Mit <kes>+ lesen

Bußgeldbemessung nach DSGVO

Seit Mitte Oktober 2019 liegt ein Konzept der unabhängigen Datenschutzbehörden des Bundes und der Länder zur Bußgeldzumessung in Deutschland nach Artikel 83 DSGVO vor.

Lesezeit 9 Min.

Mittlerweile mehren sich Medienberichte darüber, dass Unternehmen Bußgelder wegen Verstößen gegen die EU-Datenschutzgrundverordnung (DSGVO) auferlegt bekommen – die „Schonzeit“ scheint vorbei, die zuständigen Behörden machen immer mehr ihre Arbeit „zu Ende“. Doch welche Kriterien gibt es, um solche Bußgelder, die ja generell recht drastisch sein können, im Einzelfall der Höhe nach festzulegen?

Gesetzlicher Rahmen

Die Regelungen hierzu findet man in Artikel 83 DSGVO: Der besagt zunächst einmal, dass zu verhängende Geldbußen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein sollen. Dabei sind ausdrücklich Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens zu betrachten.

Darüber hinaus spielt es eine wichtige Rolle, ob ein Verstoß vorsätzlich oder fahrlässig begangen worden ist – und ob eventuell eine Aufsichtsbehörde schon vorab auf einen Verstoß hingewiesen und die angesprochene Organisation ein solches Schreiben womöglich ignoriert und unverändert weiter agiert hat. Selbstverständlich ist auch zu berücksichtigen, ob es bereits früher Verstöße gegen den Datenschutz gab und welche Maßnahmen die Verantwortlichen gegebenenfalls unternommen haben, um den jeweiligen Schaden zu begrenzen.

Die DSGVO sieht Geldbußen bis zu zehn Mio. e vor – für den Fall, dass ein Unternehmen agiert, können sogar bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs als maximale Geldbuße verhängt werden. Falls eine Aufsichtsbehörde eine Anweisung gibt und diese nicht befolgt wird, können sogar Geldbußen bis zu 20 Mio. e beziehungsweise bis zu 4 % des Jahresumsatzes verhängt werden (Art. 83 Abs. 6 DSGVO).

Ob eine Anknüpfung allein am Umsatz wirklich sachgerecht ist, darf man hinterfragen, denn letztlich muss eine wie auch immer berechnete Geldbuße immer vom Gewinn bezahlt werden – und da könnte eine reine Berechnung anhand der Umsatzzahlen zu ungerechten Ergebnissen führen, wenn etwa ein Unternehmen mit wenig Umsatz mehr Gewinne ausweist als ein anderes Unternehmen mit viel Umsatz und wenig Gewinn. So oder so setzt die Verordnung die möglichen Höchstsummen fest. Allerdings ist der Spielraum gewaltig – und deswegen ist zu fragen, wie dieser konkret durch gerechte Sanktionen und angemessene Bußgelder genutzt werden kann.

Zu diesem Zweck sieht Artikel 68 DSGVO vor, dass ein Ausschuss als Einrichtung der Europäischen Union mit eigener Rechtspersönlichkeit gebildet wird: der europäische Datenschutzausschuss (https://edpb.europa.eu). Er besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaates und dem europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. Die Aufgaben des europäischen Datenschutzausschusses sind laut DSGVO (Art. 70 Abs. 1 lit. k) unter anderem die Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58, Absätze 1, 2 und 3 DSGVO sowie die Festsetzung von Geldbußen gemäß Artikel 83 DSGVO.

Diese Aufgabe hat der europäische Datenschutzausschuss teilweise bereits in seiner ersten Plenarsitzung am 25. Mai 2018 erfüllt und Leitlinien für die einheitliche Auslegung der Bestimmungen von Artikel 83 DSGVO bestätigt, welche die Artikel-29-Datenschutzgruppe bereits im Oktober 2017 aufgestellt hatte (www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf) – und somit ein Konzept zu den Grundsätzen bei der Festsetzung von Geldbußen vorgelegt.

Ergebnis der Konferenz

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK, www.datenschutzkonferenz-online.de) hat am 14. Oktober 2019 auf dieser Basis ein eigenes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen aufgestellt (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf ). Da es sich um die Aufsichtsbehörden der Bundesrepublik Deutschland handelt, ist dieses Konzept nur für deutsche Unternehmen verbindlich und entfaltet aufgrund der Gewaltenteilung auch keine Bindung für die Festlegung von Geldbußen durch Gerichte.

