Nachdem auch in Deutschland zunehmend höhere Bußgelder verhängt wurden, diskutieren die Datenschutzbehörden nunmehr ein nachvollziehbares Modell zur Bemessung der Bußgeldhöhe. Teilweise wird dieses Modell auch schon eingesetzt, wie erste darauf verweisende Bescheide deutlich machen.

Anders als die frühere Gesetzgebung zum Datenschutz sieht die DSGVO empfindliche Sanktionsmöglichkeiten bei Datenschutzverstößen vor. Nach Art. 83 DSGVO können die Datenschutzbehörden Bußgelder von bis zu 20 Mio Euro oder von bis zu 4 % des Vorjahresumsatzes–je nachdem, welche Betrag höher ist–verhängen. Die Verordnung sieht selbst aber keine detaillierten Regelungen vor, wie ein Bußgeld im Einzelfall innerhalb dieser Bandbreiten zu bemessen ist. Dieser Mangel soll mit dem bisher unveröffentlichten Modell beseitigt werden.

Konkret sieht der Entwurf vor, den Vorjahresumsatz eines Unternehmens als Grundlage für die Berechnung zu nehmen. Dieser Wert wird durch 360 geteilt, um zu einem Tagessatz zu kommen. Der Tagessatz wird dann – abhängig von der Schwere des Verstoßes – mit einem Faktor zwischen 1 und 14,4 multipliziert, um das Basis-Bußgeld zu berechnen. Die Zahl 14,4 ist kein Zufall: sie spiegelt nach Rückrechnung die zuvor erwähnten 4 % wider. Diese Vorgehensweise hat jedoch zur Folge, dass selbst ein Verstoß “mittlerer Schwere” und damit ein Faktor von 7,2 zu einem Basis-Bußgeld von 2 % des Vorjahresumsatzes führt.

Auf das Basis-Bußgeld werden sodann Auf- und Zuschläge berechnet, mit denen die Art und Weise des Verstoßes, seiner Folgen und weitere Umstände gewürdigt werden. Beachtenswert ist jedoch, dass hier wesentlich mehr Umstände für Zuschläge als für Abschläge berücksichtigt werden.

Mit dem vorgeschlagenen Modell ergeben sich aus unserer Sicht handfeste Konflikte mit den Vorgaben der DSGVO. Diese sieht nämlich vor, dass Bußgelder nicht nur wirksam und abschreckend sondern eben auch verhältnismäßig sein müssen. Und besagter Art. 83 DSGVO enthält auch eine Liste von Umständen, die “in jedem Einzellfall” von den Datenschutzbehörden “gebührend berücksichtigt” werden müssen. Dazu gehören:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Eine pauschale Festlegung auf Basis des Vorjahresumsatzes gibt die DSGVO indes nicht her, erst recht nicht mit einem Faktor, der allein den ersten Punkt dieser Liste reflektiert. Mit der DSGVO soll die Durchsetzung der Datenschutzregeln anhand eines risikoorientierten Maßstabs geprüft werden, der akzeptiert, dass Verstöße auch bei bester Umsetzung aller angemessenen und gebotenen Maßnahmen durch die Verantwortlichen geschehen können. Diese können dann nicht nur deswegen hoch bestraft werden, weil der Verantwortliche viel Umsatz macht.

Bisher ist das Berechnungsmodell nicht veröffentlicht und damit einer öffentlichen Diskussion nur bedingt zugänglich. Mit einer Veröffentlichung ist nach Aussage der Datenschutzkonferenz im November zu rechnen. Wir bleiben dran!

Die Auswirkungen der DSGVO auf den Gesundheitssektor

Für die Verarbeitung von Gesundheitsdaten gelten aufgrund von Art. 9 Abs. 1 sowie Art. 4 Abs. 11 DSGVO strenge Anforderungen. So ist unter anderem ein Datenschutzbeauftragter zu benennen. Die Aufgabe dieses Datenschutzbeauftragten ist es, umfangreich zum Thema Datenschutz zu beraten. Damit können auch Praxen, Apotheken, Unternehmen und Verbände, die diese Thematik vernachlässigt haben mit der Unterstützung eines Datenschutzbeauftragten die Einhaltung aller Datenschutzvorgaben erreichen. Die Pflicht, einen Datenschutzbeauftragten zu bestellen ist aber auch unabhängig von der Branche schnell erreicht: Bereits ab 20 Mitarbeitern muss ein Datenschutzbeauftragter bestellt werden, wenn diese mit der Verarbeitung von personenbezogener Daten beschäftigt sind (§ 38 BDSG-neu). Ein relevanter Umgang mit personenbezogenen Daten kann bereits in üblicher E-Mail-Kommunikation liegen, aber auch Buchhaltungsvorgänge oder der unternehmensinterne Lieferant fallen darunter.

