Wirkt ein Verstoß gegen Art. 24 DSGVO bußgelderhöhend? Deutsche Aufsichtsbehörden: ja. EDSA: nein.

Ich hatte nun ein wenig Zeit, über den interessanten Beschluss des EDSA nach Art. 65 DSGVO zu dem Entwurf des Bußgeldbescheides der irischen Datenschutzbehörde gegen Meta Platforms (bezüglich Instagram) zu schauen.

In solchen Beschlüssen finden sich immer viele praxisrelevante Ansichten und Aussagen der einzelnen europäischen Behörden, aber natürlich auch die jeweilige Position des EDSA hierzu.

Ein interessantes Beispiel ist hierbei die Frage, ob eine Verletzung der Vorgaben von Art. 24 DSGVO im Rahmen der Bußgeldbemessung erhöhend zu berücksichtigen ist. Hintergrund: ein Verstoß gegen Art. 24 DSGVO ist an sich eigentlich nicht selbst bußgeldbewährt. Weder in Art. 83 Abs. 4 noch Abs. 5 DSGVO wird Art. 24 genannt. Man könnte also wohl davon ausgehen, dass der Gesetzgeber dies bewusst so geregelt hat.

In dem bindenden Beschluss wird darauf hingewiesen, dass die irische Behörde von einem Verstoß gegen Art. 24 DSGVO ausging (Rz. 169: „Regarding the infringement of Article 24 GDPR, the IE SA stated that this infringement was considered separately…“). Jedoch wollte die irische Behörde diesen Verstoß nicht erhöhend im Rahmen der Bußgeldbemessung berücksichtigen.

Dieser Ansicht traten die deutschen Datenschutzbehörden offensichtlich entschieden entgegen.

Rz. 176: „As for aggravating factors, the DE SAs stated that the LSA should have considered the infringement of Article 24 GDPR as an aggravating factor in respect of the other infringements under Article 83(2)(k) GDPR.”

Nach Art. 83 Abs. 2 lit. k DSGVO sind „jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall“ gebührend zu berücksichtigen.

Die deutschen Behörden waren der Ansicht, dass der Verstoß gegen Art. 24 DSGVO schärfend im Rahmen des Art. 83 Abs. 2 lit. k DSGVO berücksichtigt werden müsse. Zwar sei der Verstoß gegen die Norm selbst nicht ausdrücklich in Art. 83 DSGVO bußgeldbewährt, jedoch müsse der Verstoß bei der Entscheidung der Behörde berücksichtigt werden. Art. 83 Abs. 2 lit. k DSGVO sei bewusst sehr offen formuliert und daher müsste auch der Verstoß hierunter als Faktor fallen.

Diese Ansicht teilt der EDSA jedoch nicht.

Rz 211: „At the same time, the EDPB agrees with the IE SA that the infringement of Article 24 GDPR cannot be considered an aggravating factor under Article 83(2)(k) GDPR”.

Der EDSA geht davon aus, dass der Gesetzgeber sehr bewusst Verstöße gegen Art. 24 DSGVO gerade nicht in die Aufzählungen in Art. 83 Abs. 4 und 5 DSGVO aufgenommen habe. Hierzu wird darauf verwiesen, dass in früheren Versionen der DSGVO Art. 24 DSGVO in dem Katalog des Art. 83 noch enthalten war. Wenn man aber nun, der Ansicht der deutschen Behörden folgend, eine Verletzung von Art. 24 DSGVO dennoch strafschärfend berücksichtigen würde, wäre ein solcher Verstoß zumindest indirekt doch mit Bußgeld belegt. Aus diesem Grund folgt der EDSA der Ansicht der deutschen Behörden nicht.

Jedoch, so der EDSA, ist das Prinzip der Rechenschaftspflicht und damit der Verantwortlichkeit, welches in Art. 24 DSGVO ebenso wie in Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, generell als Faktor bei der Bußgeldbemessung zu berücksichtigen. Hierzu verweist der EDSA auf seine Leitlinien zu Bußgeldern.

Fazit

Zum einen zeigt dieses Beispiel erneut anschaulich, wie unterschiedlich die Interpretationen zur DSGVO, auch innerhalb der Aufsichtsbehörden, sind. Und wie wichtig hierbei eine bindende Instanz wie der EDSA ist. Inhaltlich kann man mitnehmen, dass der Verstoß gegen einen Artikel der DSGVO, der gerade nicht in dem Katalog des Art. 83 Abs. 4 und 5 DSGVO benannt ist, nicht per se bußgelderhöhend wirkt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert