Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 293

7

Die Nichtbeachtung der oben genannten Konkretisierungsvorschriften ist bereits für sich genommen bußgeldbewehrt. Dennoch sind Konstellationen denkbar, in denen der Verantwortliche ausschließlich und unmittelbar aufgrund eines Verstoßes gegen Art. 5 Abs. 1 DSGVO sanktioniert werden könnte: Beispielsweise stellt die Verarbeitung sachlich unrichtiger Daten einen gem. Art. 83 Abs. 5 lit. a DSGVO ahndbaren Verstoß gegen den Richtigkeitsgrundsatz dar, ohne dass es hierfür auf ein Berichtigungsbegehren des Betroffenen nach Art. 16 DSGVO ankäme. Auch eine über das notwendige Maß hinausgehende Verarbeitung personenbezogener Daten könnte eine unmittelbare Sanktionierung eines Verstoßes gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO (vgl. Rn. 27) nach sich ziehen. Problematisch erscheint in solchen Fällen jedoch die vage Formulierung der Verarbeitungsgrundsätze. Die Verhängung einer ausschließlich auf Art. 5 Abs. 1 DSGVO i.V.m. Art. 83 Abs. 5 lit. a DSGVO gestützten Geldbuße dürfte mit dem Bestimmtheitsgrundsatz kaum in Einklang zu bringen sein.13 Auch in Anbetracht des enorm hohen Bußgeldrahmens scheint es schwierig, allein auf Grundlage eines Verstoßes gegen Verarbeitungsprinzipien Sanktionen zu verhängen. Allerdings wurde eines der bisher höchsten in Deutschland verhängten Bußgelder gerade wegen eines Verstoßes gegen Art. 5 DSGVO verhängt. Im Oktober 2019 erließ die Berliner Datenschutzbeauftragte unter Berufung auf Verstöße gegen Art. 5 und 25 DSGVO ein Bußgeld in Höhe von 14,5 Mio. EUR gegen ein Unternehmen, dessen Archivsystem keine Möglichkeit vorsah, personenbezogene Daten zu löschen.14 Zwar wurde das Bußgeld erstinstanzlich aufgehoben, allerdings lediglich aufgrund der im Bescheid nicht hinreichend dargelegten Zurechnung des Datenschutzverstoßes zu einem Organmitglied des Unternehmens nach §§ 30, 130 OWiG.15