DSK: Konzept zur Berechnung von DSGVO-Bussgeldern veröffentlicht

Die Bußgeldpraxis der deutschen Datenschutzbehörden war bislang moderat. Zwar sieht Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes eines Unternehmens vor – je nachdem, welcher Betrag höher ist. In Deutschland waren diese Summen bisher aber eher theoretischer Natur: Anders als in Frankreich oder Großbritannien hielten sich die deutschen Datenschutzbehörden mit der Verhängung besonders hoher Bußgelder zurück.

Das soll sich nun ändern. Die Datenschutzkonferenz (DSK), das Abstimmungsgremium der deutschen Datenschutzbehörden, hat nun ihr Konzept zur Bußgeldbemessung bei Verstößen gegen die DSGVO vom 14. Oktober 2019 veröffentlicht. „In einem modernen Unternehmenssanktionsrecht“ garantiere das vorgelegte Konzept „eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung“. Entwickelt wurde das Konzept vom Arbeitskreis Sanktionen der DSK und bereits im Juni von der Berliner Datenschutzbehörde vorgestellt und erläutert.

Einheitliches Bußgeldmodell

Der Anwendungsbereich des Bußgeldkonzepts umfasst Bußgeldzumessungen in Verfahren gegen Unternehmen bei DSGVO-Verstößen in Deutschland. Eine Bindungswirkung für grenzüberschreitende Fälle oder andere EU-Datenschutzbehörden ist (vorerst) nicht vorgesehen. Das Konzept findet damit insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit.

Anknüpfungspunkt für die Bemessung soll danach ausschließlich der Umsatz eines Unternehmens sein, auf dessen Grundlage ein sogenannter „Tagessatz“ ermittelt werde. Je nach Schwere des Verstoßes und der Art der Begehung soll dieser Tagessatz dann mit einem zu ermittelnden Faktor X multipliziert werden und unter Umständen noch nach Art. 83 Abs. 2 DSGVO weiter angepasst werden.

Damit soll ein deutschlandweiter Standard für den Umgang mit Datenschutzverstößen etabliert werden. Unternehmen sollen nachvollziehen können, nach welchen Kriterien sie sanktioniert werden. Auch europaweit gibt es Pläne zur Harmonisierung der Bußgeldpraxis, wie es auch Art. 70 Abs. 1 lit. k DSGVO durch die Ausarbeitung von Leitlinien fordert. Die DSK erklärte, dass das Konzept auch der entsprechenden Arbeitsgruppe im Europäischen Datenschutzausschuss (EDSA) vorgestellt wurde, wo derzeit verschiedene Modelle zur Sicherstellung einer einheitlichen europäischen Bußgeldpraxis der Datenschutzbehörden diskutiert werden.

Bis dahin wird das von der DSK erarbeitete Papier in Deutschland angewandt.

Komplexe Rechenaufgabe

Das Bußgeldkonzept sieht im Einzelnen eine Bußgeldzumessung in fünf Schritten vor:

1.Schritt

Zunächst wird das betroffene Unternehmen einer von vier Größenklasse zugeordnet. Die Größenklassen orientieren sich am gesamten weltweit erzielten Vorjahresumsatz, den betroffene Unternehmen in einer vorherigen Anhörung mitteilen müssen. Machen sie keine Angaben, können die Behörden den Umsatz auch schätzen:

  • Kleinstunternehmen: Jahresumsatz bis 2 Mio. Euro
  • Kleine Unternehmen: Jahresumsatz über 2 bis 10 Mio. Euro
  • Mittlere Unternehmen: Jahresumsatz über 10 bis 50 Mio. Euro
  • Große Unternehmen: Jahresumsatz über 50 Mio. Euro

Innerhalb der vier Klassen werden die Kleinst- und Kleinunternehmen nochmal in jeweils drei Untergruppen und die mittleren und großen Unternehmen in jeweils sieben Untergruppen unterteilt.

Für ihre Berechnung legt die DSK den aus dem Kartellrecht entlehnten weiten, funktionalen Unternehmensbegriff zugrunde und verweist dabei auf Erwägungsgrund 150 zur DSGVO, wonach der nach Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) gelte. Damit soll bei Konzernen der Umsatz der gesamten Gruppe maßgebend sein.

2.Schritt

Im zweiten Schritt soll der durchschnittliche Jahresumsatz der jeweiligen Unternehmensgruppe bestimmt werden, der sich pauschal an der jeweiligen Einordnung des Unternehmens in die zuvor genannten Untergruppen orientiert. Auf Großunternehmen in der vierten Gruppe mit einem jährlichen Umsatz von über 500 Mio. € findet der prozentuale Bußgeldrahmen von 2 bzw. 4 Prozent des jährlichen Umsatzes als Höchstgrenze Anwendung: Hier wird der durchschnittliche Jahresumsatz also konkret berechnet.

3.Schritt

Anschließend wird ein wirtschaftlicher Grundwert ermittelt. Dafür wird der zuvor gebildete mittlere Jahresumsatz durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Mit Ausnahme von großen Unternehmen, deren Jahresumsatz die 500 Mio. Euro Marke übersteigt, wird der Tagessatz also nicht konkret, sondern pauschal anhand der vorher bestimmten Eingruppierung des Unternehmens bestimmt.

4.Schritt

Dieser Tagessatz wird anschließend mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert. Der Schweregrad der Tat ist auch wieder in vier Kategorien – leicht, mittel, schwer oder sehr schwer - unterteilt. Im Hinblick auf die unterschiedlichen Bußgeldrahmen sind dabei für formelle (Art. 83 Abs. 4 DS-GVO) und materielle (Art. 83 Abs. 5, 6 DS-GVO) Verstöße unterschiedliche Faktoren vorgesehen, wobei die materiellen Verstöße naturgemäß schwerer wiegen.

5.Schritt

Dieser abschließend unter 4. ermittelte Wert kann dann noch anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst werden. Hierzu zählen insbesondere sämtliche Umstände des Art. 83 Abs. 2 DSGVO sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens. Auch soll im letzten Schritt sichergestellt werden, dass das verhängte Bußgeld die in Art. 83 Abs. 4 bis Abs. 6 DSGVO genannten Höchstbeträge von 2 oder 4 Prozent des Umsatzes beziehungsweise von 10 Mio. oder 20 Mio. Euro nicht überschreitet.

Beispiele

Ein Krankenhausbetreiber mit einem Vorjahresumsatz von 1,3 Mio. Euro fiele damit unter die Gruppe A der Kleinstunternehmen mit einem Jahresumsatz bis 2 Mio. Euro und innerhalb der Gruppe A in die Untergruppe A.II für Unternehmen mit einem Jahresumsatz über 700.000 bis 1,4 Mio. Euro. Der mittlere Jahresumsatz des Betreibers würde dann 1.050.000 Euro betragen, der Tagessatz 2.917 Euro. Geraten nun wegen nicht ausreichender technischer und organisatorischer Maßnahmen sensible Patientendaten ins Netz, würde dies einen zwar formellen (vgl. Art. 83 Abs. 4 DSGVO), aber wohl sehr schweren Verstoß darstellen, der daher mindestens mit dem Faktor 6 beziffert werden würde. Außerdem kämen möglicherweise erschwerende Umstände hinzu, etwa, weil die Daten über einen langen Zeitraum unentdeckt im Netz standen und es sich um besonders sensible Daten handelt, sodass sich der Faktor nochmal erhöhen würde. Ginge man dann von einem Faktor von 10 aus, würde die zuständige Datenschutzbehörde gegen den Krankenhausbetreiber ein Bußgeld in Höhe von 22.917 Euro verhängen – angesichts der Schwere des Verstoßes und den Folgen für die betroffenen Personen eine eher geringe Summe.

Ganz anders sähe es beispielsweise für ein Maschinenbauunternehmen mit einem Vorjahresumsatz von 300 Mio. Euro aus, dass E-Mail-Adressen zu Werbezwecken verwendet. Als Großunternehmen der Gruppe D mit einem Jahresumsatz über 50 Mio. Euro fiele dieses Unternehmen in die Untergruppe D.IV (Jahresumsatz über 200 Mio. bis 300 Mio. Euro), was einen mittleren Jahresumsatz von 250 Mio. Euro ergäbe und damit einen Tagessatz von 694.444 Euro. Hier läge zudem ein materieller Verstoß gegen die Grundsätze der Verarbeitung vor – das Unternehmen hätte vorher Einwilligungen für den Versand der Werbemails einholen müssen – wenn auch ein leichter. Ginge die Behörde somit von einem Faktor 4 aus, ohne zusätzliche Erschwerungsgründe anzunehmen, erhielte das Maschinenbauunternehmen einen Bußgeldbescheid in Höhe von ca.  2.7 Mio. Euro.

Höhere Bußgelder zu erwarten

Das Bußgeldkonzept der DSK hat es also in sich. Die DSK orientiert sich explizit an den Bußgeldleitlinien des Bundeskartellamtes, die 2013 reformiert wurden und sich ebenfalls maßgeblich an dem Unternehmensumsatz orientiert.

Sicher ist, dass die Anwendung des Konzepts in Zukunft zu höheren Bußgeldern für die in Deutschland ansässigen Unternehmen führen wird. Bußgelder in Millionenhöhe werden wohl auch hier kommen. Gerade für Unternehmen mit hohen Umsätzen steigt damit das Bußgeldrisiko gewaltig.

Verhältnismäßigkeit?

Dabei ist fraglich, ob die zu erwartenden Bußgelder noch angemessen und verhältnismäßig sind, wie es Art. 83 Abs. 1 DSGVO vorsieht. Denn das Konzept orientiert sich in erster Linie am Umsatz der Unternehmen. Tat- und schuldangemessene Faktoren, deren Einbeziehung für die Verhältnismäßigkeit essentiell sind, werden, wenn überhaupt nur zur Korrektur des einmal errechneten Bußgelds herangezogen. Das bedeutet, dass große Unternehmen auch bei minimalen Verstößen mitunter hohe Bußgelder zahlen müssen, weil der für sie ermittelte wirtschaftliche Grundwert und damit der errechnete Tagessatz bereits so hoch sind. Unklar ist auch, wie mit Unternehmen umgegangen wird, die gar keinen Vorjahresumsatz aufweisen oder rote Zahlen schreiben.

Für Unternehmen wird der Datenschutz damit noch wichtiger. Über kurz oder lang werden überhöhte Bußgelder bei den Gerichten landen, die sich dann mit dem DSK-Bußgeldkonzept beschäftigen müssen – und es vielleicht anpassen müssen. Anwenden müssen sie es jedenfalls nicht:   Zu den Bußgeldleitlinien des Bundeskartellamtes wurde bereits entschieden, dass diese für Gerichte nicht bindend sind. Vielmehr ist es eigenständige Aufgabe der Gerichte zu entscheiden, wie sie den gesetzlichen Bußgeldrahmen der DSGVO ausschöpfen.

24. Oktober 2019