Compliance nach 50 Millionen Euro DSGVO-Bußgeld

Die französische Datenschutzbehörde CNIL hat am 21. 1. 2019 gegen Google ein hohes Bußgeld verhängt. Die Datenschützer meinen, das Unternehmen habe die Nutzer seiner Dienste nicht hinreichend über die Verarbeitung ihrer personenbezogenen Daten informiert. Die CNIL begründete das verhängte Bußgeld ferner damit, dass Google für das Schalten von personalisierter Werbung zu pauschale Einwilligungen eingeholt habe. Google will gegen die Entscheidung der CNIL gerichtlich vorgehen. Die Entscheidung hat auch für deutsche Unternehmen Bedeutung. Die Höhe des Bußgelds zeigt, dass die europäischen Datenschutzbehörden von den Sanktionsbefugnissen der DSGVO Gebrauch machen und empfindliche Bußgelder verhängen. Auch deutsche Datenschutzbehörden führen derzeit zahlreiche Ermittlungsverfahren wegen vermuteter Datenschutzverstöße. Teilweise hört man von Behördenleitern sogar, dass bei den Sanktionen nun „scharf geschossen“ werde. Damit bekommt der Datenschutz als Compliance-Anforderung einen sehr großen Stellenwert. Das erste hohe Bußgeld deutscher Datenschutzbehörden ist demnach nur eine Frage der Zeit.

Der „Fall Google“ zeigt zudem deutlich, wie ernst die Datenschutzbehörden die Transparenzpflichten bei der Datenverarbeitung nehmen. Bevor ein Unternehmen die Daten seiner Mitarbeiter oder Geschäftskontakte verarbeitet, muss es diese umfassend informieren. Diese Informationspflicht gilt grundsätzlich auch bei Compliance-Kontrollen oder internen Ermittlungen. Bislang haben jedoch nur wenige Unternehmen ihre Mitarbeiter darüber unterrichtet, ob und wie sie Compliance-Kontrollen oder interne Ermittlungen durchführen. Aber auch andere Anforderungen der DSGVO, wie die oft gebotene Datenschutz-Folgenabschätzung vor der Untersuchung verdächtiger Sachverhalte werden oft übersehen.

Nicht zuletzt zeigt das Bußgeld der CNIL, dass Unternehmen bei der Bewertung von Bußgeldrisiken über die Landesgrenzen hinausschauen sollten. Obwohl Google seine Europazentrale in Dublin hat, hält sich die CNIL für die Verhängung eines Bußgelds in Frankreich (ohne Abstimmung mit der irischen Behörde) für zuständig. Datenschutzrechtliche Risiken lauern also nicht nur am Unternehmenssitz.

Unternehmen sollten jedoch nicht nur die datenschutzrechtlichen Anforderungen bei Compliance-Maßnahmen beachten. Sie sollten sich auch auf die Verteidigung in DSGVO-Bußgeldverfahren einstellen. Dies gilt gerade dann, wenn ein Unternehmen umfangreiche oder eingriffsintensive Datenverarbeitungen vornimmt – oder wenn es die Anforderungen der DSGVO noch nicht umfassend umgesetzt hat. Denn anders als das alte Datenschutzrecht sieht Art. 83 DSGVO Bußgelder bei Zuwiderhandlungen gegen nahezu alle Handlungspflichten der DSGVO vor. Bei der Verteidigung gegen Bußgelder nach der DSGVO muss ein Unternehmen in der Regel nachweisen, welche Maßnahmen es zur Umsetzung der Vorgaben des neuen Datenschutzrechts unternommen hat und wie es die Wirksamkeit des internen Datenschutz-Management-Systems sicherstellt. Es ist aufwändig, solche komplexen Abläufe und Strukturen in Schreiben an Behörden oder Gerichte detailliert zu beschreiben. Daher ist eine sorgfältige Vorbereitung hilfreich. Beispielsweise sollten Dokumentationsprozesse beim Datenschutz so gestaltet sein, dass man sie in späteren Verfahren gut einsetzen kann. Bei kritischen Datenverarbeitungen sollten frühzeitig Argumente für deren rechtliche Zulässigkeit dokumentiert werden. Oft empfiehlt sich ein Rückgriff auf Aussagen der Datenschutzbehörden, auf Rechtsprechung zur DSGVO oder zum bisherigen Datenschutzrecht.

Nicht zuletzt wird interessant sein, wie DSGVO-Bußgeldverfahren mit dem angedachten Unternehmenssanktionenrecht harmonisieren, welche praktischen Probleme sich daraus ergeben und wie die Rechtsprechung die Strafnorm des § 42 BDSG künftig anwendet. Künftig geben auch Verstöße gegen die Vorgaben der DSGVO Anlass für interne Untersuchungen.

Tim Wybitul ist Rechtsanwalt und Partner im Frankfurter Büro von Latham & Watkins. Er berät Unternehmen umfassend zu Fragen des Datenschutzes und angrenzenden Rechtsgebieten. Wybitul zählt zu den führenden Datenschutzanwälten in Deutschland.

Prof. Dr. Thomas Grützner ist Rechtsanwalt und Partner bei Latham & Watkins. Er beschäftigt sich vornehmlich mit wirtschaftsstrafrechtlichen Fragestellungen sowie internen Untersuchungen und ist Honorarprofessor an der Freien Universität Berlin.