mit dem Namen und der Adresse der dort wohnhaften
Personen zu verknüpfen. Diese Informationen ermöglichen im weiteren Verlauf eine sogenannte Steckfolgensortierung, wonach die Briefsendungen in der Tasche
des Zustellers bereits auf die Reihenfolge der Briefkästen
in der Briefkastenanlage angepasst sind.
Die Verarbeitung berücksichtigt zuerst die berechtigten
Interessen des Postdienstleisters. Natürliche Personen,
deren „Briefkasten-Daten“ erfasst wurden, wurden im
Rahmen der Informationspflichten der DSGVO schriftlich informiert. Sofern Betroffene mit der Verarbeitung
nicht einverstanden sind, steht ihnen ein Recht auf
Widerspruch gegen die Verarbeitung zu.
Das Projekt wurde mir von der Deutsche Post AG
frühzeitig vorgestellt, sodass ich bereits am Anfang
Verbesserungsbedarf aufzeigen konnte. So konnte ich
Einfluss nehmen auf die Auswahl der korrekten Rechtsgrundlage, essentielle Aspekte der technischen und
organisatorischen Maßnahmen, die Ausgestaltung der
Information an die Betroffenen sowie auf den Umgang
mit den Rechten der Betroffenen. Bis zur Ausweitung
des Pilotprojekts wurden meine Anregungen von der
Deutsche Post AG aufgenommen und umgesetzt.
8.9 Datenschutzbehörden legen
Bußgeldkonzept vor
Die DSK hat ein gemeinsames Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht, das einerseits die Schwere des Verstoßes und zum
anderen die Größe des Unternehmens berücksichtigt,
damit Geldbußen wirksam, verhältnismäßig und
abschreckend sind. Zugleich arbeiten die deutschen
Datenschutzbehörden mit den europäischen Aufsichtsbehörden an europaweiten Leitlinien.
DSGVO läutet neues Zeitalter ein
Die DSGVO sieht erstmals europaweit einheitliche Abhilfebefugnisse vor. Dabei fügt sich die Bußgeldbefugnis
in ein Gesamtsystem an differenzierten Abhilfemaßnahmen der Datenschutzbehörden zur Rechtsdurchsetzung ein. Diese reichen von bloßen Warnungen und
Verwarnungen über Anordnungen bis hin zur Verhängung von Geldbußen. Die Datenschutzbehörden können
im Rahmen ihres Ermessens zwischen verschiedenen
Abhilfemaßnahmen wählen oder mehrere kumulativ
anwenden.
Nach Art. 58 Abs. 2 lit. i i. V. m. Art. 83 Abs. 4 bis 6
DSGVO sind für formelle Verstöße Geldbußen von bis zu
10.000.000 Euro oder zwei Prozent des weltweiten Jahresgesamtumsatzes des vorangegangenen Geschäftsjahres
und für materielle Verstöße bis zu 20.000.000 Euro oder
70
Tätigkeitsbericht zum Datenschutz für 2019
vier Prozent des weltweiten Jahresgesamtumsatzes
des vorangegangenen Geschäftsjahres möglich. Abweichend von der bisherigen deutschen Rechtstradition gilt
dabei die darüber hinausgehende, europäische unmittelbare Verbandshaftung innerhalb eines Konzerns.
Damit hat die EU den Verstößen gegen das europäische
Datenschutzrecht die gleiche Bedeutung und Tragweite
zuerkannt wie für Verstöße gegen das europäische Wettbewerbsrecht.
Europäische Prinzipien und Leitlinien
Für eine effektive Anwendungspraxis hat der europäische Gesetzgeber den Datenschutzbehörden drei aus
dem Wettbewerbsrecht bekannte Sanktionsprinzipien
verbindlich ins Durchsetzungsprogramm geschrieben:
Wirksamkeit, Verhältnismäßigkeit und Abschreckung.
Zusätzlich sieht Art. 83 Abs. 2 DSGVO eine Reihe von Ermessenserwägungen vor, die die Datenschutzbehörden
sowohl bei der Frage des „Ob“ als auch des „Wie hoch“
prüfen müssen.
Um eine europaweit einheitliche Anwendung zu gewährleisten, wurde der EDSA in Art. 70 Abs. 1 lit. k DSGVO
mit der Aufgabe betraut, anhand dieser Prinzipien Leitlinien für die Festsetzung von Geldbußen nach Art. 83
DSGVO zu entwickeln. Einen ersten Schritt hierzu
verwirklichte der EDSA in seiner ersten Plenarsitzung
am 25. Mai 2018, in welcher er die Leitlinien für die
Anwendung und Festsetzung von Geldbußen bestätigte,
die seine Vorgängerin, die Artikel-29-Gruppe, bereits mit
Blick auf die DSGVO vorbereitet hatte. Diese Leitlinien
vom 03. Oktober 2017 (zu finden unter: http://www.bfdi.
bund.de/guidelines) legen zunächst eine einheitliche
Auslegung der Bestimmungen von Art. 83 DSGVO fest
und umreißen ein einheitliches Konzept zu den Grundsätzen bei der Bußgeldfestsetzung. So wurde unter anderem klargestellt, dass für den Begriff des Unternehmens
entsprechend Erwägungsgrund 150 auf den Unternehmensbegriff der Art. 101 und 102 AEUV abzustellen ist.
Der Begriff des Unternehmens umfasst demnach jede
Einrichtung, die eine wirtschaftliche Tätigkeit ausübt,
unabhängig von ihrer Rechtsform und der Art ihrer
Finanzierung. Diese kann aus mehreren natürlichen
oder juristischen Personen bestehen – eine wesentliche
Neuerung zur vormaligen deutschen Rechtstradition.
Die Konkretisierung der Festsetzungsmethodik bzgl. der
zu erhebenden Bußgelder bleibt späteren Leitlinien des
EDSA vorbehalten, die derzeit beraten werden.
Deutsches Bußgeldkonzept
Um in der Übergangszeit bis zum Erlass entsprechender Leitlinien eine einheitliche Anwendung innerhalb
Deutschlands sicherzustellen, hat die DSK ein gemeinsames Konzept zur Bußgeldzumessung in Verfahren