"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Newsletter

Einführung

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) veröffentlichte jüngst ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO). Das Berechnungsmodell gilt für Bußgelder in Verfahren der Aufsichtsbehörden gegen Unternehmen, nicht gegen Vereine oder natürliche Personen (außerhalb einer wirtschaftlichen Tätigkeit).

Perspektivisch soll die Bußgeldpraxis europaweit harmonisiert werden. Das Konzept der DSK wird daher seine Gültigkeit verlieren, sobald der Europäische Datenschutzausschuss (EDSA) Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat. Bis dahin bietet das vorgelegte Konzept die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden. Es ist gut denkbar, dass sich der EDSA bei seinen künftigen Leitlinien auch an den Überlegungen der deutschen Aufsichtsbehörden orientieren wird.

Inhalt des Bußgeldkonzepts

Die DSK hat sich dafür entschieden, den Umsatz von Unternehmen, konkret den weltweit erzielten Vorjahresumsatz, als Anknüpfungspunkt für die Berechnung von Geldbußen zu wählen. Läuft ein Sanktionsverfahren, wird der betroffene Verantwortliche aufgefordert, Angaben zu seinem Vorjahresumsatz zu machen. Wird der Aufforderung keine Folge geleistet, soll die zuständige Aufsichtsbehörde berechtigt sein, den Umsatz zu schätzen.

Die konkrete weitere Berechnung erfolgt dann allerdings – mit Ausnahme von Unternehmen mit einem Umsatz von mehr als 500 Mio. Euro – nicht auf Basis des tatsächlichen Umsatzes, sondern es erfolgt vielmehr eine Kategorisierung in sog. Größenklassen je nach Umsatz.

Die Aufsichtsbehörden haben konkret folgende fünf Schritte zur Bestimmung eines Bußgeldes festgelegt:

  • Zuordnung des betroffenen Unternehmens in eine Umsatzklasse
  • Bestimmung des mittleren Jahresumsatzes der jeweiligen Umsatzklasse
    Ermittlung eines Tagessatzes
  • Multiplikation des Tagessatzes mit einem von der Schwere der Tatumstände abhängigen Faktor
  • Anpassung des unter 4. ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände

Im Einzelnen erfolgen folgende Kategorisierungen und Rechnungen, wobei aus Gründen der besseren Verständlichkeit nicht alle Schritte gesondert dargestellt werden:

1. Umsatzbasierte Ermittlung eines Tagessatzes

Im Rahmen der ersten drei Schritte ermittelt die zuständige Behörde einen Tagessatz (= wirtschaftlicher Grundwert), auf dessen Basis die Geldbuße bemessen wird. Dafür wird das betroffene Unternehmen je nach weltweit erzieltem Vorjahresumsatz in eine Größenklasse eingeteilt. Die in dem Konzept verbindlich festgelegten Größenklassen unterscheiden zwischen Kleinstunternehmen (Jahresumsatz bis 2 Mio. Euro), kleinen Unternehmen (Jahresumsatz über 2 Mio. bis 10 Mio. Euro), mittleren Unternehmen (Jahresumsatz über 10 Mio. bis 50 Mio. Euro) und Großunternehmen (Jahresumsatz über 50 Mio. Euro). Innerhalb dieser vier Gruppen gibt es weitere Unterteilungen in bis zu sieben Untergruppen je nach Jahresumsatz (bei Großunternehmen bis zu 500 Mio. Euro).

Für jede Größenklasse hat die DSK in ihrem Modell wiederum den mittleren Jahresumsatz festgelegt, aus dem sich dividiert durch 360 (Tage) der Tagessatz für das verantwortliche Unternehmen errechnen lässt.

Bei der Angabe des Vorjahresumsatzes ist für Konzerne zu beachten, dass die Datenschutzbehörden von einem aus dem Kartellrecht entnommenen weiten, funktionalen Unternehmensbegriff ausgehen. Dies bedeutet, dass Konzerngesellschaften als wirtschaftliche Einheit angesehen werden und als Bemessungsgrundlage der Gesamtumsatz der ganzen Unternehmensgruppe anzugeben und in Ansatz zu bringen ist.

2. Multiplikation des Grundwertes nach Schweregrad der Tat

Der bußgeldbewehrte Verstoß wird in einem weiteren Schritt in einen Schweregrad (leicht bis sehr schwer) eingeteilt, dem wiederum Berechnungsfaktoren zugeordnet sind. Der für den Verstoß als passend erachtete Faktor wird mit dem gemäß Ziffer 1 ermittelten Tagessatz multipliziert.  
 
Das Modell sieht folgende Einteilung und Multiplikationsfaktoren vor:

Bei der Festlegung des Faktors bei sehr schweren Taten ist nach Angaben der DSK darauf zu achten, dass die allgemeine Obergrenze von 2 oder 4 Prozent des Jahresumsatzes nicht überschritten wird.