Die Vorteile des externen Datenschutzbeauftragten

Ein Datenschutzbeauftragter kann intern oder extern bestellt werden. Soll der Datenschutzbeauftrage aus dem eigenen Betrieb besetzt werden, muss das Unternehmen dessen spezifisches Fachwissen nachweisen können. Es müssen regelmäßige Fortbildungsmaßnahmen gewährleistet und Fachliteratur angeschafft werden. Die Tätigkeit als Datenschutzbeauftragten bindet die Arbeitszeit des Mitarbeiters und der interne Datenschutzbeauftragte genießt auch einen umfassenden Kündigungsschutz. Gegen den internen Datenschutzbeauftragten spricht auch, dass der externe Datenschutzbeauftragte einen objektiveren Blick auf den Betrieb hat.

Auch wichtig: Wenn der externe Datenschutzbeauftragte nicht ordnungsgemäß arbeitet, haftet dieser, wenn das Unternehmen Zahlungsansprüchen ausgesetzt ist. Ein effizienzorientiertes Unternehmen sollte daher die Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten genau abwägen.

Gibt es keinen Datenschutzbeauftragten, obwohl die Datenschutz-Grundverordnung dies vorgibt, können hohe Bußgelder durch die Aufsichtsbehörden verhängt werden. Zu einer entsprechenden Prüfung der Aufsichtsbehörde kann es bereits aufgrund der Beschwerde eines Patienten oder Kunden kommen. Da die Geldstrafen viel höher ausfallen können, als unter der alten Gesetzeslage, ist das gesamte Thema „Datenschutz“ damit viel relevanter. Neben der Sorge um hohe Strafzahlungen gilt aber auch: Datenschutz ist zukünftig eines der wesentlichen Qualitätsmerkmale eines Unternehmens und damit nicht mehr ein zu vernachlässigender „Graubereich“, wie das Thema mitunter oft eingestuft wird.

Auch mit dem Inkrafttreten der Datenschutz-Grundverordnung haben Sie weiterhin ein Wahlrecht dahingehend, ob Sie einen internen oder externen Datenschutzbeauftragten bestellen. Die Vorteile eines externen Datenschutzbeauftragten überwiegen jedoch eindeutig:

  • Der teils lästige Kündigungsschutz eines internen Datenschutzbeauftragten entfällt;
  • Sie sparen sich die Investition in Aus- und Fortbildung des internen Datenschutzbeauftragten;
  • Keine Bindung von personellen Ressourcen;
  • Ein externer Datenschutzbeauftragter bringt mehr Unabhängigkeit und Souveränität mit, womit eine Lösungsfindung bei sensiblen Themen erleichtert werden kann.

Rechtliche Konsequenzen

Sie sollten die Vorschriften der DSGVO sehr ernst nehmen. Dieses Mal meinen es die Behörden ernst, dies zeigt der Beispielssachverhalt, welcher einer Entscheidung des Verwaltungsgerichts Karlsruhe vom 6. Juli 2017 zum Aktenzeichen 10 K 7698/16 zugrunde liegt, wo Behörden bereits vor Inkrafttreten der DSGVO Maßnahmen gegen ein Unternehmen verhängen wollten. Außerdem sind die nationalen Behörden den EU-Aufsichtsbehörden zur Rechenschaft verpflichtet. Deutschland als Mitgliedstaat der EU würde sich selbst Sanktionen aussetzen, sofern die Vorgaben der DSGVO nicht ordnungsgemäß eingehalten und Verstöße dagegen rechtlich geahndet werden.

Recht auf Vergessenwerden

Worum geht es? Ein aktuelles Urteil des Oberlandesgerichtes Frankfurt am Main (Urteil vom 6. September 2018 – 16 U 193/17) zum Datenschutz im Internet behandelt die Klage eines Geschäftsführers eines Regionalverbandes in Hessen gegen den Suchmaschinenbetreiber Google. Der Regionalverband war in eine finanzielle Schieflage geraten und musste im Jahr 2011 einen Fehlbetrag von knapp 1 Million € vermelden. Aus gesundheitlichen Gründen konnte der Kläger kurz vor Vermeldung der negativen Geschäftsentwicklung seiner Tätigkeit nicht mehr nachkommen und nicht an der letztlich erfolgreichen Restrukturierung mitwirken.

Die geschäftlichen Turbulenzen des Regionalverbandes führten zu einer entsprechenden Berichterstattung in der regionalen Presse und somit zu einer Reihe an Artikeln, die nicht nur in gedruckter Form veröffentlicht, sondern von den entsprechenden Verlagen auch online verfügbar gemacht wurden. Dementsprechend zeigt die Suchmaschine Google bei einer Suche nach dem Vor- und Zunamen des Klägers, sowohl isoliert als auch in Verbindung mit bestimmten geographischen Angaben, mehrere Treffer an, die zu diesen Online-Artikeln der örtlichen Presse führen. Das galt 2011 und ist auch heute noch der Fall – denn „das Internet vergisst nicht“.

Aber genau das wollte der ehemalige Geschäftsführer nicht länger hinnehmen. Mit seiner Klage am Oberlandesgericht Frankfurt wollte der Kläger erreichen, dass Google bei einer Suche nach seinem Namen nicht länger Treffer anzeigt, die die geschäftliche Entwicklung des Regionalverbandes in 2011 im Zusammenhang mit seinem Gesundheitszustand beschreiben.

Urteil stellt Informationsrecht über persönliche Interessen

Bei der Klage am Oberlandesgericht Frankfurt handelt es sich um ein Berufungsverfahren. Das Landgericht hatte die Klage erstinstanzlich als zulässig erachtet, aber als unbegründet abgewiesen.

Es sind zwei Aspekte, die den Fall aus einer juristischen Perspektive interessant machen. Zum einen ist seit der Klage am Landgericht die DSGVO in Kraft getreten. Und diese statuiert nach Art. 17 das Recht auf Löschung oder auch das „Recht auf Vergessenwerden“. Zum anderen stellt sich die Frage, wie Suchmaschinen mit sensiblen Gesundheitsdaten umzugehen haben und wie das Interesse des Einzelnen am Schutz seiner personenbezogenen Daten mit dem Interesse der Öffentlichkeit auf Meinungs- und Informationsfreiheit in Einklang gebracht werden kann.

Im vorliegenden Fall urteilt das Oberlandesgericht Frankfurt in einer noch nicht rechtskräftigen Entscheidung zugunsten der Suchmaschine. Das Gericht wertet das Recht der Nutzer von Google auf Kommunikationsfreiheit höher als den Schutz der personenbezogenen Daten des betroffenen Geschäftsführers.

In der Urteilsbegründung heißt es: Es handelt sich um „wahre Tatsachenbehauptungen, die grundsätzlich hinzunehmen sind, auch wenn sie nachteilig für den Betroffenen sind.“ Und: Die „Veröffentlichung dieser Daten war aber zulässig, auch wenn verständlich ist, dass der Kläger sie nicht in der Öffentlichkeit wissen möchte.“

Auch Google & Co. unterliegen der DSGVO

Auch wenn sich der konkrete Kläger im vorliegenden Fall nicht auf einen Unterlassungsanspruch nach Art. 17 DSGVO berufen konnte, lässt das Urteil einige spannende Schlussfolgerungen für die Praxis zu.

Die Entscheidung des Oberlandesgerichtes macht klar, dass die DSGVO durchaus auch Internetgiganten wie den amerikanischen Konzern Google bindet, wenn diese Daten von Personen in der Europäischen Union verarbeiten. Dies gilt zunächst für die sachliche Anwendbarkeit der DSGVO, da personenbezogene Daten ganz oder teilweise automatisiert verarbeitet werden. Das von Suchmaschinen vorgenommene Auffinden, Speichern und systematisierte Zur-Verfügung-Stellen von Informationen ist damit ohne Weiteres erfasst.

