DA+

Kurzbeitrag : Altpannen und Alt-Ordnungswidrigkeiten unter der DS-GVO : aus der RDV 6/2017, Seite 289 bis 291

Dr. Lorenz Franck, Sankt Augustin*

Lesezeit 7 Min.

Alles neu macht der Mai, jedenfalls gem. Art. 99 Abs. 2 DSGVO. Der Blick in die Praxis zeigt, dass viele datenverarbeitende Stellen die Implementierung des neuen Datenschutzrechts als Zäsur begreifen. Auch wenn man es früher mit dem Datenschutz nicht so ernst genommen habe, wolle man doch für Zukunft rechtskonform sein. Es lohnt allerdings, die Vergangenheit nicht völlig aus dem Blick zu verlieren.

I. Meldung vorangegangener Datenpannen

Die Verletzung des Schutzes personenbezogener Daten (vulgo: „Datenpanne“) kann gem. Art. 33 Abs. 1 DS-GVO zur obligatorischen Meldung gegenüber der Aufsichtsbehörde und gem. Art. 34 Abs. 1 DS-GVO zur Benachrichtigung der betroffenen Personen führen. Eine Schutzverletzung in diesem Sinne ist gem. Art. 4 Nr. 12 DS-GVO definiert als Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In § 42a BDSG a.F. war bereits eine eingeschränkte Skandalisierungspflicht enthalten.[1] Sie war jedoch auf bestimmte Hochrisikodaten des § 42a Satz 1 Nrn. 1 bis 4 BDSG a.F. beschränkt und erfasste ausschließlich die unrechtmäßige Kenntniserlangung durch Dritte. Die Artt. 33 f. DS-GVO sind demgegenüber weiter formuliert.

Was jedoch, wenn eine gem. § 42a BDSG a.F. meldepflichtige Datenpanne erst nach Mai 2018 bemerkt wird oder wenn eine von § 42a BDSG a.F. nicht erfasste Datenpanne nach den Artt. 33 f. DS-GVO meldepflichtig wäre?[2]

Zu klären ist, ob eine Schutzverletzung im Sinne der Artt. 33 f. DS-GVO erst mit Geltung der entsprechenden Definition in Art. 4 Nr. 12 DS-GVO gegeben ist, oder ob der die Meldepflicht auslösende Tatbestand auch vor Mai 2018 eingetreten sein kann. Die Artt. 33 f. DS-GVO verlangen lediglich (irgend-)eine Schutzverletzung. Einen bestimmten Zeitpunkt legt die DS-GVO insoweit nicht fest. Aus der kurzen Meldefrist des Art. 33 Abs. 1 Satz 1 DS-GVO von 72 Stunden ab Kenntnis der Datenpanne kann sich unterdessen keine Präklusion von Altpannen ergeben.

Die näheren Umstände der Schutzverletzung sind für die Meldepflicht als solche ohne Belang. Das tatsächliche Geschehen ist gem. Art. 33 Abs. 3 lit. a DS-GVO in der Meldung darzulegen, es hat jedoch weitestgehend keinen Einfluss auf die Tatbestandsmäßigkeit. Dies dürfte entsprechend auch für das zeitliche Moment gelten.

Nicht jede Schutzverletzung löst pauschal die Meldepflicht aus. Gem. Art. 33 Abs. 1 Satz 1 DS-GVO ist die Aufsichtsbehörde zu involvieren, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen nicht widerlegt ist. Betroffene sind gem. Art. 34 Abs. 1 DS-GVO sogar nur dann zu benachrichtigen, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht. Tatbestandlicher Anknüpfungspunkt für die Skandalisierungspflicht ist somit nicht allein die Schutzverletzung, sondern das fortdauernde Risiko für die betroffenen Personen. Nach ErwGr 86 Satz 1 und 3 DS-GVO sollen Betroffene in die Lage versetzt werden, das Risiko eines unmittelbaren Schadens mindern zu können. Der Verantwortliche ist insoweit gem. Art. 33 Abs. 3 lit. d DS-GVO in der Pflicht, Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen zu benennen.

So lange also das Risiko für die betroffenen Personen fortbesteht, sind Altpannen gem. der Artt. 33 f. DS-GVO zu melden. Irrelevant ist, ob die Schutzverletzung bereits nach BDSG a.F. meldepflichtig war. Die Benachrichtigung der Betroffenen kann unterdessen in Ansehung von Art. 34 Abs. 3 lit. b DS-GVO entfallen, wenn das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr gegeben ist. Dies kann je nach Sachlage möglicherweise schon durch Zeitablauf der Fall sein.[3]

II. Bußgelder für Altverstöße

1. Mittelbare Sanktionierung

Bei der Entscheidung über die Verhängung einer Geldbuße sowie über deren Betrag wird gem. Art. 83 Abs. 2 lit. e DSGVO unter anderem berücksichtigt, ob der Bußgeldpflichtige bereits in der Vergangenheit durch einschlägige Verstöße aufgefallen ist. Der Vergleich mit Art. 83 Abs. 2 lit. i DS-GVO, also der Zuwiderhandlung gegen aufsichtsbehördliche Maßnahmen unterhalb der Bußgeldschwelle zeigt, dass ein Verstoß im Sinne des lit. e ausschließlich der rechtskräftig geahndete Verstoß sein kann. Ordnungswidrigkeiten nach § 43 BDSG a.F. sind dementsprechend für die Bußgeldbemessung weiterer Taten ab dem 25. Mai 2018 erheblich, wenn die Verfahren rechtskräftig abgeschlossen sind.

2. Unmittelbare Sanktionierung

Fraglich ist, ob die Geltung der DS-GVO wie eine Generalamnestie wirkt, was die noch nicht eingeleiteten oder noch nicht abgeschlossenen Ordnungswidrigkeitenverfahren gem. § 43 BDSG a.F. betrifft. Fest steht, dass vorangegangene Zuwiderhandlungen ab Geltung der DS-GVO nicht mehr nach dem alten BDSG geahndet werden können. Fest steht auch, dass Dauerdelikte mit Tatbeginn vor Mai 2018 nach neuem Recht verfolgt werden können, wenn die Tat in der DS-GVO weiterhin mit einem Bußgeld bewehrt ist.[4]

Problematisch sind unterdessen all jene Fälle, in denen die von § 43 BDSG a.F. erfasste Tathandlung schon vor der Geltung der DS-GVO beendet ist. Nach der Sentenz „nulla poena sine lege praevia“ im Sinne Anselm von Feuerbachs[5] statuieren sowohl Art. 103 Abs. 2 GG, Art. 49 Abs. 1 Satz 1 GRCh, Art. 7 Abs. 1 Satz 1 MRK als auch Art. 15 Abs. 1 Satz 1 IPbpR unisono das Rückwirkungsverbot. Demnach darf niemand wegen einer Handlung oder Unterlassung verurteilt werden, die zur Zeit ihrer Begehung nicht strafbar[6] war.

Jenes Rückwirkungsverbot hindert selbstverständlich nicht die redaktionelle Neuordnung und -numerierung von Bußgeldtatbeständen. Art. 83 DS-GVO ist jedoch mehr als das. Zum einen erfüllen nach neuem Recht erheblich mehr Handlungen bzw. Unterlassungen einen Ordnungswidrigkeitentatbestand. Zum anderen wandert der Fokus von der natürlichen Person (dem einzelnen Datenverarbeiter) zum Verantwortlichen (häufig einer juristischen Person). Zum dritten wird der Bußgeldrahmen in Art. 83 Abs. 4 und 5 DS-GVO drastisch erhöht.

Essentiell für die Verhängung von Geldbußen ist daher die Trias, ob die Tat a) für den konkreten Bußgeldpflichtigen[7] b) sowohl nach bisherigem als auch c) nach neuem Datenschutzrecht eine Ordnungswidrigkeit darstellt.[8] Sofern diese drei Elemente gegeben sind, dem Bußgeldpflichtigen mithin die rechtliche Missbilligung der Tat von vornherein vor Augen stand, steht das Rückwirkungsverbot einer Geldbuße nicht entgegen.

3. Rechtsfolgenbegrenzung

Bei einer Gesetzesänderung nach Tatbegehung kommt derweil gem. Art. 49 Abs. 1 Satz 2 GRCh, Art. 7 Abs. 1 Satz 2 MRK sowie Art. 15 Abs. 1 Satz 2 IPbpR stets die mildeste Gesetzesfassung zur Anwendung (lex-mitior-Grundsatz). Dies betrifft ganz wesentlich die niedrigeren Bußgeldrahmen des § 43 Abs. 1 BDSG a.F. (50.000 €) und des § 43 Abs. 2 BDSG a.F. (300.000 €). Diese Beträge können in Ansehung von § 43 Abs. 3 Satz 2 und 3 BDSG a.F. überschritten werden, wenn nur so der wirtschaftliche Vorteil abgeschöpft werden kann. Es ist insofern denkbar, dass zumindest über Bande die „wirksamen, verhältnismäßigen und abschreckenden“ Geldbußen des Art. 83 Abs. 1 DS-GVO mittelbare Geltung erlangen. Nach dem lex-mitior-Grundsatz richtet sich auch die Verjährungsfrist nach der bisherigen Rechtslage.[9] Sie beginnt grundsätzlich gem. § 31 Abs. 3 Satz 1 OWiG, sobald die tatbestandliche Handlung beendet ist und währt, wenn sie nicht unterbrochen wird, gem. § 31 Abs. 2 Nr. 1 OWiG drei Jahre.

III. Zusammenfassung

Trotz der umfassenden Neuordnung und -ausrichtung des Datenschutzrechts könnten Verantwortliche auch nach Mai 2018 noch von den Sünden der Vergangenheit eingeholt werden. Der Fokus der aufsichtsbehördlichen Tätigkeit mag vielleicht nicht auf Altverfahren liegen. Vorangegangene Datenpannen sind jedoch keineswegs präkludiert. Sie müssen nach neuem Recht gemeldet werden, wenn weiterhin Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Bußgelder können ohne Zäsur für Altverstöße verhängt werden, wenn die Tat für den konkreten Bußgeldpflichtigen jeweils nach bisherigem und künftigen Datenschutzrecht eine Ordnungswidrigkeit darstellt.

* Der Autor ist Referent bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. in Bonn sowie Lehrbeauftragter für Datenschutzrecht an der TH Köln.

[1] Hierzu insgesamt Franck, Datenpannen, 2. Aufl. 2015, online unter http://t1p.de/Datenpannen2015.

[2] Dass eine ehemals meldepflichtige Panne unter die Skandalisierungsschwelle rutschen könnte, ist nicht ersichtlich.

[3] BlnBDI, Tätigkeitsbericht 2013, S. 171, zum Alter der Daten bei der Gefahrenprognose.

[4] Die zwischenzeitliche Gesetzesänderung ist ggf. bei der Bußgeldbemessung zu berücksichtigen, Jarass, GRCh, 3. Aufl. 2016, Art. 49 Rn. 14.

[5] Paul Johann Anselm von Feuerbach, 1775-1833.

[6] Jede repressive Sanktion, also auch die Bußgeldandrohung, bedeutet „Strafbarkeit“ in diesem Sinne, Jarass, GRCh, 3. Aufl. 2016, Art. 49 Rn. 7; Eser, in: Meyer, GRCh, 4. Aufl. 2014, Art. 59 Rn. 28.

[7] Vgl. insb. §§ 30, 88, 130 OWiG

[8] Die Kontinuität der konkreten Tatbestände wird voraussichtlich Gegenstand von Diskussionen sein: Wenn vormals pflichtwidrig kein DSB bestellt wurde, sich die Bestellpflicht jedoch künftig nicht aus der DS-GVO sondern dem BDSG 2018 ergibt, ist entscheidungserheblich, ob Art. 83 Abs. 4 lit a DS-GVO per Verweiskette auch die Bestellpflicht nach nationalem Recht einschließt, oder ob es hierfür einen eigenständigen Bußgeldtatbestand im neuen BDSG braucht.

[9] Die DS-GVO äußert sich nicht zu Verjährungsfristen. Ungeklärt ist bislang, ob die im OWiG enthaltenen Vorschriften originär Anwendung finden, Bergt, DuD 2017, 555 56; Neun/Lubitzsch, BB 2017, 1538, 1540