Geldbußen waren das Aufregerthema, als das neue Datenschutzrecht wirksam wurde. Mittlerweile ist es um die Bußgelder stiller geworden – vor allem, was die befürchtete Breitenwirkung angeht. Kaum ein kleines Unternehmen, kaum ein kleiner Verein wird gebußt.
Mit den neuen Richtlinien des Europäischen Datenschutzausschusses zur Ermittlung der Bußgeldhöhe kommt das Thema nun wieder etwas stärker auf die Agenda. Im kirchlichen Datenschutz gibt es solche Leitplanken bislang nicht – aber auch hier ist die Angst vor dem Bußgeld groß. Der Blick in die Gesetze und in die Praxis der Aufsichten kann aber beruhigen.
Die Lage nach der DSGVO
Eines der Markenzeichen der DSGVO ist die enorme mögliche Bußgeldhöhe, die dem Datenschutz Zähne verleihen soll: Geldbußen sollen »wirksam, verhältnismäßig und abschreckend« sein und gerade kein Knöllchen aus der Portokasse.
Je nach Verstoß liegt die Obergrenze bei 10 oder 20 Millionen respektive 2 Prozent oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, was höher ist (Art. 83 Abs. 4f. DSGVO). In Deutschland sind nur Behörden und sonstige öffentliche Stellen fein raus: Gegen sie kann kein Bußgeld verhängt werden (§ 43 Abs. 3 BDSG).
Die Lage nach dem KDG
Dem katholischen Datenschutzrecht unterliegende Verantwortliche können schon bei der Maximalhöhe aufatmen: § 51 Abs. 5 deckelt die Höhe auf maximal eine halbe Million Euro. Analog zu staatlichen Behörden sieht das KDG auch für kirchliche Stellen, die öffentlich-rechtlich verfasst sind, keine Bußgelder vor, sofern sie nicht als Unternehmen am Wettbewerb teilnehmen (§ 51 Abs. 6 KDG).
Im Ergebnis führt das dazu, dass ein großer der katholischen Verantwortlichen, nämlich unter anderem alle Bistümer und Pfarreien, keine Bußgelder zu fürchten haben – dabei ist gerade dort besonders hohes Potential für Datenschutzverstöße angesichts des Zugriffs auf Meldedaten. In ihren Berichten beklagen die Aufsichten – etwa die KDSA Nord – folgerichtig auch regelmäßig, dass es für Bußgelder zwar Anlässe gegeben hätte, aber keine Rechtsgrundlage für die Verhängung. Generell scheinen die katholischen Aufsichten sehr zurückhaltend mit Geldbußen zu sein. Die höchste liegt laut der Südwest-Aufsicht im fünfstelligen Bereich, ohne dass mehr bekannt war; in einem Fall, in dem durch eine Entscheidung des IDSG die Höhe bekannt wurde – 2100 Euro wegen eines fehlgelaufenen Arztbriefes gegen ein katholisches Krankenhaus mit 88 Millionen Euro Umsatz –, bezeichnete das Gericht die Höhe als sehr moderat.
Die Lage nach dem DSG-EKD
Im Vergleich zum KDG hat das evangelische Datenschutzgesetz noch weniger Zähne: Zwar ist die Regelung hier weitgehend wortgleich, auch hier müssen Bußen »wirksam, verhältnismäßig und abschreckend« sein. Aber zu der hier identisch gedeckelten Maximalhöhe von 500.000 Euro (§ 45 Abs. 5 DSG-EKD) kommt ein noch weiter eingeschränkter Empfängerkreis: »Gegen verantwortliche Stellen sind Geldbußen nur zu verhängen, soweit sie als Unternehmen im Sinne des § 4 Nummer 19 am Wettbewerb teilnehmen«, heißt es in § 45 Abs. 1 S. 2 DSG-EKD. Ein Unternehmen ist eine »natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt«.
Aus den bislang erschienenen Tätigkeitsberichten ist nicht ersichtlich, dass bislang überhaupt ein Bußgeld gemäß DSG-EKD verhängt wurde – immerhin soll es ein (internes) Konzept für die Bußgeldhöhe geben; Rechtsprechung der evangelischen Verwaltungsgerichte zu Datenschutzfällen ist ebenfalls nicht bekannt. Trotz Legaldefinition ist auch nicht ganz klar, ob diakonische Einrichtungen »Unternehmen« im Sinne des Kirchengesetzes sind, oder ob ihre Gemeinnützigkeit und ihr Beitrag zur Daseinsvorsorge genügt, um sie auch vor Bußgeldern zu feien. Bei der Beratung des DSG-EKD in der EKD-Synode wurde immerhin angedeutet, dass Krankenhäuser wohl erfasst sein sollen.
Fazit
Wer kirchlichem Datenschutzrecht unterliegt, fährt mit Blick auf Bußgelder grundsätzlich deutlich besser als bei Geltung der DSGVO: Deutlich niedriger Höchstsatz und viel weniger überhaupt bedrohte Verantwortliche. Ob das noch den geforderten Einklang mit den Wertungen der DSGVO wahrt, den Art. 91 Abs. 1 DSGVO von den kirchlichen Gesetzen verlangt, ist fraglich. Auch die Praxis zeigt, dass Geldbußen von den kirchlichen Aufsichten zögerlich bis gar nicht verhängt werden.
Das sollte einiges an Angst vor der Bußgeldkeule nehmen, gerade bei wenig finanzstarken kleinen Stellen, etwa bei Ortsgruppen von Jugendverbänden – zumal vor dem Bußgeld in der Regel deutliche Mahnungen und Winke von der Aufsicht kommen dürften. Das heißt aber nicht, dass die Aufsichten ganz zahnlos wären: Auch wenn kein Bußgeld verhängt wird oder werden kann – oft ist die Untersagung der Verarbeitung (vulgo: Abschalten!) schmerzhafter als ein Bußgeld.