1 4 Bußgeldkonzept Tabelle 3 Kleinstunternehmen sowie kleine und mittlere                         Großunternehmen Unternehmen (KMU) Unterscheidung nach Jahresumsätzen in € A                    B                        C                        D AI           972      BI        9 722     CI             31 250      DI          173 611 A II       2 917      B II    17 361      C II           38 194      D II        243 056 A III      4 722      B III   24 306      C III          48 611      D III       416 667 C IV           62 500      D IV        694 444 CV             76 389      DV          972 222 C VI           97 222      D VI      1 250 000 C VII         125 000      D VII konkreter Tagessatz* * Ab einem jährlichen Umsatz von über 500 Mio. Euro ist der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt. 4. Multiplikation des Grunwertes nach Schweregrad der Tat Danach erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer. Hierfür werden gemäß der nachstehenden Tabelle 4 unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DS- GVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, mit dem der Grundwert multipliziert wird. Im Hinblick auf die unterschiedlichen Bußgeld- rahmen sind dabei für formelle (Art. 83 Abs. 4 DS-GVO) und materielle (Art. 83 Abs. 5, 6 DS-GVO) Verstöße jeweils unterschiedliche Faktoren zu wählen. Bei der Wahl des Multiplikationsfaktors einer sehr schweren Tat ist zu beachten, dass der einzelfallbezogene Bußgeldrahmen nicht überschritten wird. 39

Kapitel 1   Schwerpunkte Tabelle 4 Schweregrad der Tat     Faktor für formelle Verstöße   Faktor für materielle Verstöße gemäß Art. 83 Abs. 4 DS-GVO     gemäß § 83 Abs. 5, 6 DS-GVO leicht                                   1–2                             1–4 mittel                                   2–4                             4–8 schwer                                   4–6                            8–12 sehr schwer                               >6                             >12 5. Anpassung des Grundwertes anhand aller sonstigen für und gegen die Betroffenen sprechenden Umstände Der unter 4. errechnete Betrag wird anhand aller für und gegen die Betroffene oder den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezo- genen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DS-GVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsun- fähigkeit des Unternehmens. Das Bußgeldkonzept garantiert eine nachvollziehbare, transparente und ein- zelfallgerechte Form der Bußgeldzumessung. Gleichzeitig wird es durch die Berücksichtigung aller Umstände im konkreten Verfahren dem Einzelfall ge- recht. Hierdurch wird eine umfassende gerichtliche Überprüfbarkeit und Nach- vollziehbarkeit der Bußgeldzumessung möglich. 1.5         Die Kooperation der Datenschutzaufsichts- behörden der EU nimmt Fahrt auf! – Die Servicestelle Europaangelegenheiten Die DS-GVO verpflichtet die Datenschutzaufsichtsbehörden der EU-Mitglieds- Aus der Praxis staaten, bei grenzüberschreitenden Datenverarbeitungen eng zu kooperieren. Um dieser neuen Aufgabe gerecht zu werden, hat unsere Behörde die Service- stelle Europaangelegenheiten eingerichtet. 40

1 5 Die Servicestelle Europaangelegenheiten Eingehende Beschwerden – aber auch alle Fälle, die wir von Amts wegen auf- greifen sowie von Unternehmen gemeldete Datenpannen – werden zunächst daraufhin geprüft, ob die beanstandete Verarbeitung personenbezogener Daten eine grenzüberschreitende Datenverarbeitung betrifft.21 Dies ist vor allem dann der Fall, wenn die oder der Verantwortliche in mehr als einem Mitgliedsstaat der EU niedergelassen ist und die Verarbeitung in mehreren dieser Niederlassungen erfolgt. Selbst in Fällen nur einer einzigen Niederlassung in der EU kann jedoch ebenfalls eine grenzüberschreitende Verarbeitung vorliegen, wenn die Verarbei- tung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mit- gliedsstaat hat oder haben kann. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit erhält dement- sprechend nicht nur Beschwerden gegen Berliner Unternehmen und Behörden, sondern auch Beschwerden, die Unternehmen mit Hauptsitz in anderen EU-Mit- gliedsstaaten betreffen. Nach dem sog. One-Stop-Shop-Prinzip ist bei einer grenzüberschreitenden Datenverarbeitung die Aufsichtsbehörde am Hauptsitz des Unternehmens als federführende Aufsichtsbehörde die alleinige Ansprech- partnerin für die Verantwortlichen. Die DS-GVO sieht vor, dass zwischen den europäischen Aufsichtsbehörden ein Ko- operationsverfahren durchgeführt wird und beabsichtigte Maßnahmen zwischen diesen abzustimmen sind.22 Aus diesem Grund erfolgt bei grenzüberschreitenden Fällen eine Prüfung, ob in die Fallbearbeitung neben der federführenden Auf- sichtsbehörde auch andere betroffene Aufsichtsbehörden einzubeziehen sind. Die Abstimmung bei derartigen Sachverhalten erfolgt über das mit Inkrafttreten der DS-GVO eingerichtete elektronische Binnenmarkt-Informationssystem (IMI). Über IMI findet die komplette Kommunikation zwischen allen europäischen Auf- sichtsbehörden statt. Eingehende Beschwerden mit grenzüberschreitendem Be- zug meldet unsere Servicestelle Europaangelegenheiten in einem ersten Schritt im IMI zur Bestimmung der federführenden und der betroffenen Aufsichtsbehör- den ein.23 Hierfür eröffnet sie einen neuen Vorgang im System, fasst den Inhalt 21   Art 4 Nr 23 DS-GVO 22   Art 56, 60 ff DS-GVO 23   Art 56 DS-GVO 41

Kapitel 1   Schwerpunkte der Beschwerde zusammen und nennt die mutmaßlich federführende sowie die mutmaßlich betroffenen Aufsichtsbehörden. Daraufhin haben die verschiedenen Behörden einen Monat Zeit, um den Vorgang zu überprüfen und sich als betroffene bzw. federführende Behörde zu melden. Auch wenn von einer Federführung der Berliner Beauftragten für Datenschutz und Informationsfreiheit auszugehen ist, meldet die Servicestelle die Beschwerde im IMI ein, um andere betroffene Behör- den zu informieren. Die Feststellung der federführenden Aufsichtsbehörde verläuft allerdings nicht in allen Fällen problemlos. In einem Fall beschwerte sich eine Beschwerdeführerin z.B. über ein Unternehmen, welches seine Dienstleistungen an deutschsprachige Kunden richtet, aber gemäß Datenschutzerklärung den Hauptsitz in einem ande- ren Mitgliedsstaat hat. Die Aufsichtsbehörde dieses Mitgliedsstaates teilte jedoch mit, dass das Unternehmen dort nicht registriert und auch kein Standort zu ermit- teln sei. Nachdem unsere Behörde die Zweigniederlassung in Berlin kontaktiert hatte, setzte uns diese in Kenntnis, dass die Zweigniederlassung zwischenzeitlich aufgegeben worden sei und sich die Hauptniederlassung in einem weiteren Mit- gliedsstaat befinde. Wenn in dem beschriebenen Verfahren bestätigt wird, dass die Federführung bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit liegt, bear- beiten wir die Beschwerde weiter und kontaktieren die oder den Verantwortlichen. Für den Fall, dass die Federführung bei einer anderen europäischen Aufsichtsbe- hörde liegt, übermittelt die Servicestelle Europaangelegenheiten die Beschwerde zur Bearbeitung an die betreffende Behörde. Hierzu muss die Beschwerde ins Englische übersetzt werden, da die Kommunikation zwischen den verschiedenen Aufsichtsbehörden auf Englisch stattfindet. Die federführende Aufsichtsbehörde übernimmt die weitere Ermittlung des Sach- verhalts und entwirft nach Abschluss der Prüfung einen Beschluss, den sie allen betroffenen Aufsichtsbehörden mitteilt. Diese haben dann vier Wochen Zeit, um den Entwurf zu prüfen. Innerhalb dieser Frist können sie Einspruch gegen den Entwurf einlegen.24 So wird sichergestellt, dass ein Konsens zwischen den euro- 24   Art 60 Abs 4 DS-GVO 42

