Datenschutz im Konjunktiv: Millionenbußgeld der Berliner Behörde
Die Berliner Datenschutzbehörde hat das erste deutsche Bußgeld in Millionenhöhe verhängt. Die Deutsche Wohnen AG, die 14,5 Mio. Euro zahlen soll, hat gegen den Bußgeldbescheid Einspruch eingelegt. Wir dürfen uns auf das erste große Gerichtsverfahren zur DSGVO freuen.
Die Bußgeldhöhe bewegt sich nicht nur in Deutschland auf Rekordniveau. In Europa reicht der Berliner Bescheid für Bronze. Nur ein französischer Bescheid gegen Google (50 Mio. Euro) und ein österreichischer Bescheid gegen die Österreichische Post (18 Mio. Euro) sind bekannt, weitere Millionenbußgelder gibt es bislang nicht. Die britische Behörde hat zwar bereits im Sommer Bußgelder gegen Marriott (99 Mio. GBP) und gegen British Airways (183 Mio. GBP) angekündigt, es blieb indes bislang bei der Ankündigung.
Von Bußgeldern verschont geblieben sind bisher Facebook, WhatsApp, Twitter und andere US-Unternehmen, für die die irischen Datenschützer zuständig sind. Die irische Datenschutzbeauftragte Helen Dixon sieht sich immer unverhohlenerer Kritik ihrer deutschen Kollegen ausgesetzt, die ihr Untätigkeit im Interesse des irischen Wirtschaftsstandorts vorwerfen. Dixon führt zahlreiche Untersuchungen gegen US-Firmen und verweist auf die Notwendigkeit rechtsstaatlicher Verfahren. Hinter vorgehaltener Hand hört man aus ihrer Behörde ätzende Kritik an deutschen Datenschützern, die sehr viel redeten und sehr wenig zustande brächten.
Als die Berliner Datenschützer Anfang November per Pressemitteilung das Rekordbußgeld verkündeten, rieben sich Experten die Augen. Dass man sich ausgerechnet die Deutsche Wohnen AG für das Bußgeld ausgesucht hat, hat einen populistischen Beigeschmack. Deutsche Wohnen ist für viele Berlinerinnen der Inbegriff des rücksichtslosen Geschäfts mit Wohnimmobilien und steht für Wohnungsnot und den steilen Anstieg der Mieten in der Hauptstadt. Eine Bürgerinitiative wirbt dafür, die Deutsche Wohnen AG per Volksentscheid zu enteignen. “Deutsche Wohnen enteignen” ist zwischen Rigaer Straße und Hermannplatz eine gängige Parole.
Der Deutsche Wohnen AG wird zur Last gelegt, Dokumente revisionssicher zu archivieren, ohne dass einzelne Personendaten vorzeitig gelöscht werden können. Es geht um den bekannten Spagat zwischen Aufbewahrungspflichten und Datenschutz. Wer Archivierungssysteme nutzt, die keine Löschmöglichkeiten vorsehen, begeht nach Auffassung der Berliner Behörde einen Verstoß gegen den Grundsatz von “Privacy by Design”.
Ob sich die Berliner Behörde mit dem Bußgeldbescheid einen Gefallen getan hat, bleibt abzuwarten. Das Gerichtsverfahren wird Ressourcen der Behörde binden, und der Ausgang des Verfahrens ist offen. Auf einen allgemeinen Grundsatz wie “Privacy by Design” lässt sich nach Auffassung vieler Experten kein Bußgeldbescheid stützen, da dies den verfassungsrechtlichen Bestimmtheitsgrundsatz verletzen würde. Der Fall hat beste Chancen, eines fernen Tages den EuGH oder auch das BVerfG zu beschäftigen, das sich ja soeben (“Recht auf Vergessen I und II”) für zuständig erklärt hat, deutsche Bürger auch dann gegen deutsche Behörden zu schützen, wenn es um europäisches Recht und europäische Grundrechte geht.
Streitfälle sind beim Datenschutz für alle Beteiligten ungewohnt. Die Datenschutzbehörden handelten in der Vergangenheit lieber per Argument und Schriftsatz als per Verwaltungsakt. Und auch bei den Unternehmen und deren Beratern und Anwälten dominierten die Leisetreter, die im Zweifel jedes noch so abwegige Argument der Behörden ernst nahmen und die Disziplin des vorauseilenden Wohlgefallens meisterhaft beherrschten.
Streitfälle sind für alle Beteiligten riskant. Die Datenschutzbehörden riskieren es, aufwändige Verfahren mit blamablen Niederlagen zu beenden. Aber auch für Anwälte sind Streitverfahren riskant. Niemand kann sicher vorhersagen, wie Gerichte entscheiden. Und wer sicher sein möchte, dass er keinen Prozess verliert, rät am besten dazu, den Prozess gar nicht erst zu führen.
Um die DSGVO-Verfahren zu führen, sind Fähigkeiten und Erfahrungen jenseits des Datenschutzrechts gefragt. Benötigt werden Experten mit Kenntnissen im Verwaltungs- und Verfassungsrecht oder auch – soweit es um Bußgelder geht – im Strafrecht. Datenschutzrechtler, die neben Compliance auch Streitverfahren führen möchten, müssen sich fehlende Verfahrenskenntnisse aneignen. Und auch in den Behörden besteht im Verfahrensrecht allenthalben Nachholbedarf.
Jenseits aller Verfahrensfragen hat es sich die Berliner Behörde denkbar einfach gemacht, wenn sie sich auf einen allgemeinen Grundsatz wie “Privacy by Design” stützt. Die Berliner Datenschützer vermeiden jede Aussage dazu, wann denn konkret welche Daten hätten gelöscht werden müssen. Nach der unbarmherzigen Logik, die dem Bußgeldbescheid zugrunde liegt, wäre es denkbar, dass es gar keine Verstöße gegen Löschverpflichtungen gab. Denn der Vorwurf lautet nicht: “Du hättest löschen müssen”, sondern “Du hättest löschen können müssen”.
Die Flucht in die Grundsätze, die auch bei anderen Behörden zu beobachten ist, verlagert den Datenschutz immer tiefer in den Konjunktiv, hin zu den möglichen Gefahren im Vorfeld der Gefahr. Dies ist realitätsfremd und schadet der Akzeptanz des Datenschutzes. Ob die Berliner Behörde eine glückliche Hand bei der Auswahl ihres ersten “Millionenfalls” hatte, darf auch aus diesem Grund bezweifelt werden.
Prof. Niko Härting, RA, ist Partner von HÄRTING Rechtsanwälte, Berlin, und Honorarprofessor an der Hochschule für Wirtschaft und Recht, Berlin. Seine Tätigkeitsschwerpunkte bilden das Medien- und Internetrecht.