Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 16. Juni 2025 eine Musterrichtlinie für Verfahren über Geldbußen der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich beschlossen.
Mit den Richtlinien reagiert die Datenschutzkonferenz auf häufige Fragen aus der Praxis. Das soll die aufsichtsrechtlichen Verfahren in Deutschland vereinheitlichen und zugleich Orientierung für die datenverarbeitenden Stellen sowie die betroffenen Personen geben.
Die Behördenleitungen der Datenschutzaufsichtsbehörden des Bundes und der Länder, soweit diese für den nicht-öffentlichen Bereich zuständig sind, beabsichtigen, die Musterrichtlinien in ihrer Behörde jeweils als Verwaltungsvorschriften zu erlassen. Durch die Vorgaben dieser Richtlinien soll die behördeninterne und -übergreifende Gleichförmigkeit datenschutzaufsichtsbehördlicher Verfahren über Geldbußen erreicht werden.
Gegenstand dieser Richtlinien sind leitende Vorgaben zum Verfahrensablauf, zur Ermessensausübung und zur Anwendung sowie Auslegung von deutschen Rechtsnormen im Rahmen von Verfahren über Geldbußen nach der DSGVO. Sie sind auf den Regelfall abgestellt.
Diese Richtlinien finden auf alle Verfahren über Geldbußen der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder nach der DSGVO Anwendung. Soweit nicht ausdrücklich anders geregelt, finden sie insbesondere keine Anwendung auf Verwaltungsverfahren.
Die Vorgaben dieser Richtlinien sind sowohl bei inländischen Fällen als auch bei sog. grenzüberschreitenden Verarbeitungen zu beachten. Insoweit treffen sie auch Regelungen um einen reibungslosen Ablauf in Verfahren nach Artikel 60 und Artikel 65 DSGVO sicherzustellen, insbesondere im Zusammenspiel mit Beschlussentwürfen auch zu etwaigen zusätzlichen anderen Abhilfemaßnahmen im Verwaltungsverfahren.
Vorgaben des Europäischen Datenschutzausschusses (EDSA) sind im Verhältnis zu diesen Richtlinien vorrangig zu beachten.
Die Datenschutzaufsichtsbehörden können ein Verfahren über Geldbußen einleiten oder führen, das auf einem Sachverhalt beruht, der der Datenschutzaufsichtsbehörde bekannt geworden ist oder der von der Staatsanwaltschaft, den Polizeibehörden oder von einer anderen Behörde abgegeben oder übermittelt wurde.
Sofern nach einer Prüfung der Anfangsverdacht für einen geldbußbewehrten Datenschutzverstoß nicht gegeben ist, oder wenn die Nachweisbarkeit eines Verstoßes offenbleibt, kann das Verfahren an die innerbehördlich fachlich zuständige Organisationseinheit (zurück-)gegeben werden.
Bei einer Meldung nach Artikel 33 DSGVO oder einer Benachrichtigung nach Artikel 34 DSGVO ist § 43 Absatz 4 BDSG oder die entsprechende Landesregelung unionsrechtskonform dahingehend auszulegen, dass ein Verwendungsverbot nur besteht, soweit die meldende Stelle durch die gemeldete Verletzung das Verschulden eines Datenschutzverstoßes zugesteht. Unabhängig davon können Informationen aus anderen Quellen zur Einleitung eines Verfahrens über Geldbußen führen.
Fundstelle: Musterrichtlinie für das Verfahren über Geldbußen der Datenschutzaufsichtsbehörden – abrufbar im Internet unter https://www.datenschutzkonferenz-online.de/media/weitere_dokumente/DSK-Festlegung_MRiDaVG.pdf