3. Anpassung und abschließende Beurteilung

Zuletzt hat die Behörde den gemäß Ziffer 2 errechneten Betrag anhand aller für und gegen das betroffene Unternehmen sprechenden Umstände anzupassen und abschließend zu bewerten. Hier können sich vor allem folgende Faktoren bußgelderhöhend oder -mindernd auswirken:

  • Art, Schwere und Dauer des Verstoßes (bußgelderhöhend z.B. unzulässige Verarbeitungsvorgänge zu Zwecken der Leistungs- und Verhaltenskontrolle von Mitarbeitern oder auch bei sehr langer Speicherdauer)
  • Verschulden des Unternehmens /Grad der Verantwortung (bußgelderhöhend: vorsätzliches Verhalten des Verantwortlichen)
  • Einleitung von Maßnahmen zur Schadensminderung
  • etwaige einschlägige frühere Verstöße
  • Zusammenarbeit mit der Aufsichtsbehörde (bußgeldmindernd wirkt eine offene Kommunikation)
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind (bußgelderhöhend wirkt die Betroffenheit besonders sensibler Daten, z.B. Gesundheitsdaten, Bankverbindungen, persönliche Verhältnisse)
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
  • Einhaltung bereits angeordneter Maßnahmen in gleicher Angelegenheit
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren gemäß DS-GVO
  • jegliche andere erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste, lange Verfahrensdauer, drohende Zahlungsunfähigkeit des Unternehmens.

In der abschließenden Bewertung muss das errechnete Bußgeld, so die DSK, verhältnismäßig und insgesamt tat- und schuldangemessen sein.

Bewertung und Konsequenzen

Die von den Aufsichtsbehörden entwickelte Berechnungsmethode ist komplex, bietet für Unternehmen aber Transparenz darüber, was sie im Falle der Verletzung von Vorgaben der DS-GVO zu erwarten haben. Zudem gewährleistet die Komplexität auch die gebotene Einzelfallgerechtigkeit, die bei Bemessungskonzepten anderer europäischer Aufsichtsbehörden bislang eher auf der Strecke geblieben ist. Insbesondere größere Unternehmen müssen sich angesichts der weitgehend linearen Berechnungsmethode im Fall eines Datenschutzverstoßes künftig auf deutlich höhere Bußgelder einstellen.

So hat Ende des vergangenen Jahres die Berliner Datenschutzbehörde bereits mit empfindlichen Geldbußen in teilweise zweistelliger Millionenhöhe für Aufmerksamkeit gesorgt. Es ist davon auszugehen, dass andere Aufsichtsbehörden nachziehen werden. In dem Berliner Fall der Immobiliengesellschaft Deutsche Wohnen war auf Basis eines Umsatzes von über 1 Milliarde Euro ein Bußgeldrahmen von 28 Mio. Euro ermittelt und schließlich unter Abwägung aller Umstände ein Bußgeld von 14,5 Mio. Euro verhängt worden. Für Aufsehen erregte die Sanktion unter Datenschützern vor allem auch deswegen, weil es nicht etwa um die aktive Nutzung oder Übermittlung von Daten beispielsweise zu Werbezwecken ging, sondern vielmehr „nur“ um die lange Speicherung von Daten, die für den ursprünglichen Zweck ihrer Erhebung nicht mehr benötigt wurden. Die Datenschutzbehörde störte sich explizit an dem wissentlich über Jahre gepflegten „Datenfriedhof“. Einen solchen werden vermutlich zahlreiche Gesellschaften bei sich hüten.  

Unternehmen sollten angesichts der jüngsten Entwicklungen noch einmal mehr dafür Sorge tragen, dass etwaig noch bestehende Lücken im Hinblick auf das Thema Datenschutz identifiziert und möglichst bald geschlossen werden. Da die Behörde im Falle eines Datenschutzverstoßes alle für und gegen das Unternehmen sprechenden Punkte bei der Sanktionszumessung beurteilt, dürfte es sich stets zugunsten eines Unternehmens auswirken, wenn es im Vorfeld alle ihm zumutbaren Vorsichtsmaßnahmen getroffen hat, um denkbare Verstöße zu vermeiden oder jedenfalls deren Eintrittswahrscheinlichkeit oder daraus entstehende Schäden zu mindern.

Gerne unterstützen wir Sie auch weiterhin bei Ihren datenschutzrechtlichen Fragen. Wir freuen uns auf die Zusammenarbeit mit Ihnen.


Sollten Sie bezüglich dieses Newsletters Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Verena Hechenblaikner, LL.M.
Dr. Katrin Stadler
Stephanie G. Hartung
Mona Baron

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.