1 5 Die Servicestelle Europaangelegenheiten päischen Aufsichtsbehörden über die rechtliche Bewertung des jeweiligen Falls besteht. Im IMI wurden 2019 rund 822 Fälle zur Bestimmung der federführenden und der betroffenen Aufsichtsbehörden gemeldet. Sämtliche Fälle wurden in der Service- stelle Europaangelegenheiten auf eine mögliche Betroffenheit bzw. Federführung der Berliner Beauftragten für Datenschutz und Informationsfreiheit geprüft. In über 390 Fällen, also knapp der Hälfte der Fälle, wurde eine Betroffenheit unserer Behörde festgestellt, sodass wir uns inhaltlich mit den jeweiligen Sachverhalten befassen mussten. Unsere Behörde bearbeitet aktuell 35 Beschwerden, die uns von anderen Auf- sichtsbehörden zur federführenden Bearbeitung übermittelt wurden. Zudem haben wir unsererseits bereits eine Vielzahl von Beschwerden von Betroffenen erhalten, die wir zur weiteren Bearbeitung an andere Aufsichtsbehörden übermit- teln mussten, weil die Federführung nicht bei uns lag. Auch in diesen Fällen blei- ben wir jedoch Ansprechpartnerin für die Beschwerdeführerinnen und Beschwer- deführer und informieren diese regelmäßig über den Stand der Bearbeitung. Die Anzahl der im IMI gemeldeten Beschwerden, Amtsermittlungsverfahren und Datenpannen ist stetig gestiegen. Allerdings fällt auf, dass die Aufsichtsbehörden in der Zwischenzeit für viele Unternehmen bereits abschließend geprüft haben, wer federführende Aufsichtsbehörde ist, sodass viele eingehende Beschwerden direkt übermittelt werden können und die Verfahren sich dadurch bereits be- schleunigen. Dies führt auch zu einer Zunahme von Beschlussentwürfen, die zur Abstimmung zwischen den europäischen Aufsichtsbehörden im IMI veröffentlicht werden. Unsere Behörde hat bereits in mehreren Fällen Einsprüche gegen Beschlussent- würfe anderer Aufsichtsbehörden eingelegt, sodass diese von der federführen- den Behörde erneut überarbeitet werden mussten. Dies betraf z.B. einen Fall, in dem die federführende Aufsichtsbehörde inhaltlich überhaupt nicht auf einen in der Beschwerde gerügten Datenschutzverstoß eingegangen war. Sie plante trotz eines klar vorliegenden Datenschutzverstoßes darüber hinaus, das Verfah- ren einzustellen. Mithilfe des Einspruchs will unsere Behörde in diesem noch nicht abgeschlossenen Fall erreichen, dass der Datenschutzverstoß festgestellt 43

Kapitel 1   Schwerpunkte und entsprechende aufsichtsrechtliche Maßnahmen durch die federführende Auf- sichtsbehörde getroffen werden. Dass gegen Beschlussentwürfe in Fällen mit grenzüberschreitendem Bezug mit- hilfe von Einsprüchen vorgegangen werden kann, sieht das Kooperationsverfah- ren zwischen den Aufsichtsbehörden ausdrücklich vor. Auf diese Weise können die Entscheidungen der Behörden gegenseitig überprüft werden, bis eine Eini- gung erzielt wird oder ein Streitverfahren zwischen den Aufsichtsbehörden vor dem EDSA landet, der mit Inkrafttreten der DS-GVO eingerichtet wurde, um auf Arbeitsebene nicht lösbare Fälle abschließend und verbindlich für alle EU-Auf- sichtsbehörden zu entscheiden. Ein besonderes Problem verursacht die Anwendung von unterschiedlichen nati- onalen Verfahrensvorschriften. In einigen Mitgliedsstaaten25 ist bspw. eine sog. gütliche Einigung als verfahrensbeendende Maßnahme vorgesehen. Durch diese Maßnahme werden zahlreiche Beschwerden von einigen Aufsichtsbehörden zwi- schen dem verantwortlichen Unternehmen und der Beschwerdeführerin bzw. dem Beschwerdeführer beigelegt. Die Beschwerde gilt dann als zurückgezogen und der Datenschutzverstoß wird weder festgestellt noch einer aufsichtsrechtli- chen Maßnahme unterworfen.26 In der DS-GVO ist eine gütliche Einigung als ver- fahrensbeendende Maßnahme allerdings nicht vorgesehen, mit Ausnahme der Nennung in einem Erwägungsgrund, der jedoch nur für einen spezifischen einge- schränkten Anwendungsbereich gilt.27 Dies führte zu Konflikten zwischen den be- teiligten Aufsichtsbehörden. Nach unserer Auffassung ist die Anwendung von güt- lichen Einigungen als verfahrensbeendende Maßnahme äußerst problematisch. Denn mit der gütlichen Einigung könnte das in der DS-GVO vorgesehene Abstim- mungsverfahren zwischen den Aufsichtsbehörden umgangen werden, wenn die Beschwerdeführerin oder der Beschwerdeführer auf die Geltendmachung von Be- troffenenrechten verzichtet und der Datenschutzverstoß nicht sanktioniert wird. Die Anwendung eines solchen nationalen rechtlichen Instrumentariums kann 25   So in Österreich, Belgien, Tschechien, Finnland, Griechenland, Ungarn, Irland, Italien, Litauen, Lettland, Niederlande, Polen, Schweden, Slowakei, Großbritannien, Estland In Deutschland ist eine gütliche Einigung im Datenschutzrecht nicht geregelt 26   Art 58 Abs 2 DS-GVO 27   EG 131 DS-GVO 44

1 5 Die Servicestelle Europaangelegenheiten europarechtlich nicht gewollt sein, weil dadurch die angestrebte europäische Ei- nigung im Bereich des Datenschutzes behindert wird. Wie bereits erwähnt, entscheidet der EDSA in Fällen, in denen sich die Aufsichts- behörden nicht über die Federführung oder über die rechtliche Bewertung eines Sachverhalts einigen. Das in der DS-GVO für solche Fälle vorgesehene sog. Kohä- renzverfahren28 soll für ein einheitliches Datenschutzniveau in den Mitgliedsstaa- ten sorgen. Bei Streitfällen zwischen den Aufsichtsbehörden erlässt der EDSA ei- nen verbindlichen Beschluss zur Klärung der Streitfrage in Fällen, in denen die betroffene Aufsichtsbehörde einen Einspruch gegen einen Beschlussentwurf der federführenden Aufsichtsbehörde eingelegt hat.29 Einem Beispiel aus unserer Fallpraxis liegt eine Beschwerde zugrunde, die in unserer Behörde eingegangen ist und von der Aufsichtsbehörde eines anderen Mitgliedsstaates als federführende Behörde bearbeitet wurde. Der Beschwerde- führer rügt eine fehlerhafte Datenschutzerklärung auf der Webseite eines Mö- belunternehmens. Außerdem beschwert sich der Betroffene über einen unzu- lässigen Einsatz von Cookies auf der Webseite des Unternehmens. Im Rahmen des Kooperationsverfahrens hat die federführende Aufsichtsbehörde den ande- ren betroffenen Aufsichtsbehörden zunächst einen Beschlussentwurf zur Ab- stimmung vorgelegt.30 Darin stellte die federführende Aufsichtsbehörde keinen Datenschutzverstoß fest, sondern kündigte die Einstellung des Verfahrens an. Da nach unserer Einschätzung jedoch mehrere Datenschutzverstöße vorlagen, haben wir Einspruch gegen diese Entscheidung eingelegt. Wir haben vorgetragen, dass das Unternehmen z.B. gegen Transparenzvorschriften verstoßen hat. Außerdem wurden Nutzende in der Datenschutzerklärung nur generell über den Einsatz von Cookies informiert, aber weder in Bezug auf den Einsatz und die Nutzung von Analysediensten noch in Bezug auf die Einbindung von Drittanbietern (Facebook, Twitter, Criteo). Da auch der überarbeitete Beschlussentwurf der federführenden Aufsichtsbehörde diese Mängel nicht beseitigte, muss nun der EDSA im Kohä- renzverfahren über den Fall entscheiden, falls die federführende Aufsichtsbe- hörde nicht doch noch nachbessert. 28  Art 63 DS-GVO 29  Art 65 Abs 1 lit a DS-GVO 30  Siehe Art 60 Abs 3 S 2 DS-GVO 45

Kapitel 1 Schwerpunkte Das europäische Kooperationsverfahren ist im Jahr nach Wirksamwerden der DS-GVO mit Leben gefüllt worden. Unsere Behörde arbeitet in einer Vielzahl von Fällen mit anderen Aufsichtsbehörden zusammen. Konflikte zwischen den Aufsichtsbehörden sind bislang eher selten und werden in der Regel einver- nehmlich gelöst, sodass der EDSA noch keine Entscheidung treffen musste. Eine solche könnte aber bald bevorstehen. 46

2 1 Berliner Verwaltung auf Erfolgskurs? 2 Digitale Verwaltung und Justiz 2.1      Berliner Verwaltung auf Erfolgskurs? Online-Portale werden zum virtuellen Eingang ins Rathaus. Mit wenigen Klicks Aus der Praxis sollen Bürgerinnen, Bürger und Unternehmen ihre Anliegen und Ansprüche digi- tal geltend machen und vollständig elektronisch abwickeln können. Aktueller Stand der Digitalisierung Das im August 2017 vom Bundesgesetzgeber erlassene Onlinezugangsgesetz (OZG) gibt vor, dass bis Ende 2020 Verwaltungsleistungen für Bürgerinnen, Bürger und Unternehmen online zur Verfügung stehen müssen, wobei herkömmliche Zu- gangswege, z. B. postalisch oder über ein Bürgeramt, weiterhin offenstehen sol- len. Mit der Einrichtung eines Portalverbundes sollen alle Verwaltungsportale von Bund, Ländern und Kommunen miteinander vernetzt werden. Von jedem Standort aus soll es künftig möglich sein, jeden Online-Dienst in Anspruch zu nehmen. Die Koordination der Umsetzung des OZG erfolgt gemeinsam durch das Bundes- ministerium des Innern, für Bau und Heimat (BMI) und die Föderale IT-Koopera- tion (FITKO), die die Zusammenarbeit zwischen Bund, Ländern und Kommunen koordiniert. Der Bund und die Länder haben unter Einbeziehung der Kommunen 575 zu digitalisierende Verwaltungsdienstleistungen identifiziert, die in 14 ver- schiedene Themenfelder zusammengefasst wurden. Jedes Themenfeld soll nun federführend in jeweils einem Tandem aus Vertreterinnen und Vertretern des fachlich zuständigen Landesministeriums und des fachlich zuständigen Bundes- ressorts bearbeitet werden, unterstützt von Vertreterinnen und Vertretern anderer interessierter Bundesländer. Die Vorbereitung der Digitalisierung der konkreten Verwaltungsdienstleistungen für die einzelnen Themenfelder erfolgt behörden- übergreifend gemeinsam durch die Fachleute aus Bund und Ländern in diesen Tandem-Gruppen. Die entwickelten Lösungen können dann von allen Bundeslän- dern übernommen werden. 47

Kapitel 2   Digitale Verwaltung und Justiz Das Land Berlin ist zusammen mit dem BMI federführend für das Themenfeld „Querschnitt“ zuständig. Dabei geht es um Verwaltungsdienstleistungen, die in mehreren Themenkomplexen Anwendung finden; dazu zählen z.B. digitale Nach- weise, wie etwa die Vorlage einer Geburtsurkunde. Sollte im Rahmen der Erbrin- gung einer elektronischen Verwaltungsdienstleistung also z.B. die Vorlage einer Geburtsurkunde notwendig sein, so könnte dies auf verschiedenen Wegen reali- siert werden. Um Medienbrüche zu vermeiden, wäre es denkbar, dass die Daten der Geburtsurkunde mit Einwilligung der Nutzenden direkt beim jeweiligen Ge- burtenregister abgefragt werden. Auch ein Hochladen einer eingescannten Ge- burtsurkunde durch die Nutzenden in ein Verwaltungsportal erscheint möglich. Sollte dies jedoch nicht gewünscht sein, soll es auch weiterhin möglich bleiben, eine Kopie des Nachweises in Papierform einzureichen. Bei zunehmender Digitalisierung der Verwaltungsdienstleistungen sind erhöhte Anforderungen an die Transparenz des Verwaltungshandelns gegenüber den Nut- zenden zu stellen. Art. 5 der Datenschutz-Grundverordnung (DS-GVO) legt die wesentlichen Grundsätze für die Verarbeitung personenbezogener Daten fest. Personenbezogene Daten dürfen nur auf rechtmäßige Weise, nach Treu und Glau- ben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden . Besondere Bedeutung kommt hierbei dem sog. Datenschutzcockpit zu. 31 Mit dem Datenschutzcockpit soll den Bürgerinnen und Bürgern veranschaulicht werden, welche Daten von ihnen, im Rahmen der Erbringung einer elektronischen Verwaltungsdienstleistung, „von wo nach wo“ fließen. Die Anforderungen an ein Datenschutzcockpit werden derzeit in einem sog. Digitalisierungslabor unter Be- teiligung verschiedenster Akteure32 definiert. Wir sind daran beteiligt. Aktueller Stand der Landesgesetzgebung Im Rahmen der Umsetzung des Onlinezugangsgesetzes des Bundes (OZG) hat das Land Berlin landesrechtliche Regelungen für die Umsetzung der Verwaltungsdi- gitalisierung vorbereitet. In unserem letzten Jahresbericht haben wir darüber in- formiert, dass der Senator für Inneres und Sport einen Entwurf eines Gesetzes zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen der Berliner Ver- 31   Art 5 Abs 1 lit a DS-GVO 32   U a Bundesministerium des Inneren, für Bau und Heimat sowie verschiedene Fachver- waltungen, darunter die Senatsverwaltung für Inneres und Sport Berlin, der Bundesbe- auftragte für den Datenschutz und die Informationsfreiheit etc 48