Daraus folgt in der beratenden Praxis grundsätzlich, dass nach Verhängung einer Geldbuße durch eine Behörde genau zu prüfen ist, ob diese Geldbuße verhältnismäßig ist und entsprechende Erwägungen auch zugunsten des Verantwortlichen in die Entscheidung über die Höhe der Geldbuße eingeflossen sind. Dies kann man unter anderem durch Einsichtnahme in die behördliche Akte ersehen. Letztlich empfiehlt es sich oft, solche Vorgänge und die Höhe von Geldbußen durch ein Gericht überprüfen zu lassen, denn es gibt durchaus eine Chance, dass ein Gericht bei Abwägung aller Gesamtumstände, die bei der Begründung selbstverständlich ausführlich angegeben werden sollten, zu einer Herabsetzung der Geldbuße kommt.

Der Hauptanknüpfungspunkt für die Verhängung eines Bußgelds nach Artikel 83 DSGVO bleibt jedenfalls der Umsatz eines Unternehmens: Ausdrücklich hält die DSK fest, dass dies „eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstellt“.

Fünf Schritte zum Bußgeld

Um zu einem angemessenen Bußgeld zu kommen, sieht die Konferenz fünf Schritte vor: Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet, danach der mittlere Jahresumsatz der passenden Untergruppe dieser Größenklasse bestimmt und so ein wirtschaftlicher Grundwert ermittelt („Tagessatz“). Dieser Grundwert wird anschließend mit einem von der Schwere der Tatumstände abhängigen Faktor multipliziert und abschließend anhand tat- und täterbezogener sowie sonstiger noch nicht berücksichtigter Umstände angepasst (z. B. Ursachen und Folgen für Betroffene).

Man gelangt so zu einem Wert, der – ähnlich wie bei einer Geldstrafe im Strafrecht – nicht nur den Faktor berücksichtigt, wie stark eine Tat geahndet werden muss, sondern auch, wie leistungsfähig der Täter individuell ist: Denn eine Geldstrafe trifft einen mittellosen Täter wesentlich härter als einen reichen Täter – und so soll es auch bei einem Verstoß gegen datenschutzrechtliche Vorschriften sein.

Größenklasse

Für die Einstufung in einer Größenklasse wird der gesamte weltweit erzielte Vorjahresumsatz eines Unternehmens berücksichtigt. Als Kleinstunternehmen gelten Unternehmen, die einen Jahresumsatz bis zu 2 Mio. € erwirtschaftet haben – wobei es hier drei Untergruppen gibt: mit einem Jahresumsatz bis zu 700.000 €, von 700.000 € bis 1,4 Mio. € und mit einem Jahresumsatz von 1,4 Mio. € bis 2 Mio. €.

Kleinunternehmen haben einen Jahresumsatz zwischen 2 und 10 Mio. € und unterteilen sich wiederum in Unterklassen von 2 Mio. € bis 5 Mio. €, 5 Mio. € bis 7,5 Mio. € und 7,5 Mio. € bis 10 Mio. €.

Als sogenanntes mittleres Unternehmen werden solche bezeichnet, die einen Jahresumsatz von über 10 Mio. € bis zu 50 Mio. € vorweisen. Auch hier gibt es wieder eine entsprechende interne Staffelung; allerdings sind es nicht drei, sondern sieben Unterkategorien (bis 12,5 Mio. €, 15 Mio. €, 20 Mio. €, 25 Mio. €, 30 Mio. €, 40 Mio. € und 50 Mio. €).

Ähnliches gilt für sogenannte Großunternehmen ab 50 Mio. €, die ebenfalls in sieben Unterkategorien eingeteilt werden: bis 75 Mio. €, danach in Hunderterschritten bis zu 500 Mio. € und als letzte Kategorie Unternehmen mit mehr als einer halben Milliarde Umsatz.

Im zweiten Schritt wird der mittlere Jahresumsatz der jeweiligen Untergruppe ermittelt, was nichts anderes bedeutet, als die jeweilige Umsatzspanne zu halbieren. So setzen die Behörden beispielsweise bei einem Jahresumsatz von bis zu 700.000 € einen mittleren Umsatz von 350.000 € und bei einem Umsatz zwischen 1,4 und 2 Mio. € einen mittleren Umsatz von 1,7 Mio. € an.

Um einen Grundwert zu ermitteln, wird der mittlere Umsatz für die jeweilige Untergruppe durch 360 Tage geteilt, sodass man beispielsweise bei der ersten Gruppe auf einen Tagessatz von 972 € und bei einem mittleren Jahresumsatz von 45 Mio. € auf einen Tagessatz von 125.000 € kommt.

