Logo der activeMind AG

Bußgeldverfahren bei Datenschutzverstößen

Inhalt

Immer wieder verhängen die Datenschutz-Aufsichtsbehörden schmerzhafte Bußgelder gegen Unternehmen. Doch wie läuft ein Bußgeldverfahren eigentlich ab? Welche Aufsichtsbehörde ist für das betroffene Unternehmen zuständig? Welche Rechte haben die Aufsichtsbehörden in Deutschland? Welche Rechtsbehelfe stehen einem Unternehmen zur Verfügung? Und gibt es Alternativen zum Bußgeld?

Bußgeldverfahren nach DSGVO und BDSG

Die EU-Datenschutz-Grundverordnung (DSGVO) gibt kein einheitliches Sanktionsrecht vor, sondern erlaubt jedem Mitgliedsstaat sein eigenes Bußgeldverfahren. Das ist explizit in Art. 83 Abs. 8 DSGVO geregelt. Der deutsche Gesetzgeber hat mit § 41 BDSG (Bundesdatenschutzgesetz) sein eigenes Sanktionsrecht für den Datenschutz geregelt, verweist darin aber umfassend auf das Bußgeldverfahren nach dem Ordnungswidrigkeitengesetz (OWiG).

Wer ist für Bußgeldverfahren zuständig und welche Ermittlungsrechte bestehen?

Zunächst ist zu sagen, dass Aufsichtsbehörden nicht bei jedem Datenschutzverstoß direkt ein Bußgeld verhängen. Art. 58 Abs. 2 DSGVO gibt den Behörden weitreichende Möglichkeiten, die Unternehmen für ihr Fehlverhalten zu sensibilisieren. Dazu gehören neben Bußgeldern:

  • Warnungen vor einem Verstoß,
  • Verwarnungen nach einem Verstoß sowie
  • Anweisungen
    • zur Erfüllung von Betroffenenrechten,
    • zu Verarbeitungsvorgängen,
    • zu Benachrichtigungen bei Datenpannen,
    • zu Beschränkungen der Verarbeitung und
    • zur Aussetzung des Drittlandtransfers.

Zuständig für den Erlass von Bußgeldern im Zusammenhang mit Datenschutzverstößen sind die nationalen Aufsichtsbehörden. Sie haben die in Art. 58 Abs. 2 DSGVO genannten Untersuchungsbefugnisse.

Beim Verdacht auf einen Datenschutzverstoß werden die Aufsichtsbehörden in der Regel von den Verantwortlichen zunächst die Bereitstellung der maßgeblichen Informationen verlangen und Datenschutzüberprüfungen durchführen. Daneben können im Einzelfall aber auch Ermittlungsmaßnahmen durch Staatsanwaltschaft und Gerichte erfolgen. Solche Ermittlungsmaßnahmen können Zeugenvernehmungen, Anhörungen, Durchsuchungen und Beschlagnahmen sein (§§ 46 ff. OWiG). Die Aufsichtsbehörde leitet die Akten an die Staatsanwaltschaft weiter, wenn Anhaltspunkte bestehen, dass der Verstoß des Unternehmens eine Straftat darstellt (§ 41 OWiG). Wird eine Behörde nach der sanktionsbewehrten Handlung nicht tätig, verjährt der Verstoß nach drei Jahren (§ 31 OWiG).

Örtlich zuständig ist grundsätzlich die Aufsichtsbehörde des Landes, in dem der Verantwortliche oder der Auftragsverarbeiter der Verarbeitung seine Hauptniederlassung hat (Art. 56 DSGVO i.V.m. § 19 BDSG).

Welche Möglichkeiten bestehen im Verwaltungsverfahren?

Im Rahmen eines Vorverfahrens gibt es für das betroffene Unternehmen die Möglichkeit angehört zu werden und sich zu den Umständen der sanktionsbewehrten Handlung zu äußern. Häufig hilft es, wenn ein enger Austausch zwischen dem Unternehmen und der Aufsichtsbehörde erfolgt. Daraufhin hat die Verfolgungsbehörde die Möglichkeit, das Bußgeldverfahren einzustellen. Für den Fall, dass das Verfahren nicht eingestellt wird, ergeht ein Bußgeldbescheid gemäß §§ 65 ff. BDSG. Adressat kann sowohl die Geschäftsführung als auch das Unternehmen als juristische Person sein.

Tipp: Lesen Sie mehr zur Bußgeldhöhe und Bußgeldberechnung für Konzerne und Unternehmen.

Das betroffene Unternehmen hat nach Zustellung zwei Wochen Zeit, gegen den Bescheid schriftlich oder zur Niederschrift bei der Aufsichtsbehörde Einspruch einzulegen (§ 67 OWiG). Es beginnt dann das sogenannte Zwischenverfahren. Darin werden Formfehler geprüft, aber auch, ob der Bußgeldbescheid zurückgenommen werden kann. Für den Fall, dass der Bescheid aufrechterhalten bleibt, leitet die Aufsichtsbehörde die Akten an die Staatsanwaltschaft weiter.

Die Staatsanwaltschaft nimmt eigene Ermittlungen vor. Ist sie der Ansicht, dass der Bußgeldbescheid rechtmäßig erging, legt sie die Akten dem zuständigen Gericht vor. Für den Fall, dass sie das Verfahren einstellen möchte, braucht sie hingegen die Zustimmung der Aufsichtsbehörde.

Was ist im Falle eines gerichtlichen Verfahrens zu beachten?

Kommt es zum gerichtlichen Verfahren, ist gem. § 68 OWiG das Amtsgericht zuständig, in dessen Bezirk die Aufsichtsbehörde ihren Sitz hat. Falls das Bußgeld 100.000 Euro überschreitet ist gem. § 41 OWiG die Landgerichtskammer für Bußgeldsachen zuständig. Das Strafgericht ist nur dann zuständig, wenn die sanktionsbewehrte Handlung einem Straftatbestand unterfällt (§ 45 OWiG). Vor Gericht ergeht entweder ein Urteil oder für den Fall, dass keine Hauptverhandlung stattfindet, ein Beschluss (§ 72 OWiG).

Welche Rechtsbehelfe hat das betroffene Unternehmen?

Gegen die erstinstanzliche Entscheidung des Gerichts ist die Rechtsbeschwerde möglich. Bei Entscheidungen des Amtsgerichts ist hierfür das Oberlandesgericht zuständig. Je nach Bedeutung des Rechtsstreits entscheidet der Senat in der Besetzung von einem oder drei Richtern. Im Falle der Rechtsbeschwerde hat stets eine Vorlage zum EuGH zu erfolgen.

Erfolgt keine Rechtsbeschwerde, tritt Rechtskraft ein. Anschließend ist nur noch unter Vorbringen neuer Tatsachen die Wiederaufnahme des Verfahrens möglich.

Fazit: Kooperation ist angesagt

Ein vom Bußgeld betroffenes Unternehmen sollte nicht lange zögern und sofort den Kontakt zur Aufsichtsbehörde suchen. Je mehr Aufklärungsarbeit geleistet wird, desto wahrscheinlicher ist es, dass das Bußgeldverfahren doch noch eingestellt werden kann.

Es ist außerdem zu empfehlen, sich umgehend rechtlichen Rat zu holen, um rechtzeitig reagieren und alle Fristen für mögliche Rechtsbehelfe einhalten zu können. Beachten Sie in diesem Zusammenhang auch unseren Ratgeberartikel zur Selbstbelastungsfreiheit bei Datenschutzverstößen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.