Aufsatz : Bußgeld im digitalen Zeitalter – Was bringt die DS-GVO? : aus der RDV 1/2017, Seite 13 bis 21
Datenschutz als Damoklesschwert der Haftung und der finanziellen Belastung. Drastische Bußgelderhöhungen, mehr Bußgeldtatbestände, unbestimmte Bußgeldtatbestände, neue erhöhte Anforderungen an ein Datenschutz-Compliance, leichtere Begründung der Verantwortlichkeit eines Unternehmens, auch wenn der „Täter“ nicht feststellbar ist. Ist das schlichtweg der unvorhersehbare Horror oder kann ich als Unternehmen präventiv vorsorgen?
A. Allgemeine Bedingungen für die Verhängung von Geldbußen nach Art. 83 DS-GVO
Die europäische Datenschutzreform steht im Zeichen des digitalen Zeitalters. Daten sind zu einer Ware geworden, die tagtäglich an finanzieller Bedeutung gewinnt. Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen[1]. Dem europäischen digitalen Binnenmarkt steht das Recht auf informationelle Selbstbestimmung und das Bedürfnis eines unionsweiten wirksamen Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten als Gegenspieler gegenüber. Die Grundverordnung verfolgt den Zweck, der Harmonisierung der Vorschriften zum Schutz der Grundrecht und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten[2]. Dazu gehört auch, dass die konsequente Durchsetzung der DS-GVO sichergestellt wird. Art. 58 Abs. 2 DS-GVO sieht hierfür eine Reihe an Abhilfebefugnissen vor. Eine der zehn Maßnahmen ist es, eine Geldbuße gemäß Art. 83 DS-GVO zu verhängen, zusätzlich zu oder anstelle von den in Art. 58 Abs. 2 lit. a)-h) und j) DS-GVO genannten Maßnahmen.
I. Ausgangslage in Deutschland
Deutschland gehört zu den Mitgliedsstaaten in der Europäischen Union, in denen „administrative sanction“ Tradition hat. Gemäß § 1 Abs. 1 OWiG ist die Ordnungswidrigkeit eine mit Geldbuße bedrohte, tatbestandsmäßige, rechtswidrige und vorwerfbare Handlung. Von ihr zu unterscheiden ist die Straftat, die eine mit Geld- und oder Freiheitsstrafe bedrohte Handlung ist. Im Gegensatz zur Kriminalstrafe fehlt der Geldbuße ein Unwerturteil und der Ernst staatlichen Strafens[3]. Die Geldbuße ist in erster Linie darauf gerichtet, eine bestimmte Ordnung durchzusetzen, die Geldbuße ist eine ernste Pflichtenmahnung des Betroffenen[4].
Die mit Geldbußen sanktionierten Verstöße gegen das Bundesdatenschutzgesetz (BDSG) sind derzeit in § 43 Abs. 1 und 2 BDSG geregelt. § 43 Abs. 1 BDSG enthält Tatbestände, die gemäß § 43 Abs. 3 S. 1, 1. Halbsatz BDSG mit einem Bußgeld von bis zu 50.000 EUR geahndet werden können. In § 43 Abs. 2 BDSG werden schwere Verstöße aufgeführt, für die gemäß § 43 Abs. 3 S. 1, 2. Halbsatz BDSG ein Bußgeld von bis zu 300.000 EUR verhängt werden kann.
Das geltende Verfahren kann gegen natürliche Personen, natürliche und juristische Personen im gemeinsamen Verfahren oder gegen die natürliche Person und die juristische Person als Nebenbeteiligte in getrennten Verfahren geführt werden. Das Ordnungswidrigkeitenverfahren ist im Gesetz über Ordnungswidrigkeiten (OWiG) geregelt und wird durch die in Bezug genommenen Vorschriften der StPO, GVG und JGG über § 46 Abs. 1 OWiG ergänzt.
Die Einhaltung des BDSG wird zum einen durch die Verhängung von Bußgeldern und zum anderen durch die Anordnungs- und Untersagungsrechte der Aufsichtsbehörde gemäß § 38 Abs. 5 BDSG gewährleistet.
II. Die neuen Vorschriften zum Bußgeldverfahren im Überblick
Die DS-GVO[5] löst die Richtlinie 95/46/EG ab. Während die Richtlinie in nationales Recht umzusetzen war, findet die DS-GVO als Verordnung ab dem 25. Mai 2018 direkt Anwendung. Für den nationalen Gesetzgeber verbleibt wenig Umsetzungsspielraum, so beispielsweise im Rahmen der in der Verordnung an verschiedenen Stellen vorzufindenden Öffnungsklauseln[6]. Öffnungsklauseln mit Bezug auf das Bußgeldverfahren finden sich in Art. 58 Abs. 6, Art. 83 Abs. 7 und 8 sowie in Art. 84 DS-GVO.
Zentrale Normen im Zusammenhang mit dem Bußgeldverfahren sind Art. 58 Abs. 2, Art. 70 lit. k, Art. 83, Art. 84 DS-GVO und erläuternd die Erwägungsgründe 148, 149, 150, 151 und 152.[7]
III. Zuständige Aufsichtsbehörde
Die heute für die Umsetzung des BDSG zuständigen Aufsichtsbehörden sind die für die Durchsetzung der DS-GVO zuständigen Behörden von morgen. Nach Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaates zuständig.
Folgende Aufgaben werden der Aufsichtsbehörde durch die DS-GVO übertragen:
- Durchsetzung der Verordnung (Art. 57 Abs. 1 lit. a DSGVO),
- Sensibilisieren der Verantwortlichen und Auftragsverarbeiter für die ihnen aus dieser Verarbeitung entstehenden Pflichten (Art. 57 abs. 1 lit. d),
- Führen interner Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Art. 58 Abs. 2 DS-GVO ergriffene Maßnahmen (Art. 57 Abs. 1 lit. u DS-GVO).
Zu den Aufgaben kommen die Befugnisse aus Art. 58 DSGVO. Die Aufsichtsbehörde hat Untersuchungsbefugnisse (Art. 58 Abs. 1 DS-GVO), sie hat Abhilfebefugnisse (Art. 58 Abs. 2 DS-GVO) und Genehmigungsbefugnisse (Art. 58 Abs. 3 DS-GVO).
Die Abhilfebefugnisse in Art. 58 Abs. 2 DS-GVO enthalten einen Strauß an 10 Maßnahmen, die der Aufsichtsbehörde bei der Umsetzung ihrer Aufgaben dienlich sein sollen:
- einen Verantwortlichen oder den Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen[8],
- einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen die DS-GVO verstoßen hat[9],
- den Verantwortlichen oder den Auftragsverarbeiter anweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach der DS-GVO zustehenden Rechte zu entsprechen[10],
- den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen[11],
- den Verarbeiter anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen[12],
- eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen[13],
- die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen[14],
- eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden[15],
- eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls[16],
- die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen[17].
In welchem Verhältnis die Geldbuße zu den anderen Maßnahmen zu sehen ist, gibt die Grundverordnung in Art. 83 Abs. 2 Satz 1 DS-GVO und Erwägungsgrund 148 Satz 1 DSGVO vor. Geldbußen sollen, im Interesse einer konsequenteren Durchsetzung der Vorschriften, je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchstaben a bis h und i DS-GVO verhängt werden. Dem Verordnungsgeber ist wohl ein redaktionelles Versehen unterlaufen, es dürfte der Buchstabe j statt dem Buchstaben i gemeint gewesen sein.
IV. Adressat des Bußgeldverfahrens
Bußgelder wegen Verstößen gegen die DS-GVO können sowohl gegen Unternehmen als auch gegen „Personen, bei denen es sich nicht um ein Unternehmen handelt“[18] verhängt werden. Dem Bußgeldverfahren liegt nicht der datenschutzrechtliche Unternehmensbegriff gemäß Art. 4 Nr. 18 DS-GVO zugrunde, sondern der weiter zu verstehenden kartellrechtliche Unternehmensbegriff im Sinne der Art. 101 und 102 Vertrages über die Arbeitsweise der Europäischen Union (AEUV). Dies ist gerade im Zusammenhang mit der Bußgeldzumessung von besonderer Relevanz.
V. Die Bußgeldtatbestände
Die neuen, mit Bußgeldern sanktionierten Tatbestände sind in Art. 83 Abs. 4, 5 und 6 DS-GVO geregelt. Teilt man die Tatbestände nach Ihrem Bußgeldrahmen auf, ergeben sich zwei Gruppen.
Die erste Gruppe sind die Tatbestände in Art. 83 Abs. 4 DS-GVO. Ihre Verletzung kann mit einem Bußgeld bis zu 10 Mio. Euro sanktioniert werden. Der Höchstbetrag von 10 Mio. Euro kann überschritten werden, wenn ein Unternehmen im letzten Geschäftsjahr einen weltweiten Umsatz erzielt hat, von dem 2 % höher sind als der Höchstbetrag von 10 Mio. Euro.
Die zweite Gruppe sind die Bußgeldtatbestände nach Art. 83 Abs. 5 und 6 DS-GVO. Ihre Verletzung kann mit einem Bußgeld von bis zu 20 Mio. Euro geahndet werden bzw. mit Bußgeldern bis zu 4 % des weltweiten Jahresumsatzes eine Unternehmens.
Art. 83 Abs. 4 und 5 DS-GVO sanktionieren Verpflichtungen, die sich aus der DS-GVO ergeben. Art. 83 Abs. 6 DSGVO sanktioniert die Verstöße, die eine Missachtung einer Anweisung der Aufsichtsbehörde aus Artikel 58 Abs. 2 DSGVO darstellen.
Die in Art. 83 DS-GVO normierten Tatbestände reichen deutlich weiter als die bisherigen Bußgeldtatbestände nach § 43 BDSG. Hinzu kommt, dass sie sehr unbestimmt sind – ein europäisches Phänomen, das Wieser bereits für den Bereich des europäisierten Lebensmittelhygienerecht im Zusammenhang mit den Ausfüllungstatbeständen bemängelt hat[19]. Der in Artikel 103 Abs. 2 GG enthaltene verfassungsrechtliche Bestimmtheitsgrundsatz enthält die Verpflichtung des Gesetzgebers, die Voraussetzungen der Strafbarkeit so konkret zu umschreiben, dass Tragweite und Anwendungsbereich der Straf- und Ordnungswidrigkeitentatbestände zu erkennen sind und sich durch Auslegung ermitteln lassen[20]. In der Unbestimmtheit der Tatbestände liegen aus Unternehmenssicht erhebliche Haftungsrisiken. [21]
1. Art. 83 Abs. 4 DS-GVO Sanktioniert werden nach Art. 83 Abs. 4 lit. a DS-GVO
Verstöße gegen die Pflichten der Verantwortlichen[22] und der Auftragsverarbeiter[23] gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 DS-GVO. Art. 83 Abs. 4 lit. b DS-GVO sanktioniert Verstöße gegen die Pflichten der Zertifizierungsstelle gem. Art. 42 und 43 DS-GVO[24]. Nach Art. 83 Abs. 4 lit. c DS-GVO werden Verstöße gegen die Pflichten der Überwachungsstelle gemäß Artikel 41 Abs. 4 DS-GVO geahndet.
2. Art. 83 Abs. 5 DS-GVO
Verstöße gegen die in Art. 83 Abs. 5 aufgelisteten Pflichten werden als schwere Verstöße eingestuft. Ihr Bußgeldrahmen reicht bis zu 20 Mio. Euro. Hierunter fallen Verstöße gegen die Grundsätze der Verarbeitung einschließlich der Bedingungen für die Einwilligung gemäß den Artikeln 5, 6,7 und 9 DS-GVO[25]. Verstöße gegen die Rechte der betroffenen Personen gemäß Artikel 12 bis 22 DS-GVO[26], Verstöße gegen die Pflichten im Rahmen der Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49 DS-GVO[27], die Nichtbefolgung aller Pflichten gemäß den Rechtsvorschriften der Mitgliedsstaaten, die im Rahmen des Kapitels IX der DS-GVO erlassen wurden[28], sowie die Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Abs. 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Abs. 1 DS-GVO[29].
3. Art. 83 Abs. 6 DS-GVO
Zu guter Letzt können nach Art. 83 Abs. 6 DS-GVO bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 2 DS-GVO Bußgelder in Höhe von bis zu 20 Mio. Euro festgesetzt werden. Art. 83 Abs. 6 DS-GVO ist eine sogenannte Blankettvorschrift[30]. Die Vorschrift bezieht sich auf eine von der Aufsichtsbehörde erlassene Maßnahme, einen Verwaltungsakt. Für die Sanktionierung bedeutet das, dass der Verwaltungsakt für den Adressaten zur Tatzeit verbindlich ist. Der Verwaltungsakt muss also entweder nach Ablauf der einmonatigen Widerspruchsfrist (§ 70 VwGO) bzw. nach Ablauf der Klagefrist (§ 74 Abs. 1 VwGO) bestandskräftig geworden sein oder, wenn kein Widerspruchverfahren vorgesehen ist, von Gesetzes wegen sofort (§ 80 Abs. 1 Satz 1 Nr. 3 VwGO) bzw. aufgrund der Anordnung der sofortigen Vollziehung durch die Behörde im Einzelfall (§ 80 Abs. 2 Satz 1 Nr. 4 VwGO) vollziehbar sein[31].
Die Zuwiderhandlung gegen ein durch den Verwaltungsakt angeordnetes Tun, Dulden oder Unterlassen ist daher grundsätzlich nicht schon mit Erlass der behördlichen Entscheidung bußgeldbewehrt, sondern erst dann, wenn der Verwaltungsakt für den Betroffene verbindlich ist. Die Ahndung eines Ungehorsams setzt voraus, dass der Betroffene den Vollzug der gegen ihn gerichteten Verfügungen ohne die Möglichkeit hemmender Rechtsbehelfe zunächst einmal hinnehmen muss[32].
Soweit die Behörde den Adressaten zur Mitwirkung auffordert, reicht es nicht aus, die fristgemäße Erfüllung von Mitwirkungspflichten durch dienstliches Schreiben ohne Zustellung, Begründung und Rechtsbehelfsbelehrung anzudrohen. Das ist kein vollziehbarer Verwaltungsakt, außer das behördliche Verlangen ist von Gesetzes wegen sofort vollziehbar[33]. Schlechthin falsch ist laut Wieser[34] der Hinweis, der Mitwirkungspflichtige begehe eine Ordnungswidrigkeit, wenn er dieses Schreiben nicht beantworte.
Damit sanktioniert die DS-GVO sowohl in Art. 83 Abs. 5 e als auch Art. 83 Abs. 6 DS-GVO Verstöße gegen Maßnahmen aus Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO. Dies ist auf den ersten Blick strukturell unlogisch, aber anscheinend vom Verordnungsgeber gewollt.
B. Die Geldbuße nach DS-GVO und ihre Zumessung
Bei Unternehmen sollen Verstöße gegen die DS-GVO im Falle eines Verstoßes mit „starken Sanktionen“ geahndet werden, richtig teuer werden und wehtun[35]. Daher sieht die Verordnung auch vor, dass in datenschutzrechtlichen Bußgeldverfahren gegen Unternehmen die Aufsichtsbehörden Bußgelder von bis zu 10 Mio. Euro und im Fall der Tatbestände in Art. 83 Abs. 5 und 6 DS-GVO bis zu 20 Mio. bzw. von bis zu 2% bzw. 4 % des weltweiten Umsatzes des Vorjahres verhängen können.
1. Der Funktionale Unternehmensbegriff
Eine wichtige Neuerung ist die Einführung des aus dem Kartellrecht entstammenden weiten Unternehmensbegriffs nach Art. 101 und 102 AEUV [36]. Die DS-GVO verwendet somit zwei unterschiedliche Unternehmensbegriffe an. Den datenschutzrechtlichen nach Art. 4 Nr. 18 DS-GVO und den kartellrechtlichen nach Art. 101, 102 AEUV.
a) Der Begriff Der Unternehmensbegriff nach Art. 101 und 102 AEUV ist ein weiter Unternehmensbegriff. Der sogenannte „funktionale Unternehmensbegriff“ ist in jahrelanger Entscheidungspraxis der Kommission und des EuGH im Kartellrecht geprägt worden[37].
b) Die „wirtschaftliche Einheit“ Unternehmen ist demnach „jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und der Art ihrer Finanzierung“[38]. Entscheidend ist nicht wer tätig ist, sondern die aktive Teilnahme am Wirtschaftsleben durch das Anbieten oder u.U. auch Nachfragen von Gütern oder Dienstleistungen auf einem bestimmten Markt[39].
Mutter- und Tochtergesellschaft sind dann eine „wirtschaftliche Einheit“ und können gemeinsam für ein Fehlverhalten des Tochterunternehmens sanktioniert werden, wenn die Muttergesellschaft auf die Tochtergesellschaft aus wirtschaftlichen, organisatorischen oder rechtlichen Gründen einen bestimmenden Einfluss ausübt[40]. Dann sind sie ein einziges Unternehmen. Eine weitere Konsequenz der wirtschaftlichen Einheit ist es, dass es genügt, wenn eine natürliche Person für das Unternehmen handelt. Der EuGH geht für den kartellrechtlichen Bereich davon aus, dass ein Verhalten dem Unternehmen zuzurechnen ist, ohne dass eine konkret handelnde Person überhaupt benannt werden muss. Erfasst sind daher nicht nur wie bisher die gesetzlichen Vertreter oder Leitungspersonen (§ 30 Abs. 1 OWiG), sondern sämtliche Bedienstete oder auch Beauftragte außerhalb des Unternehmens oder der Unternehmensvereinigung.[41] Eine Kenntnis der Inhaber oder Geschäftsführer des Unternehmens von der konkreten Handlung oder eine Verletzung der Aufsichtspflicht (bisher für § 130 OWiG notwendig) ist für die Zuordnung der Verantwortlichkeit nicht erforderlich.
c) Was bedeutet das für den Datenschutz
Der Transfer des „funktionalen Unternehmensbegriff“ in den Bereich des Datenschutzrechts zeigt zugleich, dass der Verordnungsgeber dem Handel mit Daten eine ähnlich gelagerte Bedeutung im Wirtschaftshandel zumisst wie den Kartellen. Die Daten sind Ware von wachsender Bedeutung in einem aufstrebenden digitalen und digitalisierten Binnenmarkt in einer fortschreitenden Globalisierung der digitalen Welt.[42]
2. Bußgeldzumessung
Für die Bußgeldzumessung bei Verstößen gegen die DSGVO sind die Vorschriften Art. 83 Abs. 1 und 2 DS-GVO relevant. Hintergrundinformationen ergeben sich aus Erwägungsgründen 148 und 150 Satz 2,3,4. Sofern das EDPB[43] gemäß Art. 70 lit. k DS-GVO Leitlinien erlässt, nehmen diese ebenfalls Einfluss auf die Bußgeldzumessung. Die Grundverordnung fordert, dass es für die Verhängung von Sanktionen einschließlich Geldbußen angemessene Verfahrensgarantien geben soll, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtschutz und ein faires Verfahren, entsprechen[44].
a) Art. 83 Abs. 1 DS-GVO
Art. 83 Abs. 1 DS-GVO gibt an die Aufsichtsbehörde den Auftrag, sicherzustellen, dass die Verhängung von Geldbußen gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Wenn Geldbußen Personen auferlegt werden, bei denen es sich nicht um Unternehmen handelt, soll die Aufsichtsbehörde bei der Erwägung des angemessenen Betrages für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen[45].
Ob das Auslassen von Art. 83 Abs. 4 DS-GVO in der Benennung der Tatbestände in Art. 83 Abs. 1 DS-GVO beabsichtigt war oder ob es sich um ein redaktionelles Versehen handelt, ist noch abzuklären. Es spricht viel für ein redaktionelles Versehen.
b) Art. 83 Abs. 2 DS-GVO
Nach Art. 83 Abs. 2 S. 1 DS-GVO können Geldbußen je nach den Umständen des Einzelfalls zusätzlich oder anstelle von Maßnahmen nach Artikel 58 Abs. 2 lit. a bis h und j[46] verhängt werden.
Die DS-GVO gibt der Aufsichtsbehörde für ihre Entscheidung Kriterien an die Hand. Diese sind bei der Entscheidung über das „ob“ und die „Höhe“ durch die Aufsichtsbehörde zu berücksichtigen. Geregelt sind sie in Art. 83 Abs. 2 S. 2 lit. a bis k DS-GVO. Diese Kriterien eröffnen den Betroffenen im Bußgeldverfahren zugleich im Umkehrschluss einen Hinweis darauf, was im Rahmen des Krisenmanagement im Falle des Verstoßes als Unternehmen unternommen werden kann, um eine Geldbuße abzuwenden oder eine Geldbuße zu reduzieren – allerdings immer mit dem Risiko, dass keine Gewähr dafür besteht, in dem jeweiligen Einzelfall die gewünschte Wirkung zu erzielen.
Im Einzelnen empfiehlt es sich für den Betroffenen, die nachfolgend vorgestellten Kriterien zu kennen und möglichst Präventions- und Verteidigungsstrategien daran auszurichten.
aa) Art. 83 Abs. 2 S.2 lit a DS-GVO
Die Aufsichtsbehörde hat Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens ihrer Entscheidung zugrunde zu legen.
bb) Art. 83 Abs. 2 S.2 lit b DS-GVO
Bei der Bußgeldzumessung spielt außerdem eine Rolle, ob die Tat vorsätzlich oder fahrlässig begangen wurde.
cc) Art. 83 Abs. 2 S.2 lit c DS-GVO
Berücksichtigt werden jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens. Dem Verantwortlichen oder Auftragsverarbeiter sollte es daher ein Anliegen sein, Maßnahmen zu ergreifen und sie zu dokumentieren.
dd) Art. 83 Abs. 2 S.2 lit d DS-GVO
In die Beurteilung fließt außerdem der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 DS-GVO getroffenen technischen und organisatorischen Maßnahmen ein.
ee) Art. 83 Abs. 2 S.2 lit e DS-GVO
Für die Entscheidung über das „ob“ und das „wie“ sind auch etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters zu berücksichtigen.
ff) Art. 83 Abs. 2 S.2 lit f DS-GVO
Für den Betroffenen rechnet es sich, mit der Aufsichtsbehörde von sich aus zusammenzuarbeiten. In die Bußgeldzumessung fließt der Umfang der Zusammenarbeit mit der Aufsichtsbehörde ein, der aufgewandt wurde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern. Um einen Anhaltspunkt dafür zu erhalten, was an dieser Stelle sachdienlich wäre, kann man u.a. im Kartellrecht im Zusammenhang mit der dortigen Bonusregelung spieken[47]. Dort gibt es mittlerweile eine umfangreiche Rechtsprechung zu den verschärfenden und mildernden Faktoren.
So ist zum Beispiel von der kartellrechtlichen Rechtsprechung als Begründung für eine nur geringe Bußgeldermäßigung anerkannt worden: der allgemeine Charakter der vorgelegten Informationen und Beweismittel[48], die Unvollständigkeit der vorgelegten Informationen[49], Unternehmen bagatellisiert zugleich die Dauer der Zuwiderhandlung und seine dabei gespielte Rolle[50], und mit Vorbehalten verbundene Eingeständnisse oder mehrdeutige Erklärungen[51].
Diese Rechtsprechung bezieht sich zwar auf das kartellrechtliche Ordnungswidrigkeitenverfahren, gibt aber dennoch erste Orientierungspunkte für das datenschutzrechtliche Ordnungswidrigkeitenverfahren.
gg) Art. 83 Abs. 2 S.2 lit g DS-GVO
Für die Bewertung des Einzelfalls spielt es zudem eine Rolle, welche Kategorien personenbezogener Daten von dem Verstoß betroffen sind.
hh) Art. 83 Abs. 2 S.2 lit h DS-GVO
Die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat, werden ebenfalls berücksichtigt.
ii) Art. 83 Abs. 2 S.2 lit i DS-GVO
Relevant für die Beurteilung des Einzelfalls ist die Einhaltung der nach Artikel 58 Absatz 2 DS-GVO früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden. Mit anderen Worten: Hat die Aufsichtsbehörde hier bereits andere Maßnahmen angeordnet und wurden diese nicht eingehalten, wird dies voraussichtlich erschwerend Berücksichtigung in der Entscheidung der Aufsichtsbehörde finden.
jj) Art. 83 Abs. 2 S.2 lit j DS-GVO
Die Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 DS-GVO und von genehmigten Zertifizierungsverfahren nach Artikel 42 DS-GVO fließt ebenfalls in die Bußgeldzumessung mit ein. Dadurch wird die Durchführung solcher Maßnahmen für Unternehmen an Attraktivität gewinnen.
kk) Art. 83 Abs. 2 S.2 lit k DS-GVO
Außerdem fließen in die Bewertung jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall ein, wie z.B. unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
c) Deckelung nach Art. 83 Abs. 3 DS-GVO
Die Verordnung sieht eine Deckelung der Bußgeldhöhe für den Bußgeldgesamtbetrag im Falle von Tateinheit vor. In Art. 83 Abs. 3 DS-GVO ist geregelt, dass wenn ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung verstößt, der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß übersteigt.
3. Leitlinien zur Bußgeldfestsetzung
Um die einheitliche Anwendung der Verordnung sicherzustellen, nimmt der Europäische Datenschutzausschusses[52] (Art. 68 DS-GVO) Aufgaben wahr, die ihm ausdrücklich in Art. 70 DS-GVO zugeschrieben sind. In diesem Zusammenhang ist der EDAS gemäß Art. 70 lit. k DS-GVO[53] mit der Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 DS-GVO und die Festsetzung von Geldbußen gemäß Artikel 83 DS-GVO beauftragt.
Die Cooperation Subgroup, eine Unterarbeitsgruppe der Artikel-29 Gruppe, hat den Auftrag erhalten, in Vorbereitung auf den 25. Mai 2018 unter anderem Leitlinien für die Bebußung[54] auszuarbeiten. Aufgrund der vielen anderen Fragestellungen wurde das Thema aber nach ersten Anläufen und Entwürfen vorerst zurückgestellt.
Leitlinien für die Bebußung sind im Zusammenhang mit Geldbußen nicht neu, und vor allem nicht in Deutschland. Das Bundeskartellamt hat Bußgeldleitlinien für das Kartellordnungswidrigkeitenverfahren. In den Leitlinien für die Bußgeldzumessung in Kartellordnungswidrigkeitenverfahren (Bußgeldleitlinien) ist festgelegt, wie das Bundeskartellamt schwerwiegende Kartellrechtsverstöße ahndet und welche Kriterien für die Bußgeldzumessung herangezogen werden.[55] Die letzte Fassung wurde am 23. Juni 2013 bekannt gemacht.[56]
Anstoß für die Entwicklung gab die Europäisierung des Kartellrechts. In Ausübung seines Ermessens legt das Bundeskartellamt gemäß § 81 Abs. 7 GWB mit den Leitlinien für die Bußgeldzumessung in Kartellordnungswidrigkeitenverfahren fest, wie es bei der Bemessung des ahndenden Teils der Geldbuße für sog. schwere Kartellordnungswidrigkeiten gegenüber Unternehmen und Unternehmensvereinigungen vorgehen wird.[57]
Dieses Modell der Incentive-Setzung oder auch „the stick and the carrot“ genannt findet seine gedankliche Grundlage in den U.S. Federal Sentencing Guidelines („Guidelines“). Im November 1999 hat der US-amerikanische Kongress die „Guidelines“ verabschiedet und eine dramatische Auswirkung auf das unternehmerische Amerika erreicht.[58]
Inwieweit die „Anlehnung“ an das Kartellrecht auch ein Indiz für die zukünftige datenschutzrechtliche Bußgeldpraxis ist, wird sich in der Umsetzungsphase herauskristallisieren. Die Hinweise in der Verordnung sprechen dafür.
4. Kohärenzverfahren
Das Kohärenzverfahren kann auch genutzt werden, um eine kohärente Anwendung von Geldbußen zu fördern[59].
