Welche Bußgelder drohen Unternehmen bei Datenschutzverstößen?

Das Konzept der DSK zur Bußgeldzumessung bei Datenschutzverstößen

Bislang war größtenteils unklar, mit welcher Strafhöhe bei Bußgeldern wegen Datenschutzverstößen zu rechnen ist. Vor wenigen Tagen veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen.

Ziel des Konzepts

Allgemein bekannt ist, dass bei Verstößen gegen die DSGVO bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden kann, bei schwereren Verstößen droht sogar das Doppelte. Weniger bekannt war bislang jedoch, wie dies im konkreten Einzelfall aussehen könnte. Das Konzept zur Bußgeldzumessung soll dies ändern und eine einheitliche und konkrete Berechnungsgrundlage liefern.

Außerdem soll das Konzept ganz offensichtlich generalpräventiv auf Unternehmen einwirken. Das Konzept soll klarstellen, dass mit hohen Bußgeldern zu rechnen ist, sollten etwaige Vorgaben der Europäischen Datenschutzgrundverordnung nicht eingehalten werden und dafür sorgen, dass Datenschutz weitreichend Beachtung findet.

Das Konzept betrifft Bußgeldverfahren gegen Unternehmen, richtet sich jedoch nur an die deutschen Aufsichtsbehörden und entfaltet keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte, da das Konzept lediglich ein Modell und kein Gesetz darstellt. Zudem kann das Konzept jederzeit wieder aufgehoben, geändert oder erweitert werden.

Das Konzept stellt folglich eine Übergangslösung bis zum endgültigen Erlass der Leitlinien zur Methodik der Festsetzung von Geldbußen durch den Europäische Datenschutzausschuss dar.

Wie sieht das Berechnungskonzept konkret aus?

Das Bußgeldkonzept sieht ein Fünf-Stufen-Verfahren zur Errechnung des konkreten Bußgeldes vor.

Schritt 1: Das Unternehmen wird einer von vier Größenklassen zugeordnet.
Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO), wobei sich die konkrete Einordnung an der Empfehlung der EU-Kommission orientiert (2003/361/EG):
Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen EUR Jahresumsatz
Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen EUR
Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen EUR
Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen EUR
Zur konkreteren Einordnung werden die Größenklassen erneut in Untergruppen (von A.I bis A.III, B.I bis B.III, C.I bis C.III, D. I bis D. III) unterteilt.

Schritt 2: Der mittlere Jahresumsatz wird bestimmt.
Dann wird der mittlere Jahresumsatz der Untergruppe, in welche das Unternehmen eingeordnet wurde, bestimmt.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt.
Für die Festsetzung des wirtschaftlichen Grundwertes – die Basis für die weitere Festlegung des Bußgeldes - wird der mittlere Jahresumsatz der Untergruppe, in welche das Unternehmen eingeordnet wurde durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.

Schritt 4: Aus der Schwere des Datenschutzverstoßes wird ein Multiplikator abgeleitet.
Anhand der konkreten tatbezogenen Umstände des Einzelfalles erfolgt eine Einordnung des Schweregrades in leicht, mittel, schwer oder sehr schwer. Der Kriterienkatalog, welcher diese möglichen Umstände beschreibt, ist in Art. 83 Abs. 2 DS-GVO zu finden. Dazu gehören etwa die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen, das Ausmaß des Schadens, die Art und Weise der Zusammenarbeit mit der Aufsichtsbehörde und auch, ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.
Zudem wird zwischen „formellen“ und materiellen“ Verstößen unterschieden. Je nach Art und Schwere des Datenschutzverstoßes liegt der Faktor zwischen 1 und 12. Bei sehr schweren Verstößen kann der Faktor mithin höher sein.

Schritt 5: Der Grundwert wird anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände final angepasst.
Der in Schritt 4 errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände abschließend angepasst, soweit diese nicht bereits unter 4. Berücksichtigung fanden. Hierunter fallen insbesondere täterbezogene Umstände sowie sonstige Umstände, beispielsweise eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Kritik an dem Konzept

Auch wenn das Berechnungsmodell einen konkreten Rahmen durch Festsetzung eines wirtschaftlichen Grundwertes vorgibt, so bleibt den Aufsichtsbehörden dennoch weitreichender Ermessensspielraum insbesondere im Hinblick darauf, wie sie einen Datenschutzverstoß im Einzelnen bewerten werden.

Ein weiterer Kritikpunkt besteht in der Tatsache, dass bei mehreren Datenschutzverstößen mit einem Bußgeld für jeden einzelnen Verstoß zu rechnen ist. Das Konstrukt einer Gesamtstrafe oder einer Art Rabattierung bei mehreren Datenschutzverstößen, scheint bislang nicht vorgesehen zu sein. Kritisch zu sehen ist dies besonders bei mehreren miteinander verbundenen Verstößen. Hierbei könnten schnell hohe, mithin existenzbedrohende Bußgeldsummen zustande kommen. Ob das Verhängen derartiger Bußgelder in diesem Falle noch verhältnismäßig wäre, ist jedoch fraglich.