Dies gilt aber auch für die räumliche Anwendbarkeit der DSGVO auf Datenverarbeiter ohne Niederlassung in der Union. Voraussetzung hierfür ist, dass die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Europäischen Union Waren oder Dienstleistungen entgeltlich oder unentgeltlich anzubieten. Suchmaschinenbetreiber bieten die Möglichkeit, das Internet gezielt nach vorhandenen Informationen zu durchsuchen und auf diese zuzugreifen. Indiz zur Bejahung der Ware oder Dienstleistung ist dabei auch die verwendete Sprache.

Sensible Gesundheitsdaten werden nicht ausreichend geschützt

Das Urteil bleibt allerdings an anderer Stelle hinter den Erwartungen zurück. Nach Art. 17 DSGVO ist ein Löschungsgrund dann gegeben, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.

Stellt man hierbei auf den Inhalt der Presseartikel ab, so käme laut Oberlandesgericht unter Verweis auf die Rechtsprechung des Bundesgerichtshofes eine Zweckerfüllung „allenfalls dann in Betracht, wenn sich jegliches Informationsinteresse durch Zeitablauf erledigt hätte“. In der Urteilsbegründung räumt das Gericht selbst ein, dass „bereits zweifelhaft“ sei, ob die geforderte Zweckerfüllung „bei einem Presseartikel überhaupt eintreten kann“ . Zu Ende gedacht kann das Gericht hier also nur dahingehend verstanden werden, dass ein Anspruch auf Löschung von Presseartikeln nach Art. 17 DSGVO nie erwachsen kann. Diese zwei knappen Sätze des Gerichts sagen damit Großes aus: Das Internet vergisst nicht.

Dies ist umso bemerkenswerter, da es hier um besonders sensible personenbezogene Daten in Form von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO geht. In zeitlicher Hinsicht stellt das Urteil dabei heraus, dass die Interessen des Klägers auf Entfernung seiner personenbezogenen Daten aus der Trefferliste noch hinter dem öffentlichen Interesse an deren Abrufbarkeit – ihrer Sensibilität im Sinne des Art. 9 Abs. 1 DSGVO ungeachtet – zurücktreten müssten. Wann die an den Zeitablauf zu stellenden Anforderungen erfüllt sind, lässt das Gericht aber offen. Dies könne nur durch die Abwägung der widerstreitenden Interessen im Einzelfall festgestellt werden.

Datenschutz im Internet = das Internet vergisst nicht?

Es fällt auf, wie wenig Bedeutung den sensiblen Gesundheitsdaten des Klägers, die in künftigen Lebensbereichen immerhin herausragende Bedeutung entfalten können, beigemessen und wie behutsam dagegen der Suchmaschinenbetreiber in die Pflicht genommen wird. Wieso dieser eine „besondere Stellung“ einnehmen soll, ist nicht nachvollziehbar. Die Differenzierung zwischen einfachen personenbezogenen Daten und den hier vorliegenden sensiblen personenbezogenen Daten kommt aus nach unserer Einschätzung zu kurz.

Näher liegt da schon eher der Rückgriff auf die Rechtsprechung des EuGH zu den Facebook-Fanpages. Danach haftet der Betreiber einer Facebook-Fanpage mit Facebook gemeinsam für die Verarbeitung personenbezogener Daten auf der Fanpage. Datenschutzrechtlich „Verantwortliche“ sind demnach beide. Dass demgegenüber Suchmaschinenbetreibern nur die behauptet geringen Pflichten zukommen sollen, überzeugt nicht.

Es bleibt festzuhalten, dass die Entscheidung des Oberlandesgerichts Frankfurt am Main aufschlussreich ist, gleichwohl nicht vermag, den Ausschlag zu geben zwischen einem „Recht auf Vergessen“ einerseits und einem „Das Internet vergisst nicht“ andererseits. Gerade im Kontext sensibler Gesundheitsdaten ist eine Klärung der zugrundeliegenden Fragen aber über den konkreten Einzelfall hinaus von grundlegender Bedeutung. Entsprechend mit Spannung zu erwarten ist die Revision über die Frage der zeitlichen Anwendbarkeit von Art. 17 DSGVO, der Anwendbarkeit der Norm auf das konkrete Begehren des Klägers sowie des Umgangs von Suchmaschinen mit sensiblen Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO.