gegen Unternehmen erarbeitet, das am 16. Oktober 2019
veröffentlicht wurde (zu finden unter: www.bfdi.bund.de/
beschlüsse-positionspapiere). Es entfaltet keine
Bindungswirkung in sogenannten grenzüberschreitenden
Fällen, da hier eine Abstimmung mit den europäischen
Aufsichtsbehörden erforderlich ist und das deutsche
Bußgeldkonzept für diese keine verbindliche Anwendung finden kann, sondern ist ausdrücklich auf sogenannte inländische Fälle beschränkt.
gelingen kann. Das Konzept ist ein erster wichtiger
Baustein für eine gemeinsame und einheitliche Rechtsdurchsetzungsstrategie, die jedoch dringend um weitere
Bausteine ergänzt werden muss. Insbesondere ist eine
gemeinsame Rechtsdurchsetzungsstrategie gerade auch
mit Blick auf die anderen möglichen Abhilfebefugnisse
gefragt, die bereits jetzt anstelle oder zusätzlich zu Geldbußen angewendet werden und eine kohärente Anwendung erfordern.
Mit ihrem Konzept passen die Datenschutzbehörden
ihre Aufsichtspraxis zugleich an die gesetzgeberische
Entscheidung eines im Vergleich zur alten Rechtslage
erhöhten Bußgeldrahmens an. Dabei haben die Datenschutzbehörden unter anderem den besonderen wirtschaftlichen Situationen von Kleinstunternehmen sowie
kleinen und mittleren Unternehmen (KMU) Rechnung
getragen, um sie nicht den gleichen Bußgeldhöhen auszusetzen wie große Unternehmen. Vereine und natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit
sind zudem von dem Konzept ausgeschlossen.
Deutsche Unternehmen, Datenschutzbehörden und
Gerichte müssen sich auf das neue europäische Sanktionsregime einstellen. Das deutsche Bußgeldkonzept
ist ein erster Schritt in diese Richtung. Die europaweite
Harmonisierung erfordert eine möglichst rasche Verabschiedung europäischer Leitlinien.
Das Konzept sieht eine Bußgeldzumessung in Verfahren
gegen Unternehmen in fünf Schritten vor, in denen zunächst unternehmensgrößenabhängig ein Grundbetrag
ermittelt (Schritte 1 bis 3) wird, der sodann aufgrund tatund täterbezogener sowie sonstiger Umstände (Schritte
4 und 5) des Einzelfalls angepasst wird. Im letzten Schritt
können auch Besonderheiten des Unternehmens ggf.
mindernd berücksichtigt werden, wie z. B. drohende
Insolvenz oder ein hoher Umsatz aber eine geringe
Gewinnmarge, sofern die Umsatzhöhe nicht auf einem
datengetriebenen Geschäftsmodell beruht.
Im schrittweisen Verfahren sind alle Ermessensfaktoren des Art. 83 Abs. 2 DSGVO durch die Datenschutzbehörden zu berücksichtigen. Das Konzept kombiniert – unter Anwendung aller Faktoren des Art. 83
Abs. 2 DSGVO – dabei letztlich zwei wesentliche Gesichtspunkte: zum einen die Schwere des Verstoßes und zum
anderen die Größe des Unternehmens. So wird sichergestellt, dass die Geldbuße im Hinblick auf den konkreten
Verstoß und gegenüber dem Unternehmen angemessen
ist. In Kombination werden so die vom Gesetzgeber vorgegebenen Sanktionsprinzipien der Wirksamkeit, Verhältnismäßigkeit und Abschreckung verwirklicht. Die
Datenschutzbehörden werden regelmäßig evaluieren, ob
das Konzept diese Prinzipien in der Anwendungspraxis
effektiv erreicht oder ob das europäische Effektivitätsgebot (effet utile) eine Nachbesserung erfordert.
Fazit und Ausblick
Das gemeinsame Konzept der DSK zur Bußgeldzumessung in Verfahren gegen Unternehmen zeigt, wie auch
in einem föderalen Aufsichtssystem eine einheitliche
Anwendung und Durchsetzung des Datenschutzrechts
8.10 Akkreditierungsverfahren
können starten
Die DSGVO sieht vor, dass die Einhaltung ihrer Vorgaben über Datenschutzzertifizierungen nachgewiesen
werden kann. Damit diese Zertifikate auch tatsächlich
für eine entsprechende Güte stehen, sieht Art. 43
DSGVO die Akkreditierung von Zertifizierungsstellen vor.
Die DSGVO ermöglicht eine freiwillige Überprüfung
der Einhaltung ihrer Vorgaben, die in einem Zertifikat
bzw. einem Datenschutzsiegel münden kann. Sie gibt
dafür einen grundsätzlichen rechtlichen Rahmen in
den Art. 42 und 43 vor. Diese Bestimmungen sollen die
Transparenz erhöhen und die Einhaltung der datenschutzrechtlichen Vorgaben verbessern. Jedoch dürfen
nur solche Stellen Zertifizierungen gemäß Art. 42 DSGVO
erteilen, die auf ihre Eignung zur Durchführung von
Zertifizierungsverfahren überprüft und förmlich akkreditiert worden sind. Dieses Verfahren ist eine wesentliche
Grundlage für einen gestärkten europaweit einheitlichen
Datenschutz. Die konkrete Ausgestaltung des Akkreditierungsverfahrens mit seinen in der DSGVO eher allgemein
skizzierten Regelungen obliegt den Mitgliedsstaaten. Auf
diese Weise soll den nationalen Besonderheiten Raum
gegeben werden. Deutschland hat mit der Regelung von
§ 39 BDSG hiervon Gebrauch gemacht.
Nationale Umsetzung
Um einen möglichst hohen Qualitätsstandard für die
Zertifizierung sicherzustellen, sieht die DSGVO in Art. 43
zunächst eine Akkreditierung von Zertifizierungsstellen vor, die dem Zweck der Konformitätsprüfung dient.
Für die Datenschutzaufsichtsbehörden, die in diesem
Akkreditierungsprozess eine wichtige Rolle spielen,
hat sich damit ein neuer Aufgabenbereich ergeben.
Nach § 39 BDSG erfolgt die Entscheidung, ob jemand
Tätigkeitsbericht zum Datenschutz für 2019
71