saldierung soll der Täter erkennen, dass er die falsche Wahl getroffen hat, um sich dann entsprechend seinem Kostenrisiko das nächste Mal für den richtigen Weg zu entscheiden.

Folgen für die Praxis

Gerade dies kann auch in der nächsten Zeit zu Lasten der Unternehmen ausfallen: es kann passieren, dass die einzelnen Aufsichtsbehörden gerade deswegen hohe Bußgelder erlassen werden, um eine gewisse Abschreckungswirkung zu erzielen.

Für Unternehmen, die einen Datenschutzbeauftragten nicht, zu spät oder nicht in der erforderlichen Weise bestellt haben, besteht ein bußgeldbewehrtes Kontroll-Risiko. Seit Mai 2018 haben die Aufsichtsbehörden die Möglichkeit, Bußgelder in empfindlicher Höhe festzulegen. Zudem wird die Einhaltung datenschutzrechtlicher Vorschriften nicht nur von den Aufsichtsbehörden sondern zunehmend auch von Mitarbeitern, Kunden und Wettbewerbern eingefordert.

 

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren