Foto: mvcaspel - stock.adobe.com

Auf ein Wort: DSGVO

Massenhaft Datenschutz-Bußgelder?

Drohen der Energiebranche Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung? Die Bestimmungen wurden präzisiert. Ein Frühjahrsputz ist nötig.

Inhaltsverzeichnis

Martin Maslaton

2019 ist die befürchtete Bußgeld-Welle durch die Datenschutzgrundverordnung (DSGVO) in der Energiebranche weitgehend ausgeblieben. DSGVO verpflichtet die Aufsichtsbehörden zwar, Geldbußen zu verhängen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind (Art. 83 DSGVO). Bisher haben die Datenschutzbehörden aber vor allem bei großen Firmen zugeschlagen, die besonders sensible Daten verarbeiten: Die Deutsche Wohnen musste 14,5 Millionen (Mio.) Euro bezahlen, weil Mieterdaten laut Handelsblatt nicht vorschriftsgemäß verwaltet wurden; den Internetanbieter 1und1 traf ein Bußgeld von 9,6 Mio. Euro. Aber in der Energiebranche blieb die Situation verhältnismäßig entspannt. Dadurch wähnen sich inzwischen viele Entscheiderinnen und Entscheider in Sicherheit. Es sah lange so aus, als würde es noch dauern, bis die Konsequenzen des Art. 83 DSGVO den eigenen Verantwortungsbereich träfen.

Zusätzlich kommt durch ein aktuelles Urteil des OLG Stuttgart (2 U 257/19) Bewegung in die Sache. Die Frage, ob Verstöße gegen die DSGVO auch wettbewerbsrechtlich abmahnbar sein können, ist durchaus umstritten. Das Gericht in Stuttgart hat sich auf die Seite einer strengen Auslegung geschlagen: Verstöße gegen Marktverhaltensregelungen wie die DSGVO sind aus Sicht der Richter auch nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) abmahnfähig. Somit droht auch von dieser Seite Gefahr für die Unternehmen.

125.000 Euro als Bußgeld-Grundwert

Tatsächlich haben die Behörden länger gebraucht, um die DSGVO in der Praxis richtig anlaufen zu lassen. Der Fall vom Sommer 2019, als die italienische Datenschutzbehörde ein Bußgeld in Höhe von über zwei Millionen Euro gegen ein Unternehmen der Energiebranche verhängte, schien eine einmalige Ausnahme zu sein. Doch das hat sich jetzt geändert.

Der Bußgeldkatalog der DSGVO nimmt nach den Großunternehmen nun auch kleine und mittlere Unternehmen mit Jahresumsätzen von zwei bis 50 Mio. Euro ins Visier. Ende 2019 einigte sich die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DKS) auf ein Konzept für ein neues Rechenmodell. Zur Bemessung des Bußgeldes sind dort Tagessätze (sog. Grundwerte) von 9.722 bis 125.000 Euro vorgesehen. Für formelle Verstöße kann hier bis zum sechsfachen, bei materiellen Verstößen das Zwölffache des Tagessatzes als Bußgeld verhängt werden. Diese Vorgaben ermöglichen es den Behörden nun, ihre datenschützende Tätigkeit schneller auszuweiten.

Keine Versicherung für Bußgelder möglich

Wichtig für die Entscheidungsträger in den Unternehmen: Eine direkte Versicherung von Geldbußen aus Datenschutz-Verletzungen ist nicht möglich ist, da es ein Versicherungsverbot für Strafen gibt. Schließlich soll die Strafandrohung zu Verhaltensänderungen führen. Und den wirtschaftlichen Nachteil einer Strafe soll derjenige tragen, der vom Gesetzgeber als Adressat der verletzten Verhaltensvorschrift vorgesehen wurde. Das ist laut DSGVO das Unternehmen.

Wie sollen die Unternehmen der Energiebranche reagieren? Empfehlenswert wäre ein Frühjahrsputz in den datenschutzsensiblen Bereichen. Damit die Firmen nicht verängstigt, sondern sorgenfrei ins weitere Jahr gehen.

Die Firmen müssen jetzt klären, ob sie eine/n Datenschutzbeauftragte/n brauchen (siehe Art. 37 DSGVO), wie sie ihre Daten vor äußeren Einwirkungen schützen und ihre Kommunikation durch Verschlüsselungssysteme absichern.

Weiter müssen die Zugriffsrechte auf Daten klar unter den Mitarbeiter/innen geregelt sein. Die Firmen müssen für die Erhebung eine wirksame Rechtsgrundlage nach der DSGVO oder dem BDSG schaffen und zwingend das in Art. 30 DSGVO vorgeschriebene Verfahrensverzeichnis über Verarbeitungstätigkeiten führen.

In Verwaltungsverfahren lassen sich bloße Beanstandungen meist glimpflich abwenden. Wenn jedoch der Datenschutz gar nicht beachtet wurde, weil etwa keine Verarbeitungsverzeichnisse und keine Tom (technische und organisatorische Maßnahmen) vorhanden sind, wird es gefährlich. Dann lassen die neuen Vorgaben schnell auch hohe Strafzahlungen zu.

Autor:

Martin Maslaton, Rechtsanwalt und Professor für das Recht der erneuerbaren Energien in Leipzig. Weitere Artikel von Martin Maslaton finden Sie unter anderem in seiner Rubrik "Auf ein Wort" in unserem Printmagazin und Online. Hier geht es zu den Artikel.