Evaluation des BDSG abgeschlossen

4. November 2021

Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat das Bundesdatenschutzgesetz (BDSG) evaluiert und am 29.10.2021 den zugehörigen Bericht veröffentlicht. Aufsichtsbehörden, private und öffentliche Stellen haben an der Evaluation teilgenommen.

Für Unternehmen besonders relevant sind die Punkte zur Verhängung von Bußgeldern.

Anwendbarkeit von §§ 30, 130 OWiG

Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 Datenschutz-Grundverordnung (DSGVO), soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Diese Verweisung ist umstritten.

Aus § 30 Abs. 1 OWiG ergibt sich die Anforderung, dass eine natürliche Person eine schuldhafte Handlung vorgenommen haben muss. Die Person muss zudem aus dem in § 30 Abs. 1 Nr. 1-5 OWiG genannten Personenkreis stammen – eine sogenannte Leitungsperson sein. In vielen Praxisfällen erfolgen Datenschutzverstöße im Kundenkontakt. Diese können gemäß OWiG nur unter sehr engen Voraussetzungen eine unmittelbare bußgeldrechtliche Haftung des Unternehmens auslösen.

Viele Stimmen, darunter auch der Europäische Gerichtshof (EuGH), vertreten die Ansicht, dass es für die Haftung des Unternehmens genüge, wenn eine berechtigte natürliche Person für das Unternehmen handele. Alle Beschäftigten wären davon erfasst und es müsste auch keine Aufsichtspflichtverletzung einer Leitungsperson nachgewiesen werden. Hierbei wird auf den funktionalen Unternehmensbegriff aus Art. 102 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zurückgegriffen.

Das BMI sieht hier eine bewusste Entscheidung des deutschen Gesetzgebers zugunsten des deutschen OWiG, da das Rechtsstaatsprinzip eine Anknüpfung an das Schuldprinzip und somit Handlungen natürlicher Personen erfordere. Artikel 83 DSGVO schreibe demnach nur die Höhe des Bußgeldes zwingend vor, überlasse die Einzelheiten aber ausdrücklich den nationalen Gesetzgebern.

Ob hier nun eine zulässige nationale Ausgestaltung oder ein Verstoß gegen europarechtliche Regelungen vorliegt, ist auch unter deutschen Gerichten umstritten. Das BMI sieht derzeit jedenfalls keinen Änderungsbedarf und verteidigt den bestehenden Normtext.

Weitere Befugnisse für Aufsichtsbehörden entsprechende dem Wettbewerbsrecht

Im Verwaltungsverfahren stehen den Aufsichtsbehörden die Maßnahmen nach Artikel 58 Abs. 1 DSGVO, im Bußgeldverfahren die Befugnisse aus Art. 41 BDSG zur Verfügung. In der Praxis haben Aufsichtsbehörden festgestellt, dass oftmals Umsätze nicht offengelegt werden und auch anderweitig nicht ermittelt werden können.

Da die Umsätze aber Referenzgröße für den Bußgeldrahmen sind, regte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Aufnahme eines Verweises auf Normen des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) an, wodurch z.B. Auskunftspflichten bezüglich wirtschaftlicher Verhältnisse und/oder eine Befugnis zur Schätzung von Umsätzen die Befugnisse der Datenschutzaufsicht ergänzen könnten.

Hierzu sagt das BMI eine weitere Prüfung zu und will die Belange der von Ordnungswidrigkeitenverfahren Betroffenen einbeziehen.

Fazit

Die Evaluation dient der Weiterentwicklung des Datenschutzrechts. Erkannte Anpassungsbedarfe werden früher oder später in ein weiteres Datenschutz Anpassungs- und Umsetzungsgesetz münden. Diese Gelegenheit sollten Betroffene und Verantwortliche nutzen, um durch die Mittel der politischen Teilhabe Einfluss zu nehmen. Damit steigt die Wahrscheinlichkeit, mit den überarbeiteten Regelungen zufrieden zu sein.

Stefan Effmert

Berater für Datenschutz

Volljurist

§§ 30 130 OWiG Bundesdatenschutzgesetz Bußgeldrahmen Bußgeldverfahren Datenschutz Datenschutzrecht Evaluation abgeschlossen Wettbewerbsrecht