Abwägung am Einzelfall

So hat man nun den Grundwert ermittelt, der unabhängig von der konkret vorliegenden Tat, ihren Ursachen und der Schwere der Schuld sowie unabhängig von den Folgen der Tat ist – er richtet sich einzig und allein nach dem finanziellen Potenzial des Unternehmens. In einem vierten Schritt muss daher eine Einordnung des Verstoßes vorgenommen werden: in leicht, mittel, schwer und sehr schwer. Gemäß der Regelung des Artikel 83 DSGVO wird außerdem unterschieden, ob ein Verstoß formeller (vgl. Art. 83 Abs. 4 DSGVO) oder materieller Natur ist (gem. Art. 83 Abs. 5 und 6 DSGVO). Hierfür gibt das Bußgeldkonzept der DSK jeweils Spannweiten für Faktoren zum Tagessatz vor, die in Tabelle 1 zusammengefasst sind.

Tabelle 1: Mögliche Faktoren für den Tagessatz je nach Kategorie und Schwere eines Datenschutzverstoßes
Tabelle 1: Mögliche Faktoren für den Tagessatz je nach Kategorie und Schwere eines Datenschutzverstoßes

Innerhalb der beiden letzten Schritte ist von der Behörde selbstverständlich auch jeder individuelle Aspekt zu betrachten, etwa die Umstände des konkreten Verstoßes, die Dauer des Verfahrens sowie die tatsächlichen finanziellen Möglichkeiten des Unternehmens. Werden diese Erwägungsumstände nicht berücksichtigt, so dürfte allein aus diesem Grunde ein entsprechender Bußgeldbescheid rechtlich angreifbar sein, denn die DSGVO selbst sieht hierfür einen Kriterienkatalog vor (Art. 83 Abs. 2 DSGVO). Das Gesetz schreibt vor, diese Abwägungen in jedem Einzelfall vorzunehmen, was vielleicht eine lästige Aufgabe für die betroffene Behörde sein mag, aber ansonsten zu einem nicht rechtmäßigen Bescheid führen würde.

Artikel 83 DSGVO fordert ausdrücklich, dass folgende Kriterien in die Entscheidung einfließen müssen:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens.
  • Wurde der Verstoß vorsätzlich oder fahrlässig begangen?
  • Relevant sind auch Maßnahmen, die ein Verantwortlicher zur Minderung des Schadens unternommen hat, und sein Grad der Verantwortung unter Berücksichtigung technischer und organisatorischer Maßnahmen.
  • Ähnlich wie im Strafrecht fließt auch die Frage ein, ob der Verantwortliche bereits frühere Verstöße begangen hat.
  • Die Zusammenarbeit mit der Behörde ist ebenfalls zu berücksichtigen.
  • Letztlich spielt auch die Kategorie der personenbezogenen Daten eine Rolle, die von einem Verstoß betroffen sind – und wie der Verstoß der Aufsichtsbehörde bekannt geworden ist, speziell ob etwa der Verantwortliche den Verstoß selbst gemeldet hat.
  • Nicht zuletzt ist zu prüfen, inwiefern der Verantwortliche eventuell früher verhängte Maßnahmen eingehalten hat und ob er genehmigte Verhaltensregeln und Zertifizierungsverfahren eingehalten hat, wie sie die Verordnung in Artikel 40 und 42 vorsieht.
  • Abschließend ist die Höhe des Bußgelds jeweils aufgrund eventueller mildernder Umstände, erlangten finanziellen Vorteilen oder vermiedenen Verlusten zu korrigieren.

Fazit

Im Ergebnis liefert das DSK-Konzept einen konkreteren Rahmen für eine Geldbuße, welche die zuständige Behörde natürlich noch im Ganzen auf Sachgerechtigkeit hin überprüfen kann. Sicherlich wird ein Bußgeld zudem, den Gepflogenheiten deutscher Behörden folgend, beim ersten Verstoß nicht so hoch ausfallen wie bei wiederholten Verstößen.

Sollte man als Unternehmen einen Bescheid mit Geldbuße erhalten, kann man diesen natürlich dem Grunde oder auch nur der Höhe nach infrage stellen und die Angelegenheit zunächst im Widerspruchsverfahren angreifen und, wenn dies ohne Erfolg bleibt, einer gerichtlichen Überprüfung unterziehen lassen.

Auf jeden Fall liefert das neue Bußgeldkonzept wieder einmal einen guten Grund, die datenschutzrelevanten Bereiche im Unternehmen auf Einhaltung der geltenden Vorschriften hin zu überprüfen und getroffene oder geplante Maßnahmen im Sinne des Risikomanagements hinsichtlich des konkretisierten Bußgeldrahmens zu bewerten.

Die kes-Rubrik „Recht“
Die kes-Rubrik „Recht“

Diesen Beitrag teilen: