DA+

Aufsatz : Säbelrasseln in der DS-GVO: Drohende Sanktionen bei Verstößen gegen die Vorgaben zum Werbedatenschutz : aus der RDV 3/2017, Seite 123 bis 129

Lesezeit 25 Min.

Dieser Beitrag betrachtet die drohenden Konsequenzen bei Verstößen gegen die Vorgaben der DS-GVO zum Werbedatenschutz. Neben den in Kapitel VIII DS-GVO („Rechtsbehelfe, Haftung und Sanktionen“) genannten Sanktionen nimmt er mögliche Schadensersatzansprüche sowie aufsichtsbehördliche Eingriffsbefugnisse in den Blick. Auch die Wettbewerbsaufsicht durch das Bundeskartellamt und die Klagebefugnisse von Verbraucherverbänden werden kurz in die Betrachtung miteinbezogen.

I. Die DS-GVO: Eine Revolution im Sanktionsrecht?

Im Datenschutzrecht klafft zwischen den rechtlichen Vorgaben und ihrer Befolgung eine so große Lücke „wie in fast keinem anderen Rechtsgebiet.“[1] Ähnlich defizitär wie die Befolgung der Regelungen erscheint ihre Durchsetzung bzw. die Sanktionierung von Verstößen – sei es durch Bußgelder, zivilrechtliche Sanktionen oder aufsichtsbehördliche Maßnahmen.[2]

Die Neuregelung durch die DS-GVO legt einen Schwerpunkt auf die Sanktionierung von Datenschutzverstößen.[3] Insbesondere aufgrund des hohen Bußgeldrahmens in Art. 83 DS-GVO wurde dem Aspekt der Sanktionierung auch eine besondere Aufmerksamkeit in der fachlichen und öffentlichen Diskussion zuteil.[4] Die Durchsetzungsmechanismen der DS-GVO erhielten auch bereits Vorschusslorbeeren: So kündigte Jan Phillip Albrecht, Berichterstatter für die DS-GVO im Europäischen Parlament, an, die DS-GVO werde die Welt verändern und mit ihrer Anwendung vom 4. Mai 2018 an werde das Durchsetzungsdefizit im Datenschutzrecht beendet.[5]

Solche Ankündigungen sind Grund genug, die Sanktionen nach der DS-GVO einmal im Gesamtpaket unter die Lupe zu nehmen. Dieser Beitrag betrachtet nicht nur die in Kapitel VIII DS-GVO („Rechtsbehelfe, Haftung und Sanktionen“) genannten Sanktionen als drohende Konsequenzen bei Verstößen gegen die Vorgaben der DS-GVO zum Werbedatenschutz, sondern auch mögliche Schadensersatzansprüche sowie aufsichtsbehördliche Eingriffe als Sanktionen im weiteren Sinne. Die Darstellung erfolgt geordnet nach den wichtigsten Akteuren, die Sanktionen herbeiführen können. Sie konzentriert sich auf den Bereich des Werbedatenschutzes, in dem auch verstärkt die wettbewerbs- und kartellrechtliche Sanktionierung von Datenschutzverstößen eine Rolle spielt. Daher werden auch die Wettbewerbsaufsicht durch das Bundeskartellamt und die Klagebefugnisse von Verbraucherverbänden kurz in die Betrachtung miteinbezogen.

II. Aufsichtsbehördliche Sanktionen

1. Die Datenschutzaufsicht

Der in der Praxis wichtigste Akteur bei der Sanktionierung von Verstößen gegen den (Werbe-)Datenschutz sind derzeit die Datenschutzaufsichtsbehörden. Auch Art. 57 Abs. 1 lit. a) DS-GVO benennt die Durchsetzung der DS-GVO als zentrale Aufgabe der Aufsichtsbehörden.

Nach geltendem Recht können Aufsichtsbehörden Datenschutzverstöße sanktionieren, indem sie diese formell beanstanden, Anordnungen nach § 38 Abs. 5 BDSG treffen, oder nach § 43 BDSG Bußgelder verhängen. Dazu können sie weitere Maßnahmen ergreifen, die zumindest faktisch Sanktionswirkung haben, aber keine echten Sanktionsmittel sind – beispielsweise die Erwähnung von Datenschutzverstößen im öffentlichen Tätigkeitsbericht.[6]

In der DS-GVO sind die wesentlichen Sanktionsmöglichkeiten als „Abhilfebefugnisse“ in Art. 58 Abs. 2 geregelt. Zentral sind als Sanktionsinstrumente besonders die Verwarnung (Art. 58 Abs. 2 lit. b) DS-GVO), die Anweisung zur Herstellung datenschutzkonformer Zustände (Art. 58 Abs. 2 lit. d) DS-GVO), die Untersagung der Datenverarbeitung (Art. 58 Abs. 2 lit. f) DS-GVO) sowie die Verhängung von Bußgeldern (Art. 58 Abs. 2 lit. i) i.V.m. Art. 83 DS-GVO). Eine Öffnungsklausel in Art. 58 Abs. 6 S. 1 DS-GVO gibt den Mitgliedsstaaten darüber hinaus die Möglichkeit zur Regelung weiterer Befugnisse.[7]

a) Die Verwarnung Die Verwarnung nach Art. 58 Abs. 2 lit. b) DS-GVO lässt sich als „erste Stufe des datenschutzrechtlichen Sanktionsregimes“[8] und gewissermaßen als „Gelbe Karte“ der Aufsichtsbehörden begreifen.[9] Der Sanktionscharakter geht u.a. aus ErwGr 150 S. 7 DS-GVO hervor, der von „andere[n] Sanktionen“ im Zusammenhang mit Geldbußen und Verwarnungen spricht. Nach ErwGr 148 S. 2 DS-GVO kann die Verwarnung „[i]m Falle eines geringfügigeren Verstoßes oder falls [eine] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde“ insbesondere als milderes Mittel im Vergleich zu einer Geldbuße ausgesprochen werden. Wann ein Verstoß dabei als geringfügig anzusehen ist, dürfte nach den Kriterien aus Art. 83 Abs. 2 S. 2 DS-GVO zu bewerten sein.[10]

Im Gegensatz zu einer Geldbuße setzt eine Verwarnung lediglich einen objektiven Rechtsverstoß, nicht aber dessen Vorwerfbarkeit voraus.[11] Grundsätzlich umfasst Art. 58 Abs. 2 lit. b) DS-GVO dabei sämtliche Verstöße gegen die Verordnung. Ähnlich wie die formelle Beanstandung eines Datenschutzverstoßes nach § 25 Abs. 1 BDSG[12] entfaltet die Verwar nung keine unmittelbare materielle Rechtsfolge gegenüber der datenverarbeitenden Stelle oder ihrem Adressaten,[13] sondern ist „nur eine negative Beurteilung“.[14] Die Verwarnung ist gegenüber der Beanstandung nach BDSG sogar insofern milder, als erstere keine Pflicht zur Stellungnahme des Adressaten zur Folge hat.[15] Insofern lässt sich über den Sanktionscharakter der Verwarnung auch zumindest dann streiten, wenn sie lediglich gegenüber der verantwortlichen Stelle und nicht öffentlich erfolgt.[16] Da die Verwarnung aber jedenfalls eine verbindliche Feststellung bzgl. des Rechtsverstoßes enthält, lässt sie sich als feststellender Verwaltungsakt einordnen.[17] Eine bestimmte Form ist für die Verwarnung nicht vorgegeben; praktisch dürfte sie aber in der Regel schriftlich erfolgen.

Die Anzahl der öffentlich bekannten formellen Beanstandungen von Datenverstößen nach dem BDSG war bislang sehr überschaubar.[18] Es bleibt abzuwarten, ob die Verwarnung gem. Art. 58 Abs. 2 lit. b) DS-GVO gegenüber dieser Praxis an Bedeutung gewinnt.

b) Anweisungen bzgl. der Datenverarbeitung

Durch Anweisungen gem. Art. 58 Abs. 2 lit. c) – e) DS-GVO können Aufsichtsbehörden mittelbar Einfluss auf die Datenverarbeitung nehmen. Hierzu gehört insbesondere die Befugnis gem. Art. 58 Abs. 2 lit. d) DS-GVO, Verantwortliche und Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge in Einklang mit den Vorgaben der DS-GVO zu bringen. Dabei kann die Aufsichtsbehörde auch konkrete Vorgaben machen, wie die Konformität mit der DS-GVO herzustellen ist.

Art. 58 Abs. 2 lit. d) DS-GVO entspricht damit weitgehend der Anordnungsbefugnis nach § 38 Abs. 5 S. 1 BDSG im geltenden Recht.[19] Diese Befugnis gilt zwar zumindest auf dem Papier als wichtig, um den Vollzug der Regelungen des Datenschutzrechts sicherzustellen;[20] in der Praxis aber erwecken die Berichte der Aufsichtsbehörden den Eindruck, dass von den Eingriffsmöglichkeiten nach § 38 Abs. 5 BDSG im Hinblick auf materielle Datenschutzverstöße nur in wenigen Einzelfällen Gebrauch gemacht wird.[21] Dies könnte u.a. mit dem erhöhten Aufwand verbunden sein, den der Erlass eines Verwaltungsaktes für die Aufsichtsbehörden im Vergleich mit informellem Verwaltungshandeln verursacht. c) Untersagung der Datenverarbeitung Eine überaus einschneidende Anordnung, die die Aufsichtsbehörden treffen können, ist nach Art. 58 Abs. 2 lit. f) DSGVO die Beschränkung oder vollständige Untersagung einer Datenverarbeitung.[22] Da Art. 58 Abs. 2 lit. f) DS-GVO keine besonderen Voraussetzungen formuliert, erscheint die Regelung weitergehender als der korrespondierende § 38 Abs. 5 S. 2 BDSG im geltenden Recht, der ausdrücklich einschränkende Voraussetzungen formuliert.[23]

Allerdings dürfte bei der Anwendung von Art. 58 Abs. 2 lit. f) DS-GVO zumindest der Grundsatz der Verhältnismäßigkeit besonders zu beachten sein.[24] In diesem Zusammenhang ist ErwGr 129 S. 5 DS-GVO zu beachten, wonach die Maßnahmen der Aufsichtsbehörden „geeignet, erforderlich und verhältnismäßig sein“ sollen, „wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind“. Vor der Untersagung eines Datenverarbeitungsvorgangs wird daher vor allem genauestens zu prüfen sein, ob der Verarbeiter nicht durch eigene Maßnahmen die Rechtskonformität der Verarbeitung herstellen kann.

d) Bußgelder

Eine besondere Aufmerksamkeit gebührt den in Art. 83 DSGVO geregelten Geldbußen. Diese können Aufsichtsbehörden auch neben weiteren Anordnungen nach Art. 58 Abs. 2 DS-GVO verhängen.[25] Hier stellt nicht nur der hohe Bußgeldrahmen von bis zu 20.000.000 Euro oder 4 % des weltweiten Umsatzes des vergangenen Jahres bei Unternehmen ein Novum dar.

Die Regelung intendiert eine tendenziell strengere Verhängung von Geldbußen, als dies bisher praktisch nach dem BDSG und § 47 Abs. 1 OWiG geschehen ist.[26] Insbesondere aus ErwGr. 148 S. 2, wonach „[i]m Falle eines geringfügigeren Verstoßes oder falls [eine] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, […] anstelle einer Geldbuße eine Verwarnung erteilt werden“ kann, scheint sich implizit zu ergeben, dass die Verhängung einer Geldbuße bei einem Datenschutzverstoß der Regelfall sein soll.

Abs. 1 und Abs. 2 regeln konkrete Kriterien für die Verhängung von Geldbußen. Besonders der sehr detaillierte Katalog in Abs. 2, der sich an die kartellrechtliche Praxis der Kommission bei der Verhängung von Bußgeldern anlehnt,[27] ist insofern aufschlussreich. Die Kriterien des Art. 83 Abs. 2 DS-GVO beziehen sich auf den Verstoß selbst (lit. a), b) und g)), das Verhalten des Täters vor dem Verstoß (lit. d), e), i) und j)) sowie das Verhalten nach dem Verstoß (lit. c), f) und h)). Außerdem ermöglicht die Auffangregelung in lit. k), über die ausdrücklich genannten Kriterien hinaus weitere erschwerende oder mildernde Umstände in die Abwägung miteinzubeziehen. Genauere Leitlinien für die Aufsichtsbehörden zur Festsetzung von Geldbußen sollen nach Art. 70 Abs. 1 lit. k) DS-GVO erst ausgearbeitet werden.[28]

Der Adressatenkreis von Art. 83 DS-GVO ist zwar nicht ganz eindeutig geregelt, allerdings legen Abs. 2 lit. d) und Abs. 3 der Vorschrift nahe, dass grundsätzlich nur Verantwortliche (Art. 4 Nr. 7) und Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO) als Adressaten in Betracht kommen, soweit nicht andere Adressaten ausdrücklich genannt sind.[29] Damit ist der persönliche Anwendungsbereich der Vorschrift enger als jener von § 43 BDSG. Insbesondere sind Mitarbeiter von verantwortlichen Stellen nicht umfasst.

Das Spektrum der mit Bußgeld bedrohten Datenschutzverstöße nach Art. 83 Abs. 4 – Abs. 6 DS-GVO ist noch weiter als nach § 43 BDSG. Die Regelung bezieht Verstöße gegen beinahe 50 Normen mit ein. Noch größer als bei § 43 BDSG[30] ist im Zusammenhang mit Art. 83 DS-GVO die Problematik der mangelnden Bestimmtheit der Normen.[31] Die von den Bußgeldtatbeständen in Bezug genommenen Verhaltensnormen weisen zum Teil Unklarheiten auf, aufgrund derer etwa ihre Adressaten nicht bestimmt werden können und auch unklar bleibt, welches Verhalten im Einzelnen verboten und damit bußgeldbedroht ist. Dies betrifft unter anderem mögliche Verstöße gegen den Werbedatenschutz.

Es ist davon auszugehen, dass in der Praxis Art. 83 Abs. 5 lit. a) DS-GVO – nicht nur im Bereich der Werbung – zu dem zentralen Bußgeldtatbestand bei materiellen Datenschutzverstößen werden wird. Die Vorschrift erfasst Verstöße gegen „die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9“ und ist damit das Pendant zu § 43 Abs. 2 Nr. 1 BDSG im geltenden Recht. Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten beurteilt sich nach Art. 6 DS-GVO, der mehrere Erlaubnistatbestände zur Verarbeitung personenbezogener Daten vorsieht.

Hierbei könnte Art. 6 Abs. 1 lit. f) DS-GVO zum „zentralen Erlaubnistatbestand für die Datenverarbeitung im werbewirtschaftlichen Bereich“[32] werden. Diese Vorschrift bringt allerdings eine große Rechtsunsicherheit mit sich, die sich vor allem im Bußgeldbereich verheerend auswirken könnte.[33] Nach Art. 6 Abs. 1 lit. f) DS-GVO kommt es für die Beurteilung der Rechtmäßigkeit einer Datenverarbeitung entscheidend auf eine Abwägung zwischen den Interessen des Verantwortlichen und des Betroffenen an. Zwar kann nach ErwGr 47 S. 7 DS-GVO „[d]ie Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung […] als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Erstens ist jedoch schon unklar, welche Maßnahmen von dem Begriff der Direktwerbung umfasst sind.[34] Hiervon „jedwede Datenverarbeitung im Sinne von Art. 4 Nr. 2 zu werblichen Zwecken“[35] als umfasst zu sehen erscheint zumindest als riskant, da der Zusatz „Direkt-“ insbesondere auf personalisierte Ansprachen zu zielen scheint.[36] Zweitens sagt die Anerkennung eines berechtigten Interesses an der Direktwerbung noch nichts über Interessen auf Betroffenenseite aus, die der Rechtmäßigkeit dieser Datenverarbeitung entgegenstehen können.[37] Auch die Beantwortung der Frage, welche entgegenstehenden Interessen hierbei zu berücksichtigen sind, wirft Schwierigkeiten auf. So bleibt unklar, ob bei den entgegenstehenden Interessen im Rahmen der DS-GVO auch die wettbewerbsrechtliche Zulässigkeit berücksichtigt werden kann.[38]

Die Verhängung eines Bußgeldes erfordert im Übrigen ein Verschulden des Verantwortlichen bzw. des Auftragsverarbeiters.[39] Dies setzt schon das auch im Unionsrecht verankerte Schuldprinzip voraus.[40]

In der Rechtsfolge drohen Geldbußen von bis zu 20.000.000 Euro oder 4 % des weltweiten Umsatzes des vergangenen Jahres bei Unternehmen. Umstritten ist die praktisch überaus relevante Frage, wie der Begriff des Unternehmens zu verstehen ist – im Sinne von Art. 4 Nr. 18 DS-GVO (als eine natürliche oder juristische Person) oder Art. 101, 102 AEUV (funktional, im Sinne einer eine wirtschaftliche Tätigkeit ausübenden Einheit, die auch aus mehreren Personen bestehen kann).[41] Hierbei scheint sich – vor allem bei den Aufsichtsbehörden[42] – das funktionale Verständnis durchzusetzen.[43] Dies entspricht auch dem eindeutigen Willen des Verordnungsgebers, der in ErwGr 150 S. 3 zum Ausdruck kommt.

2. Die Wettbewerbsaufsicht durch das Bundeskartellamt

An Fahrt gewonnen hat zuletzt die Diskussion um die Frage, ob auch die Kartellaufsicht bei bestimmten Datenschutzverstößen einschreiten kann.[44] Anstoß hierfür gab die Eröffnung eines Verfahrens durch das Bundeskartellamt gegen Facebook wegen Verdachts auf Marktmachtmissbrauch durch Datenschutzverstöße.[45] Ein Kartellverfahren kann zu Verfügungen mit Sanktionswirkung gem. §§ 32 ff. GWB sowie Bußgeldern führen. Als möglicher Marktmissbrauch in Form eines Konditionenmissbrauchs gem. § 19 Abs. 1, Abs. 2 Nr. 2 GWB durch Facebook steht dabei die Ausgestaltung der Vertragsbestimmungen zur Verwendung von Nutzerdaten im Raum. So besteht laut Bundeskartellamt der Verdacht, dass Facebook eine marktbeherrschende Stellung missbraucht, um von seinen Kunden durch (datenschutz-)rechtswidrige Einwilligungserklärungen Daten zu erlangen, die letztlich zu Werbezwecken verwendet werden. Hierbei sind allerdings bereits grundlegende Fragen unklar, die nicht spezifisch datenschutzrechtlich sind – so etwa die Bestimmung eines möglichen Marktes und dessen Beherrschung durch Facebook.[46] Der Ausgang des Verfahrens ist bislang noch nicht abzusehen. Den Neuerungen durch die DS-GVO gegenüber dem BDSG dürfte in diesem Verfahren und der kartellrechtlichen Sanktionierung aber keine entscheidende Bedeutung zukommen. Mit der immer größeren Rolle, die (personenbezogene) Daten in der digitalen Ökonomie spielen, dürfte sich aber die Frage nach der Bedeutung von Datenschutzverstößen im Kartellrecht künftig vermehrt stellen. Diese Entwicklung ist ebenso im Auge zu behalten wie die Fortentwicklung des Kartellrechts für digitale Märkte[47] und die Frage nach dem künftigen Verhältnis von Datenschutz- und Kartellaufsicht.[48]

III. Strafrechtliche Konsequenzen

Die DS-GVO harmonisiert die Strafbarkeit von Datenschutzverstößen nicht.[49] Art. 84 DS-GVO lässt den Mitgliedsstaaten bei der Regelung solcher Sanktionen, die nicht schon in Kapitel VIII DS-GVO geregelt sind, einen weiten Spielraum. Darunter fällt auch die Möglichkeit strafrechtlicher Sanktionen, auf die ErwGr 149 DS-GVO näher eingeht.

Vor diesem Hintergrund haben die Regelungen der DS-GVO auf das Datenschutzstrafrecht nur mittelbare Auswirkungen. Es ist davon auszugehen, dass der Gesetzgeber ähnlich dem bisherigen § 44 Abs. 1 BDSG in der Neufassung des BDSG eine Strafnorm vorsehen wird, die zu weiten Teilen implizit auf Verhaltensnormen der DS-GVO verweist. [50] Während §§ 44 Abs. 1 i.V.m. 43 Abs. 2 BDSG die Verhaltensnormen des BDSG durch das Merkmal „unbefugt“ in den Tatbestand einbeziehen, geschieht dies bezüglich der DS-GVO in § 42 BDSG-neu in der Fassung des aktuellen Regierungsentwurfs[51] durch das Merkmal „ohne hierzu berechtigt zu sein“.

Neue Probleme entstehen hier vor allem mit Blick auf das strafrechtliche Bestimmtheitsgebot aus Art. 103 Abs. 2 GG. Dass die Auslegung der nationalen Strafnorm im Wesentlichen anhand der Regelungen der DS-GVO zu erfolgen haben wird, führt für Normadressaten zu zusätzlichen Schwierigkeiten. Schon aus dem Tatbestand wird nicht klar, dass die maßgeblichen Verbote vor allem aus dem Unionsrecht folgen könnten.[52] Zudem entstehen durch die DS-GVO – wie bereits erwähnt – verstärkt normative Unklarheiten. Naturgemäß wird auch die Klärung unbestimmter Rechtsbegriffe durch die Rechtsprechung des EuGH und die Bereitstellung von Auslegungshilfen durch den Europäischen Datenschutzausschuss mehr Zeit in Anspruch nehmen als vergleichbare Prozesse auf nationaler Ebene.

Daneben bietet die DS-GVO auch Stoff für eine weitere Diskussion im Datenschutzstrafrecht. Seit der Entscheidung Berliner Stadtreinigung II[53], in der der BGH die Garantenstellung eines Compliance-Officers bejahte, wird verstärkt die Frage gestellt, ob und inwiefern bei Datenschutzverstößen eine strafrechtliche Verantwortlichkeit des betrieblichen Datenschutzbeauftragten wegen Unterlassens angenommen werden kann.[54] Hier deutet die Beschreibung der Aufgaben des Datenschutzbeauftragten in Art. 39 Abs. 1 lit. b) DS-GVO, der von einer Überwachung der Einhaltung der Verordnung spricht, zwar verstärkt auf eine Garantenstellung hin.[55] Mangels einer Rechtsprechungspraxis zu der Frage bleiben die Konsequenzen dieser Neuerung aber im Ergebnis unklar.

IV. Zivilrechtliche Ansprüche von Privatpersonen

Darüber hinaus können sich Datenverarbeiter bei Verstößen gegen die Vorgaben der DS-GVO zum Werbedatenschutz zivilrechtlichen Ansprüchen ausgesetzt sehen.[56] Diese können zunächst direkt von den Betroffenen ausgehen, die wegen der rechtswidrigen Verarbeitung personenbezogener Daten Schadensersatz oder Unterlassung verlangen können. Nach geltendem Recht können sich Unterlassungsansprüche aus § 1004 BGB analog und § 7 BDSG sowie Schadensersatzansprüche vor allem aus §§ 7, 8 BDSG und § 823 Abs. 2 BGB ergeben.[57] Praktisch sind diese Schadensersatzansprüche wegen Datenschutzverstößen nur von geringer Bedeutung.[58]

Art. 82 DS-GVO regelt das Recht auf Schadensersatz grundlegend neu und wird mit Anwendungsbeginn der DSGVO als eigene Anspruchsgrundlage zur Anwendung kommen.[59] Der Anspruch steht bei einer rechtswidrigen Datenverarbeitung nur den nach der DS-GVO betroffenen Datensubjekten zu, nicht aber beispielsweise Wettbewerbern.[60] Er richtet sich gegen Verantwortliche und Auftragsverarbeiter. Tatbestandlich kann dabei grundsätzlich jeder Verstoß gegen die DS-GVO einen Schadensersatzanspruch auslösen.[61] Die Haftung ist nur dann ausgeschlossen, wenn der Verantwortliche oder Auftragsverarbeiter „nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“[62]

Während die h.M. dies im Zusammenhang mit § 7 BDSG noch ablehnte,[63] umfasst Art. 82 DS-GVO ausdrücklich auch den Ersatz immaterieller Schäden. Der Begriff des Schadens in Art. 82 DS-GVO ist weit zu verstehen, wie auch ErwGr 146 S. 3 nahelegt. Dies entspricht dem Ziel der Verordnung, eine wirksame Sanktionierung von Datenschutzverstößen zu erreichen.[64] Mit Art. 82 DS-GVO wird im Ergebnis die Position von Betroffenen, die Schadensersatzansprüche wegen Datenschutzverstößen geltend machen, gestärkt. Ob dies zu einer erhöhten Relevanz der Vorschrift gegenüber § 7 BDSG führt, erscheint noch offen.[65] Eher zweifelhaft erscheint, ob die vorgenommenen Änderungen das grundsätzliche Phänomen der „rationalen Apathie“[66] jener Betroffenen ausgleichen können, denen durch die Verfolgung eines Datenschutzverstoßes nach eigener Einschätzung mehr Aufwand zu entstehen scheint als sie daraus Nutzen ziehen können.

V. Durchsetzung durch Verbraucherverbände

Bei der zivilrechtlichen Durchsetzung des Datenschutzrechts spielen auch die Verbraucherverbände eine wichtige Rolle. Diese können nicht nur Betroffene in Zivilprozessen vertreten,[67] sondern auch – möglicherweise weniger von einer „rationalen Apathie“ befallen – eigenständig klagen.

Nach § 8 Abs. 3 Nr. 3 UWG sind sie berechtigt, Beseitigungs- und Unterlassungsansprüche bei nach §§ 3 und 7 UWG unzulässigen geschäftlichen Handlungen geltend zu machen. Welche Verstöße gegen das Datenschutzrecht im Werbebereich unzulässige geschäftliche Handlungen sind, ist allerdings unklar. Ein Verstoß gegen Vorschriften des Datenschutzrechts ist als Verstoß gegen § 3a UWG anzusehen, soweit man diese als dazu bestimmt einordnet, „im Interesse der Marktteilnehmer das Marktverhalten zu regeln.“ Zum Teil wird eine solche Bestimmung der Vorschriften des Datenschutzrechts gänzlich abgelehnt, zum Teil zumindest in Bezug auf einzelne Vorschriften angenommen.[68] Es zeichnet sich aber die Tendenz ab, dass zumindest Regelungen des Werbedatenschutzes wie etwa § 28 Abs. 3 BDSG als zur Regelung des Marktverhaltens bestimmt angesehen werden,[69] da der „Umgang mit Daten in einer datengetriebenen Marketingökonomie […] integraler Bestandteil des Werbens“[70] ist.

Dazu sind Verbraucherverbände seit der am 24. Februar 2016 in Kraft getretenen Reform des UKlaG[71] als anspruchsberechtigte Stellen gem. § 3 Abs. 1 Nr. 1 UKlaG befugt, bei Verstößen gegen diverse Datenschutzvorschriften gem. § 2 Abs. 1, Abs. 2 Nr. 11 UKlaG auf Unterlassung und Beseitigung zu klagen.[72] Diese Klagebefugnis gilt insbesondere bei der Erhebung, Verarbeitung und Nutzung von Daten für Zwecke der Werbung.[73] Die neue Befugnis der Verbraucherverbände hat zwar nicht zu einer „Klagewelle“ geführt,[74] wohl aber zu einzelnen Verfahren.[75]

Mit der DS-GVO ändert sich die Rolle der Verbraucherverbände nicht grundlegend.[76] Insbesondere bleibt es bei deren Klagebefugnissen nach nationalem Recht.[77] Die DSGVO lässt dem mitgliedsstaatlichen Gesetzgeber insofern einen weiten Spielraum. Nach Art. 80 Abs. 2 DS-GVO können Mitgliedstaaten Einrichtungen, Organisationen oder bestimmten Vereinigungen[78] das Recht einräumen, Beschwerden bei den Datenschutzaufsichtsbehörden einzulegen und die in Art. 78 und 79 DS-GVO aufgeführten Rechte in Anspruch zu nehmen, wenn die Rechte eines Betroffenen nach ihrer Ansicht verletzt worden sind. Dies deckt die im UKlaG geschaffene Verbandsklagebefugnis ab.[79]

VI. Fazit: Die Praxis muss es zeigen

Das Instrumentarium zur Sanktionierung von Datenschutzverstößen verändert sich mit der DS-GVO vor allem durch die Neuregelung der Bußgelder in Art. 83 DS-GVO erheblich. Andere Regelungen mit Sanktionsbezug wie die Anordnungsbefugnisse des Art. 58 Abs. 2 DS-GVO und der Anspruch auf Schadensersatz nach Art. 82 DSGVO erfahren vergleichsweise geringe Veränderungen zum geltenden Recht, die aber die Position von Aufsichtsbehörden und Betroffenen (zumindest auf dem Papier) durchaus stärken.

Vor allem mit Blick auf die Bußgeldregelung wird die Rechtsunsicherheit bei Beurteilung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten nicht nur der Werbebranche noch einiges Kopfzerbrechen bereiten. Wenn Art. 6 Abs. 1 f) DS-GVO als zentrale Grundlage für die Verarbeitung personenbezogener Daten zu Werbezwecken dienen soll, ist die weitere Konkretisierung der Voraussetzungen etwa durch die Rechtsprechung oder zumindest durch Hinweise von den Aufsichtsbehörden dringend notwendig.

Ob mit Geltung der DS-GVO deutlich mehr Bußgelder verhängt werden und ob diese deutlich höher ausfallen als bisher, bleibt mit Spannung abzuwarten.[80] In den letzten Jahren hat die Verhängung von Bußgeldern auf Grundlage des BDSG zugenommen.[81] Auch die Datenverarbeitung zu Werbezwecken geriet dabei ein ums andere Mal in das Visier der Aufsichtsbehörden.[82] Die künftige Entwicklung hängt auch davon ab, mit welchem Ergebnis Koordinationsprozesse zwischen den zuständigen Aufsichtsbehörden verlaufen.[83] Aufgrund der begrenzten personellen Ausstattung der Aufsichtsbehörden dürfte es jedenfalls unrealistisch sein, dass die Aufsichtsbehörden sämtliche Datenschutzverstöße, die ihnen zur Kenntnis gelangen, mit Bußgeldern sanktionieren.[84] Auch ob die Obergrenzen der Sanktionen ausgereizt werden, ist ohne Spekulation kaum vorherzusagen. Bei den umsatzbezogenen Geldbußen im Kartellrecht jedenfalls hat die Kommission den oberen Rahmen bislang nicht ausgereizt. Insofern erscheint es zumindest unwahrscheinlich, dass Geldbußen im zweistelligen Millionenbereich für Datenschutzverstöße bald an der Tagesordnung sein werden.

Ob die DS-GVO also tatsächlich zu einer „Revolution“ bei der Durchsetzung und Sanktionierung im Datenschutz recht führen wird, bleibt abzuwarten. Mit Blick auf die grundlegenden Ursachen der bestehenden Defizite bei der Durchsetzung des Datenschutzrechts erscheint dies zumindest zweifelhaft. Während es auch nach geltendem Recht an Sanktionsnormen nicht mangelt, dürfte neben der Ausstattung der Aufsichtsbehörden und einem geringen Interesse der Betroffenen auch die Unbestimmtheit der Normen ursächlich für die defizitäre Durchsetzung sein. Diese Ursachen werden jedoch durch die Geltung der DS-GVO nicht beseitigt.

Dr. Sebastian J. Golla Der Autor ist wissenschaftlicher Mitarbeiter an der Johannes Gutenberg-Universität Mainz.

[1] Becker, JZ 2017, 170 (173).

[2] Vgl. Golla, Die Straf- und Bußgeldtatbestände der Datenschutzgesetze, 2015, S. 209 ff. m.w.N.

[3] Vgl. insbesondere ErwGr 11 und 13

[4] Vgl. SZ vom 15.12.2015, EU plant hohe Bußgelder bei DatenschutzVerstößen, online abrufbar unter https://www.sueddeutsche.de/digital/datenschutz-hohe-bussgelder-fuer-firmen-bei-verstoessen-1.2782319 (zuletzt abgerufen am 17. April 2017).

[5] „From 24 May 24 2018 […] the lack of enforcement in the field of data protection provisions will end.“, Albrecht, European Data Protection Law Review 2016, 287.

[6] Während die Erwähnung eines Unternehmens in Zusammenhang mit einem Datenschutzverstoß in einem Tätigkeitsbericht „Prangerwirkung“ haben kann (Weichert, RDV 2005, 1 (2)), dürfte die zielgerichtete Verwendung des Berichtes als Sanktionsinstrument dessen Hauptfunktion – als Informationsinstrument – widersprechen; vgl. von Lewinski, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, § 26 Rn. 15.

[7] Derzeit ist für die geplante Neuregelung des BDSG keine signifikante Ausweitung sanktionierender Befugnisse nach Art. 58 Abs. 6 DS-GVO vorgesehen; vgl. BT-Drs. 18/11235, S. 108.

[8] Martini/Wenzel, PinG 2017, 92.

[9] Die Warnung nach Art. 58 Abs. 2 lit. a) DS-GVO bezieht sich hingegen auf einen noch nicht erfolgten, erst bevorstehenden Datenschutzverstoß

[10] Martini/Wenzel, PinG 2017, 92 (94).

[11] Martini/Wenzel, PinG 2017, 92 (93).

[12] § 25 BDSG sieht die Beanstandung gegenüber öffentlichen Stellen vor, entsprechende Regelungen finden sich in den Landesdatenschutzgesetzen. Auch gegenüber privaten Stellen wird die Möglichkeit der Beanstandung allerdings angenommen und hergeleitet „aus der Notwendigkeit einer Abschlussverfügung bei Aufsichtsmaßnahmen, wenn Rechtsverstöße festgestellt werden, die nicht mit den Mitteln des [§ 38 Abs. 5 BDSG] geahndet werden sollen“; Weichert, in: Däubler/Klebe/Wedde/Weichert, BDSG, 5. Aufl. 2016, § 38 Rn. 29.

[13] Vgl. zu § 25 BDSG Dammann, in: Simitis, BDSG, 8. Aufl. 2014, § 25 Rn. 2; zu Art. 58 Abs. 2 lit. a) DS-GVO, Körffer, in: Paal/Pauly, Datenschutz-Grundverordnung, 2. Aufl. 2016, Art. 58 Rn. 18.

[14] Schiedemair, in: BeckOK Datenschutzrecht, 19. Ed. 2017, § 25 BDSG Rn. 10; vgl. zu Art. 58 Abs. 2 lit. a) DS-GVO von Lewinski, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Art. 58 Rn. 24 („Tadel“); Martini/Wenzel, PinG 2017, 92 (93) („Missbilligung“).

[15] Diese Pflicht ergibt sich im geltenden Recht aus § 25 Abs. 1 S. 1 i.V.m. Abs. 3 BDSG.

[16] Golla, Die Straf- und Bußgeldtatbestände der Datenschutzgesetze, 2015, S. 205.

[17] Martini/Wenzel, PinG 2017, 92 (96). Die Beanstandung ordnet die Rechtsprechung hingegen mangels Regelungswirkung nicht als Verwaltungsakt ein; BVerwG, Beschl. v. 05.02.1992 – 7 B 15/92, CR 1993, 242.

[18] Aus ihren Berichten geht hervor, dass die meisten Landesdatenschutzbeauftragten von dem Instrument der Beanstandung – wenn überhaupt – nur vereinzelt Gebrauch machen; Vgl. LfD Baden-Württemberg, Bericht 2010/2011, S. 114, 122, 129; LfDI NRW, Bericht 2011/2012, S. 20; LfDI Rheinland-Pfalz, Bericht 2010/2011, S. 54, 93, 95.

[19] Vgl. zu Unterschieden Körffer, in: Paal/Pauly, Datenschutz-Grundverordnung, 2. Aufl. 2016, Art. 58 Rn. 20.

[20] Gola/Klug/Körffer, in: Gola/Schomerus, BDSG, 12. Aufl. 2015, § 38 Rn. 25; Grittmann, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 38 Rn. 36.

[21] Vgl. Ehmann, ZD 2014, 493 (494).

[22] Als besonderen Fall der Untersagung einer Datenverarbeitung regelt Art. 58 Abs. 2 lit. j) DS-GVO die Befugnis, die Aussetzung der Übermittlung von Daten in Drittländer anzuordnen.

[23] Insbesondere muss ein schwerwiegender Verstoß oder Mangel vorliegen.

[24] Körffer, in: Paal/Pauly, Datenschutz-Grundverordnung, 2. Aufl. 2016, Art. 58 Rn. 23.

[25] Vgl. Art. 58 Abs. 2 lit. i) DS-GVO

[26] Golla, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Art. 83 Rn. 4.

[27] Vgl. Leitlinien für das Verfahren zur Festsetzung von Geldbußen gemäß Artikel 23 Absatz 2 Buchstabe a) der Verordnung (EG) Nr. 1/2003, Ziffern 27 ff.

[28] Rost, RDV 2017, 13 (19).

[29] Golla, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Art. 83 Rn. 3

[30] Vgl. hierzu von Lewinski, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Vor. zu § 43 BDSG Rn. 7 ff.

[31] Diese Problematik wird auch von Seiten der Aufsichtsbehörden gesehen; vgl. Rost, RDV 2017, 13 (15).

[32] Tavanti, RDV 2016, 295 (296); vgl. auch Schulz, in: Gola, DS-GVO, 2017, Art. 6 Rn. 62 f.

[33] Vgl. Kring/Marosi, K&R 2016, 773, 776.

[34] Piltz, K&R 2016, 557 (565)

[35] Tavanti, RDV 2016, 295 (297)

[36] Piltz, K&R 2016, 557 (565).

[37] Vgl. Tavanti, RDV 2016, 295 (297).

[38] Dagegen Schulz, in: Gola, DS-GVO, 2017, Art. 6 Rn. 67; Tavanti, RDV 2016, 295 (298).

[39] So auch Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016, Art. 83 Rn. 11; Piltz, K&R 2017 85 (92); a.A. Härting, Datenschutz-Grundverordnung, 2016, Rn. 253.

[40] Ferner legt Art. 83 Abs. 3 DS-GVO dies nahe; vgl. Golla, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017 Art. 83 Rn. 9.

[41] Vgl. Faust/Spittka/Wybitul, ZD 2016, 120 ff.; Gola, K&R 2017, 145 (146 f.); Piltz, K&R 2017 85 (92).

[42] Bayerisches Landesamt für Datenschutzaufsicht, Sanktionen nach der DS-GVO, abrufbar unter https://www.lda.bayern.de/media/baylda_ds-gvo_7_sanctions.pdf (zuletzt abgerufen am 17. April 2017); LfDI Berlin, Bericht 2016, S. 32; Rost, RDV 2017, 13 (15 ff.); Schönefeld/ Thomé, PinG 2017, 126 (127).

[43] Dieterich, ZD 2016, 260 (264); Becker, in: Plath, BDSG/DSGVO, 2. Aufl. 2016; Art. 83 Rn. 23; Golla, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Art. 83 Rn. 25 f.

[44] Podszun/de Toma, NJW 2016, 2987 (2992 ff.); Rempe, K&R 2017, 149 ff.; Telle, WRP 2016, 814 ff.; Wiedmann/Jäger, K&R 2016, 217 ff.

[45] Bundeskartellamt, Meldung vom 2. März 2016, abrufbar unter https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2016/02_03_2016_Facebook.html (zuletzt abgerufen am 17. April 2017).

[46] Vgl. Rempe, K&R 2017 149 (150 ff.).

[47] Vgl. die 9. GWB-Novelle (BT-Drs. 18/10207), der der Bundesrat am 31. März 2017 zugestimmt hat (BR-Drs. 207/17 (B)), womit diese voraussichtlich in nächster Zeit in Kraft treten wird.

[48] Dazu Kieck, PinG 2017, 37 ff.; vgl. auch Podszun/de Toma, NJW 2016, 2987 (2994).

[49] Eine Harmonisierung des Datenschutzstrafrechts wäre durch das Regelungsinstrument der Verordnung auch nicht zulässig gewesen. Die für den Bereich des Datenschutzes in Betracht kommenden strafrechtlichen Regelungskompetenzen aus Art. 83 Abs. 1 und 2 AEUV beschränken sich auf den Erlass von Richtlinien.

[50] Golla, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Art. 84 Rn. 1 f.

[51] BT-Drs. 18/11325.

[52] Eine ähnliche Regelungstechnik verwendet im geltenden Recht u.a. § 326 Abs. 2 Nr. 2 StGB. Demnach macht sich strafbar, wer bestimmte Abfälle „entgegen einem Verbot oder ohne die erforderliche Genehmigung in den, aus dem oder durch den Geltungsbereich [des StGB] verbringt.“ Als Verbote sind hierbei Einfuhr- und Ausfuhrverbote für Abfall einschlägig, die sich aus EU-Verordnungen ergeben. Für den Normadressaten wird dies aus der Lektüre von § 326 Abs. 2 Nr. 2 StGB nicht klar. Aus diesem Grunde wird diese Vorschrift zu Recht kritisiert; vgl. Heger, in: Böse, Europäisches Strafrecht, 2013, § 5 Rn. 79.

[53] BGH, Urt. v. 17.07.2009 – 5 StR 394/08, NJW 2009, 3173 ff.

[54] Vgl. Barton, RDV 2010, 247 ff.; Bongers/Krupna, ZD 2013, 594 (597 f.); Marschall, ZD 2014, 66 ff. sowie ausführlich Hantschel, Die strafrechtliche Unterlassungsverantwortlichkeit eines betrieblichen Datenschutzbeauftragten, 2015.

[55] Vgl. Nolde, PinG 2017, 114 (119)

[56] Vgl. zu vertraglichen und deliktischen Schadensersatzansprüchen gegen betriebliche Datenschutzbeauftragte, für die § 7 BDSG und Art. 82 DSGVO keine Anwendung finden, Bongers/Krupna, ZD 2013, 594 (595 ff.).

[57] Weitere Schadensersatzansprüche wegen Datenschutzverstößen kommen einerseits im vertraglichen und vorvertraglichen Bereich nach § 280 BGB, andererseits deliktsrechtlich etwa nach den §§ 823 Abs. 1, 826 und 839 BGB in Betracht; vgl. Eßer, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, § 7 Rn. 29 ff.; Niedermeier/Schröcker, RDV 2002, 217 (219).

[58] Vgl. Eßer, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, § 7 Rn. 3; von Lewinski, PinG 2013, 12 (14).

[59] Eßer, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Art. 82 Rn. 1.

[60] Frenzel, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 82 Rn. 7.

[61] Piltz, K&R 2017, 85 (91).

[62] Die Einordnung als Gefährdungshaftung oder verschuldensabhängige Haftung mit vermutetem Verschulden ist hierbei streitig; vgl. Bergt, in: Kühling/Buchner, DS-GVO, 2017, Art. 82 Rn. 51 m.w.N.

[63] BGH, Urt. v. 29.11.2016 – VI ZR 530/15, NJW 2017, 800 ff.; OLG Zweibrücken, Urt. v. 21.02.2013 – 6 U 21/12, BeckRS 2013, 03840; Eßer, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, § 7 Rn. 24; Gola/Piltz, RDV 2015, 279 (280); Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 7 Rn. 32 m.w.N.; a.A. Niedermeier/Schröcker, RDV 2002, 217 (224).

[64] Vgl. Frenzel, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 82 Rn. 10.

[65] Eßer, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017 Art. 82 Rn. 3.

[66] Von Lewinski, PinG 2013, 12.

[67] Vgl. § 79 Abs. 2 S. 2 Nr. 3 ZPO.

[68] Vgl. Forgó, in: BeckOK Datenschutzrecht, 19 Ed. 2017, Grundlagen und bereichsspezifischer Datenschutz, Werbung Rn. 98 f.; Podszun/ de Toma, NJW 2016, 2987 (2989 f.).

[69] Vgl. Podszun/de Toma, NJW 2016, 2987 (2991) („wohl weitgehender Konsens, dass Datenschutzregelungen, die sich explizit auf Werbung beziehen, als Marktverhaltensregelungen anzusehen sind“); Schwichtenberg, PinG 2017, 104 (105) jeweils m.w.N. aus der Rechtsprechung.

[70] Podszun/de Toma, NJW 2016, 2987 (2991).

[71] Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts vom 7. Februar 2016, BGBl. I, S. 233.

[72] Vgl. hierzu Halfmeier, NJW 2016, 1126 ff.; Ritter/Schwichtenberg, VuR 2016, 96 ff.; Schulz, ZD 2014, 510 ff.

[73] Umfasst sind gem. § 2 Abs. 2 Nr. 11 UKlaG Verstöße gegen solche Vorschriften, die die Zulässigkeit „der Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer oder der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer“ regeln, „wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden“.

[74] Weichert, Verbraucherverbandsklage bei Datenschutzverstößen, 2017, S. 15 (abrufbar unter http://www.netzwerk-datenschutzexpertise.de/ dokument/verbandsklagerecht-datenschutz, zuletzt abgerufen am 17. April 2017).

[75] So führt beispielsweise die Verbraucherzentrale Sachsen nach eigenen Angaben derzeit drei Verfahren auf Grundlage von § 2 Abs. 2 Nr. 11 UKlaG; vgl. Tweet von Katja Henschler (Verbraucherzentrale Sachsen) vom 22. März 2017 http://tinyurl.com/n4csdm9 (zuletzt abgerufen am 17. April 2017).

[76] Schwichtenberg, PinG 2017, 104 (106)

[77] Härting, Datenschutz-Grundverordnung, 2016, Rn. 246

[78] Hiervon umfasst ist gem. Art. 80 Abs. 1 DS-GVO jede Vereinigung „ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist“. Hierunter fallen typischerweise auch Verbraucherverbände; Becker, in: Plath, BDSG/ DSGVO, 2. Aufl. 2016, Art. 80 Rn. 2.

[79] Vgl. Halfmeier, NJW 2016, 1126 (1129).

[80] Die Aufsichtsbehörden beginnen hier erst, sich zu positionieren. Deutlich machte ihre Position etwa bereits die Berliner Datenschutzbehörde in ihrem Tätigkeitsbericht 2016 (S. 34): „Unsere Bußgeldpraxis wird sich durch die neuen Bestimmungen deutlich ändern. Insbesondere müssen Unternehmen bei Verstößen gegen die DS-GVO mit erheblich höheren Bußgeldern rechnen.“

[81] Von Lewinski, in: Auernhammer, DSGVO BDSG, 5. Aufl. 2017, Vor. zu § 43 BDSG Rn. 2; Weiß, PinG 2017, 97 (99).

[82] Vgl. etwa LfD Bremen, Bericht 2014, S. 88; ULD Schleswig-Holstein, Bericht 2010, S. 94; LfDI Berlin, Bericht 2016, S. 156.

[83] Ähnlich Piltz, K&R 2017, 85 (93).

[84] Nach Spindler, ZD 2016, 114 „kann es nicht verwundern, dass Aufsichtsbehörden mit nicht mehr als 50-100 Personen allenfalls punktuell und auf Beschwerden hin tätig werden können; eine flächendeckende Überwachung ist hier nicht zu erwarten und kann von den Behörden im Rahmen ihres Budgetrahmens nicht geleistet werden, außer man möchte Mammutaufsichtsbehörden einrichten.“