Sächsischer Datenschutzbeauftragter veröffentlicht Tätigkeitsbericht – Strafen für Nichtbestellung eines DSB

Am 27.10.2017 hat der Sächsische Datenschutzbeauftragte (SächsDSB) seine Tätigkeitsberichte für den öffentlichen [1] und den nicht-öffentlichen Bereich [2] veröffentlicht.

In dem Bericht für den nicht-öffentlichen Bereich werden unter anderem (ab Seite 158) die Ordnungswidrigkeitsverfahren dargestellt. Es fällt auf, dass im Berichtszeitraum (1. April 2015 bis 31. März 2017) vier mal ein Bußgeld für das Nicht-Bestellen eines DSB in Höhe von 10.000 Euro festgesetzt wurde.

Gemäß § 43 Absatz 1 Nr. 1 handelt ordnungswidrig, wer keinen DSB bestellt. Dieses kann mit einer Geldbuße von bis zu 50.000 Euro geahndet werden.
Der Sächsische DSB hat also den gesetzlichen Rahmen der Bußgeldhöhe zu 20% ausgeschöpft.
Dieses war schon im Jahr 2008 ein üblicher Wert, damals wurde gegen Lidl das Rekordbußgeld in Höhe von 1,462 Millionen Euro verhängt [3], darin enthalten war der Anteil des Bußgelds für das Nicht-Bestellen eines DSB mit 10.000 Euro je betroffener Lidl-Gesellschaft.

Natürlich stellt sich jetzt die Frage, wie deutsche Aufsichtsbehörden in Zukunft in dieser Frage entscheiden werden.

Gemäß Artikel 83 Absatz 4 lit. a werden bei Verstößen gegen die die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 (die Bestellung des DSB ist in Artikel 38 geregelt) im Einklang mit Absatz 2 Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Das BDSG n.F. hat hier nichts Abweichendes geregelt.

Bedeutet dies nun, dass Unternehmen die nach dem 25.05.2018 keinen DSB benannt haben, obwohl sie dazu verpflichtet wären, sich jetzt auf ein Bußgeld in Höhe von 20% des maximal möglichen Bußgelds einstellen dürfen? Der Absatz 2 des Artikel 83 bietet zwar den Aufsichtsbehörden die Möglichkeit, die Bußgelder u.a. unter Berücksichtigung des „Umfangs der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;“ (gemäß Artikel 83 Absatz 2 lit. f) zu verhängen, aber wie weit wird sich die Höhe der Geldbuße vermindern lassen, so dass weiterhin „die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist“ (gemäß Artikel 83 Absatz 1)?

Außerdem wird es natürlich spannend sein zu beobachten, wie die Aufsichtsbehörden im europäischen Kontext handeln.

Eine weitere lesenswerte Passage (neben vielen anderen) findet sich ab Seite 138, in der der SächsDSB seine Auffassung zum Ausdruck bringt, dass unverschlüsselte E-Mails von Berufsgeheimnisträgern nicht mehr dem technischen Stand entsprechen, da eine unverschlüsselte E-Mail potentiell gegen § 203 I StGB verstoßen kann.

Wieder einmal mehr sind diese Tätigkeitsberichte lesenswerte Lektüre, wenn nur immer genug Zeit dafür wäre. Sächsische Verantwortliche sollten sich die Zeit nehmen [4].

Autor:
Frank Spaeing