Im Zusammenhang mit der Verhängung von empfindlichen Bußgeldern gegen zwei Berliner Unternehmen soll nachfolgend ein kurzer Überblick über die Praxis der anderen deutschen Aufsichtsbehörden erfolgen:
Zunächst ist allerdings anzumerken, dass längst nicht alle Aufsichtsbehörden über die bei ihnen anhängigen Bußgeldverfahren berichten.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat auf Basis der neuen Rechtslage insgesamt 27 Bußgelder nach der DS-GVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen. Im Raum steht derzeit noch die Verhängung eines Bußgeldes in Höhe eines zweistelligen Millionenbetrages, wie die Berliner BDI im August 2019 verlautbaren ließ.
Auch in den meisten anderen Bundesländern kam es seit dem 25.05.2018 zur Verhängung von Bußgeldern. In den bekannt gewordenen etwa 100 Verfahren ging es jedoch nicht un Millionenbeträge. Ohnehin ist die Höhe der verhängten Bußgelder sehr unterschiedlich. So gab es zwar in NRW wohl die meisten Verfahren, allerdings mit einer durchschnittlichen Bußgeldhöhe von unter 500 Euro. Einige Bundesländer haben noch gar keine Bußgelder verhängt, andere geben diese nicht bekannt.
In Sachsen-Anhalt wurde ein Bußgeld in Höhe von 2.000 Euro gegen ein Privatperson verhängt. Der Verstoß lag darin, dass die Person im Juli 2018 mehrfach Emails an einen offenen Verteiler mit mehr als 100 Empfängern versendet hatte.
Die LfDI-Baden-Württemberg hat mehrere Bußgelder verhängt. Unter anderem gegen einen ehemaligen Juso-Vorsitzenden in Höhe von 2.500 Euro wegen des Verstoßes gegen das Zweckbindungsgebot https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-Bu%C3%9Fgeld-gegen-fr%C3%BCheren-Juso-Landeschef.pdf
sowie gegen einen Polizeibeamten in Höhe von 1.400 Euro wegen der illegalen Verarbeitung von personenbezogenen Daten zu privaten Zwecken https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/06/Erstes-Bu%C3%9Fgeld-gegen-Polizeibeamten.pdf
Die Hamburger Aufsichtsbehörde (Hamburgische BDI) hat in ihrem Bericht für 2018 auf den Seiten 134 f. dargestellt, welche Geldbußen verhängt und für welche Verstöße Verwarnungen ausgesprochen wurden: https://datenschutz-hamburg.de/assets/pdf/27._Taetigkeitsbericht_Datenschutz_2018_HmbBfDI.pdf
Mit der Festlegung einer Geldbuße in Höhe von 20.000 Euro für die verspätete Meldung eines Datenschutzverstoßes sowie fehlende Information der betroffenen Personen hat die Behörde erstmals ein deutlich höheres Bußgeld verhängt – das jedoch noch nicht rechtskräftig ist. Auch der Hamburgische BDI wendet für neue Fälle erklärtermaßen den deutlich erhöhten Bußgeldrahmen der DSGVO an.
Derzeit ist die DSK (Konferenz der unabhängigen Daten-schutzaufsichtsbehörden des Bundes und der Länder) damit befasst, ein Bußgeldkonzept zu erarbeiten https://datenschutz.saarland.de/uploads/media/DSK_PM_Bu%C3%9Fgeldkonzept_20190917.pdf
Aktualisierung 17. Oktober 2019:
Die DSK (Konferenz der unabhängigen Daten-schutzaufsichtsbehörden des Bundes und der Länder) teilt in einer aktuellen Pressemitteilung mit, dass sie ein Bußgeldkonzept entworfen hat. https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
Die Bußgeldzumessung soll danach in fünf Schritten erfolgen:
- Zuordnung des Unternehmens zu einer Größenklasse,
- Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
- Ermittlung eines wirtschaftlichen Grundwertes
- Multiplikation dieses Grundwertes mittels eines von der Schwere der Tatumstände abhängigen Faktors
- Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.