5. Verzeichnisse
Die Aufsichtsbehörden müssen gemäß Art. 57 Abs. 1 lit u DS-GVO interne Verzeichnisse über Verstöße gegen dies Verordnung und gemäß Artikel 58 Abs. 2 ergriffene Maßnahmen führen. Der EDAS kann nach Art. 70 Abs. 1 lit. y DSGVO ein öffentlich zugänglich elektronisches Register der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen führen, die im Rahmen des Kohärenzverfahrens behandelt wurden. Im Zusammenhang mit dem Hinweis[60], dass das Kohärenzverfahren auch dazu genutzt werden kann, um einen kohärente Anwendung von Geldbußen zu fördern, kann das dazu führen, dass Bußgeldentscheidungen in diesem Register veröffentlicht werden.
C. Das OWi-Verfahren im DSAnpUG-EG
Das Bundesinnenministerium arbeitet aktuell[61] am „Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680“ (Datenschutz-Anpassung- und -Umsetzungsgesetz EU – DSAnpUG-EU). Der erste Entwurf kam im August 2016 heraus. Der zweite Entwurf wurde mit Stand 23.11.2016/09:18 in die Länder- und Verbändebeteiligung gegeben. Im Dezember 2016 arbeitete das Bundesinnenministerium am 3. Entwurf. Der Gesetzesentwurf soll im Januar 2017 ins Bundeskabinett. Die Vorschriften, die das Bußgeldverfahren betreffen, sind §§ 39 und 40 DSAnpUG-EU.
Mit dem neuen § 39 Abs. 1 DSAnpUG-EU wird das Gesetz über Ordnungswidrigkeiten (OWiG) auch auf Verstöße nach Artikel 83 Abs. 4 bis 6 der DS-GVO erstreckt[62]. Gemäß § 39 Abs. 1 Satz 2 finden §§ 9,17,30,36 und 130 OWiG keine Anwendung. Die Anwendung der §§ 9, 30 und 130 OWiG ist ausgeschlossen, da die DS-GVO hinsichtlich der Frage der Zurechnung von Handlungen abschließend ist. § 17 des Gesetzes über Ordnungswidrigkeiten kommt nicht zur Anwendung, da die DS-GVO auch die Bußgeldhöhe abschließend regelt. §§ 35 und 36 OWiG werden nicht angewendet, da sich bereits aus Artikel 83 DS-GVO ergibt, dass die Aufsichtsbehörden für die Verhängung von Geldbußen zuständig sind. Die Verordnung selbst regelt das Straf- und Bußgeldverfahren nicht. An den bisherigen Grundzügen des datenschutzrechtlichen Bußgeld- und Strafverfahren wird festgehalten, da insbesondere Artikel 83 Absatz 8 DS-GVO ausdrücklich fordert, dass die Mitgliedstaaten angemessene Verfahrensgarantien vorsehen. § 39 Absatz 2 Satz 1 DSAnp UGEU regelt, dass die Vorschriften des OWiG und der allgemeinen Gesetze über das Strafverfahren grundsätzlich Anwendung finden.[63] Gemäß § 39 Abs. 2 Satz 2 DSAnpUG-EU finden §§ 56 bis 58, 87, 99, 100 OWiG keine Anwendung. Die Anwendung der §§ 56 bis 58 OWiG ist ausgeschlossen, da die Verwarnung[64] bereits in Art. 58 Abs. 2 lit b DS-GVO geregelt ist. Indem die §§ 87, 88, 99, 100 für nicht anwendbar erklärt werden, ist die Anwendung einzelner Vorschriften zu Geldbußen gegen juristische Personen und zu Nebenfolgen sowie zur Vollstreckung[65] von Bußgeldentscheidungen ausgeschlossen. In § 39 Abs. 2 Satz 3 DSAnpUG-EU ist ob der hohen Bußgeldbeträge, die die DS-GVO ermöglicht, in Anlehnung an § 23 Nr. 1 Gerichtsverfassungsgesetz (GVG) die Zuständigkeit des Landgerichts vorgesehen, wenn der Betrag einer Geldbuße die Summe von fünftausend Euro übersteigt. Indem Absatz 2 Satz 4 bestimmt, dass die Staatsanwaltschaft im Zwischenverfahren das Verfahren nur mit Zustimmung der Aufsichtsbehörde einstellen kann, die den Bußgeldbescheid erlassen hat, wird der Bedeutung der Geldbußen in der DS-GVO und der Unabhängigkeit der Datenschutzaufsicht Rechnung getragen.[66] In § 40 DSAnpUG-EU werden weitere Vorschriften für die Verhängung von Geldbußen geregelt.
D. Ausblick auf die Umsetzungsphase
Im derzeitigen Stadium der Umsetzung der DS-GVO sind noch viele Fragen offen, und zwar solche, die zur Definition der unbestimmten Begriffe in den Bußgeldtatbeständen in Art. 83 Abs. 4, 5 und 6 DS-GVO grundlegend sind. Es gibt Verfahrensfragen die noch zu klären sind. Der nationale Gesetzgeber ist auf Bundes- und Landesebene gefordert, sich den Öffnungsklauseln und ihrer Auskleidung zu widmen – eine aus unternehmerischer Sicht bisweilen sicher unbefriedigende Situation. Aber schon heute ist klar, dass Datenschutz in Compliance und die Implementierung von Strategien für den Notfall, dem Datenschutzverstoß, an Bedeutung immens zugenommen haben. Bis zum 25. Mai 2018 wird sich noch einiges tun und ist noch einiges zu tun.
Was können die Unternehmen tun? Faust/Spittka/Wybitul empfehlen ein Datenschutz-Management-System.[67] Es macht sicherlich Sinn, dort zu schauen, wo bereits mit Leitlinien gearbeitet wird, und sich anhand der Rechtsprechung einen Überblick zu verschaffen. Denn es ist unwahrscheinlich, dass das Rad neu erfunden wird. Höchstens wird modifiziert und den speziellen Begebenheiten angepasst.
Im Bereich der Kartellrechtsverstöße und der Korruptionsprävention wurde über das Potential des Whistleblowings diskutiert. Vielleicht wäre dies auch ein Tool im Bereich Datenschutz. Erste Überlegungen, noch zur Datenschutzrichtlinie, hat Forst in einem Aufsatz[68] dazu niedergelegt.
Maria Christina Rost ist Referentin in der Bußgeldstelle und persönliche Referentin des Hessischen Datenschutzbeauftragten. Vor ihrer Tätigkeit beim HDSB war sie in der Kanzlei des Hessischen Landtags, im Ministerium für Schule und Weiterbildung NRW und als Rechtsanwältin tätig
[1] Vgl. Erwägungsgrund 6 DS-GVO.
[2] S. Erwägungsgründe 3, 9 DS-GVO.
[3] Vgl. Wieser, Gesetz über Ordnungswidrigkeiten, § 1 Rz. 5.
[4] S. BVerfG, Beschluss v. 16.07.1969, Az. 2 BvL2/69; BVerfGE 27, 18.
[5] Informativ zu DS-GVO Piltz, K&R 2016, 557; ders., K&R 2016, 629; ders. K&R 2016, 709; ders., K&R 2016, 777; Gola, RDV 2013, 1; Dieterich, ZD 2016, 260; Ashkar, DuD 2015, 796; Faust/Spittka/Wybitul, ZD 2016, 120; Thode, CR 2016, 714.
[6] Zu den Öffnungsklauseln: Benecke/Wagner DVBl. 2016, 600; zur DSGVO und den Öffnungsklauseln: Piltz K&R 2016, 557; ders., K&R 2016, 629; ders., K&R 2016, 709; ders., K&R 2016, 777.
[7] Das wird ergänzt durch die Vorschriften zu Zusammenarbeit und Kohärenz in Art. 60 bis 66 DS-GVO.
[8] S. Art. 58 Abs. 2 lit. a DS-GVO.
[9] S. Art. 58 Abs. 2 lit. b DS-GVO.
[10] S. Art. 58 Abs. 2 lit. c DS-GVO.
[11] 1 S. Art. 58 Abs. 2 lit. d DS-GVO.
[12] S. Art. 58 Abs. 2 lit. e DS-GVO.
[13] S. Art. 58 Abs. 2 lit. f DS-GVO.
[14] S. Art. 58 Abs. 2 lit. g DS-GVO.
[15] S. Art. 58 Abs. 2 lit. h DS-GVO.
[16] S. Art. 58 Abs. 2 lit. i DS-GVO
[17] S. Art. 58 Abs. 2 lit. j DS-GVO.
[18] Erwägungsgrund 150 DS-GVO.
[19] S. dazu Wieser OWiG § 3 Rn 4.4
[20] Vgl. BVerfG (ständige Rechtsprechung) Beschluss v. 23.10.1985, Az. 1 BvR 1053/82, BVerfGE 71, 108.
[21] S. Faust/Spittka/Wybitul, ZD 2016, 120.
[22] Verantwortlicher i.S.v. Artikel 4 Zif. 7 DS-GVO = eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten vorgesehen werden.
[23] Auftragsverarbeiter i.S.v. Art. 4 Zif. 8 DS-GVO = eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
[24] Hier wird eine Abgrenzung zu Art. 83 Abs. 4 lit. a DS-GVO erforderlich werden.
[25] S. Art. 3 Abs. 5 lit. a DS-GVO.
[26] S. Art. 83 Abs. 5 lit. b DS-GVO.
[27] S. Art. 83 Abs. 5 lit. c DS-GVO
[28] S. Art. 83 Abs. 5 lit. d DS-GVO.
[29] S. Art. 83 Abs. 5 lit. e DS-GVO
[30] S. Wieser, OWiG § 1 Ziff. 2.2.2 (Stand: 28.10.2016).
[31] S. dazu Wieser, OWiG § 1 Ziff. 2.2.2.1 (Stand: 28.10.2016)
[32] OLG Hamm, Beschluss v. 12.04.2012, Az. 3 RBs 426/11, NZS 2012, 713, OLG Bamberg, Beschluss v. 04.12.2007, Az. 2 Ss OWi 1265/07, DAR 2008, 99.
[33] Vgl. § 84 Abs. 1 AufenthG.
[34] Wieser, OWiG § 1 Ziff. 2.2.2.1
[35] LIBE-Ausschuss des Europäischen Parlaments, EU-Datenschutzgrundverordnung: Stand der Dinge – 10 wichtige Punkte v. 11.06.2015, S. 2.
[36] S. Erwägungsgrund 150, Satz 3 DS-GVO.
[37] Dazu vertiefend Faust/Spittka/Wybitul, ZD 2016, 120; zum Kartellrecht: Mansdörfer/Timmerbeil, EuZW 2011, 214; Koenig/Engelmann, EuZW, 2004, 682; Schindler, KommJur 2011, 126.
[38] Ständige Rechtsprechung des EuGH seit EuGH Höfner und Elsner/Macroton, C-41/90 – Slg. 1993, I-1979, 2016, R. 21; SAT Fluggesellschaft/Eurocontrol, C-364/92, Slg. 1994, I-43; Albany, C-67/696 – Slg. 1999, 5751,5886, Rn. 77; Pavlov, C-180 bis 184/98 – Slg. 2000, 6451, 6520, Rn. 74; Glöckner, C-475/99 – Slg. 2001, I-8099, 8145, Rn. 19; AOK Bundesverband, C-264, 206, 254 u 355/01 – Slg. 2004, 2493, 2542.
[39] EuGH- Kommission/Italien – 118/85 – Slg. 1987, 2599, Rn. 7; Diego Cali Figli, C-343/95 – Slg. 1997, I-1547, Rn. 16; Schröter, in: von der Groeben/Schwarze/Hatje, AEUV, 7. Auflage vor Art. 101-105, Rn. 67 ff. m.w.N.
[40] Hierzu Schröter, in: von der Groeben/Schwarze/Hatje, AEUV, 7. Auflage vor Art. 101-105, Rn. 51 ff. m.w.N., EuGH, Urteil v. 20.01.2011 – Genaral Quimka, C-90/09 – Slg. 2011, I-0001, Rn. 85, 89.
[41] S. EuGH – Musique Diffusion française, Urteil v. 07.06.1983, 100- 103/80 – Slg. 1983, 1825, Rn. 97; Tokai Carbon, T-236/01- Slg. 2004, 1181, Rn. 278; Protimonopolný úrad Slovenskej republiky, C-68/12, Rn. 25-28; Faust/Spittka/Wybitul, ZD 2016, 120 (121).
[42] Hierzu Albrecht, Finger weg von unseren Daten! Wie wir entmündigt und ausgenommen werden, München 2014.
[43] EDPB = European Data Protection Board.
[44] S. Erwägungsgrund 149 Satz 4 DS-GVO.
[45] Vgl. Erwägungsgrund 150, Satz 4 DS-GVO.
[46] Zwar steht in Artikel 83 Abs. 2 S. 1 DS-GVO „i“, aber allein schon das Wort „und“ davor spricht dafür, dass eigentlich „j“ gemeint war, zumal es sich bei „i“ um die Abhilfemaßnahme Geldbuße handelt.
[47] M.w.N. Winterstein/Ceyssens/Wessely, in: Groeben/Schwarze/Hatje, AEUV, 7. Auflage, nach Art, 101, Rn. 46 ff. und vor allem Rn. 86 ff.
[48] EuG BASF u.a./Kommission, T-101/05 u.a. – Slg. 2007, II-04949, Rn. 103,106.
[49] EuG BASF u.a./Kommission, T-101/05 u.a. – Slg. 2007, II-04949, Rn. 116,127.
[50] EuG – ABB/Kommission, T-31/99 – Slg. 2002, II-01881, Rn. 243.
[51] EuG – Bolloré u.a./Kommission, T-109/02 u.a. – Slg. 2007, II-00947, Rn. 717.
[52] Europäischer Datenschutzausschuss = EDAS bzw. European Data Protection Board = EDPB.
[53] Lit. k hebt sich dadurch von den anderen Aufgaben ab, dass es sich um einen Absatz handelt, die sich an die Aufsichtsbehörden wendet. Daher ist die Einstiegsformulierung auch anders. Die Leitlinien werden ausgearbeitet, während z.B. die Leitlinien zu lit. f „bereitgestellt“ werden.
[54] Guidelines for the imposition of administrative fines; Berichterstatter sind Großbritannien und Norwegen.
[55] Https://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Leitlinien/Bekanntmachung%20-%20Bu%C3%9Fgeldleitlinien-Juni%202013.html (Stand: 16.12.2016).
[56] Leitlinien BKartA v. 23. Juni 2013: http://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Leitlinien/Bekanntmachung%20-%20Bu%-C3%9Fgeldleitlinien-Juni%202013.html?nn=3591418.
[57] Bundeskartellamt, Leitlinien für die Bußgeldzumessung in Kartellordnungswidrigkeiten (Stand. 25. Juni 2013), S. 2.
[58] “Cartel Criminalization in Ireland and Europe: Can the United States Model of Criminal Antitrust enforcement be successfully transferred to Ireland and Europe?”, Rede von Caroly Galbreath auf dem ABA International Section 2007 Fall Meeting am 1. Oktober 2007 in Dublin, http://sti.strata3test.com/sites/default/files/2207-10-01%20Galbreath%20ABA_0.pdf (Stand: 16.12.2016); “Cartel Settlements in the U.S. and E.U: Similarities, Differences & Remaining Questions”, Rede Ann O´Brien, 13th Annual EU Competition Law and Policy Workshop, am 06.06.2008 in Florence, Italy, https://www.justice.gov/atr/file/519681/download; Izraeli/Schwartz, What can we learn from the U.S. Federal sentencing Guidelines for Organizational Ethics? Journal of Business Ethics 17 (9-10), S. 1045-1055 (1998).
[59] Vgl. Erwägungsgrund 150, Satz 5.
[60] Erwägungsgrund 150 Satz 5 DS-GVO.
[61] Stand: Dezember 2016.
[62] Begründung Entwurf DSAnpUG-EU (Stand: 23.11.2016 09:18 Uhr), S. 104.
[63] Begründung Entwurf DSAnpUG-EU (Stand: 23.11.2016 09:18 Uhr), S. 104.
[64] Hier wird noch zu diskutieren sein, ob die Verwarnung in der DS-GVO mit der Verwarnung nach OWiG tatsächlich gleichwertig ist.
[65] Ob der Ausschluss der besonderen Verfahrensvorschriften über die Vollstreckung erforderlich war, erscheint fraglich. Es wäre zumindest unschädlich gewesen, diese Vorschriften vorerst stehen zu lassen.
[66] Dazu Entwurf DSAnpUG-EU (Stand: 23.11.2016 09:18 Uhr), S. 104 f.
[67] Faust/Spittka/Wybitul ZD 2016, S. 120, 125.
[68] Forst, RDV 2013, 122.