Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Nach Veröffentlichung des DSK-Konzepts: Unternehmen drohen höhere DSGVO-Bußgelder
Nach Veröffentlichung des DSK-Konzepts :

Unternehmen drohen höhere DSGVO-Bußgelder

Die deutschen Datenschutzbehörden haben ihr Berechnungsmodell für DSGVO-Bußgelder gegen Unternehmen veröffentlicht. Es ist durchaus komplex, führt aber zumindest zu mehr Transparenz, sodass Unternehmen sich darauf einstellen können. Das System wird wohl zu sehr hohen Bußgeldern führen. Für Konzerne mit Tochtergesellschaften birgt es zudem ein hohes Risiko. Gut möglich, dass die Gerichte hier korrigieren werden.  

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat nun – nach ersten Verhandlungen auf europäischer Ebene – ein Konzept zur Zumessung von Geldbußen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) durch Unternehmen veröffentlicht.

Ziel des Konzepts ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen gegen Unternehmen nach Art. 83 DSGVO zur Verfügung zu stellen. Mit dem Konzept soll auch ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden. Es soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Das Konzept gilt ausdrücklich nicht für Vereine und Privatpersonen. Gerichte sind daran nicht gebunden.

Auch andere EU-Aufsichtsbehörden müssen sich nicht daran orientieren, es gilt nur für Deutschland. Es besteht allerdings die Möglichkeit, dass sich der Europäische Datenschutzausschuss (EDSA) an dem von den deutschen Behörden angewendeten System orientieren wird.

Veränderungen und Ergänzungen des Konzepts sowie der Praxis der Aufsichtsbehörden sind aufgrund neuer Erkenntnisse aus den europaweiten Abstimmungen in der Zukunft möglich.

Außerdem sollen es nach Art. 70 Abs. 1 lit. k DSGVO perspektivisch Leitlinien, mit denen die Bußgeldpraxis europaweit harmonisiert werden. Diese Leitlinien des EDSA werden dann das nun erarbeitete Konzept ersetzen.

Jetzt orientieren sich die Aufsichtsbehörden in Deutschland aber erst einmal an diesem Konzept. Die Folge der komplexen Berechnungsmethode: Es drohen höhere Bußgelder, insbesondere für große Unternehmen.

Sie haben eine rechtliche Anfrage im Datenschutzrecht?

Unser Leistungsspektrum im Datenschutz

Kriterien für die Bußgeldbemessung bei Unternehmen

Primärer Anknüpfung soll danach der Umsatz eines Unternehmens sein. Danach soll – nach Auffassung der DSK – der erklärte Wille des europäischen Gesetzgebers zum Ausdruck kommen, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.

Auf Basis pauschalisierter Bemessungen des Umsatzes wird ein Tagessatz ermittelt. Dieser soll dann mit einem Faktor multipliziert werden, der anhand der Schwere der Tat und der Art ihrer Begehung (materieller oder formeller Verstoß) ermittelt wird. Dieser Wert wird dann anhand weiterer für und gegen den Betroffenen sprechenden Umstände angepasst.

Ermittlung eines Tagessatzes anhand des Umsatzes eines Unternehmens

Schritt 1: Zunächst wird das betroffene Unternehmen einer von vier Größenklassen zugeordnet (A-D).

Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen. Diesen können die Unternehmen entweder nach einer vorherigen Anhörung selbst mitteilen oder die Behörden schätzen den Umsatz.

Die DSK beantwortet auch die Frage, was überhaupt als „Unternehmen“ gilt: Gemäß Erwägungsgrund 150 der DSGVO sei der (kartellrechtliche) Unternehmensbegriff der Art. 101, 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zugrundezulegen. Das Kartellrecht geht von einem weiten, funktionalen Unternehmensbegriff aus. Bei Konzernen mit mehreren Tochtergesellschaften gilt dann der weltweite Umsatz des gesamten Konzerns aus Mutter- und Tochtergesellschaften als Einheit und wird dementsprechend bei den Bußgeldern zugrundegelegt.

Die Unternehmen werden gemäß des so ermittelten Umsatzes unterteilt in Kleinstunternehmen (unter 2 Mio. Euro Umsatz), kleine (2-10 Mio.) und mittlere (10-50 Mio.) Unternehmen sowie Großunternehmen (über 50 Mio.). Die Größenklassen werden zur konkreteren Einordnung der Unternehmen nochmals in Untergruppen unterteilt. (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII – wobei z.B. D I Unternehmen mit einem Jahresumsatz von 50-75 Mio., D.VII solche mit einem Umsatz von über 500 Mio. Euro erfasst.). Veranschaulicht wird dies in einer Tabelle – hier ein Ausschnitt davon:

Schritt 2: Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.

Dieser Schritt dient der Veranschaulichung der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes (3.). Bei D I liegt er bei 62,5 Mio. Euro, bei D.VI (über 500 Mio. Euro), ist hingegen der prozentuale Bußgeldrahmen von 2 % bzw. 4 % des jährlichen Umsatzes als Höchstgrenze zugrunde zu legen, sodass beim jeweiligen Unternehmen eine Berechnung anhand des konkreten Umsatzes erfolgt.

Schritt 3: Dann wird ein wirtschaftlicher Grundwert ermittelt.

Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.

Multiplikation mit Faktor für die Schwere der Tatumstände

Schritt 4: Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert.

Danach wird dem Verstoß ein Faktor zugeordnet, mit dem die zuvor ermittelte Summe multipliziert wird. Dieser Faktor liegt in der Regel zwischen 1 und 12, kann aber noch darüber hinausgehen. Aus der Tabelle ergibt sich aber zunächst nur einen Höchst- und einen Mindestwert. Dieser wird dann in einem nächsten Rechenschritt final angepasst.

Wie hoch dieser Faktor, mit dem zu multiplizieren ist, ausfällt, wird anhand weiterer Kriterien bemessen:

  • Zum einen anhand der Schwere der Tat. Anhand der konkreten tatbezogenen Umstände des Einzelfalls wird zwischen den Schweregraden leicht, mittel, schwer oder sehr schwer unterschieden.
  • Für materielle Verstöße sieht die Tabelle einen doppelt so hohen Faktor vor als für formelle Verstöße. Dies entspricht den Vorgaben in Art. 83 DSGVO.

Nach Artikel 83 Abs. 2 S. 2 sind folgende Faktoren für die Ermittlung des Schweregrads der Verletzung im Einzelfall relevant:

  1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
  5. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
  10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Formelle Verstöße nach Art. 83 Abs. 4 DSGVO haben einen höchsten Bußgeldrahmen von 10 Mio. Euro bzw. bis zu 2 % des weltweiten Jahresumsatz. Dabei handelt es sich um Verstöße gegen:

  • Art. 8, die Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
  • Art. 11, eine Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
  • Art. 25 – 39: Diese umfassen z.B. den technischen und organisatorischen Datenschutz, Verstoß gegen die Pflichten der gemeinsamen Verantwortlichkeit bzw. bei der Auftragsverarbeitung, das Verzeichnis der Verarbeitungstätigkeiten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzung und die Vorgaben für Datenschutzbeauftragte.
  • Art. 42, 43: Zertifizierungsverfahren, Pflichten der Zertifizierungsstelle
  • Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

Materielle Verstöße nach Art. 83 Abs. 5, 6 DSGVO haben einen höchsten Bußgeldrahmen von 20 Mio. Euro bzw. bis zu 4 % des weltweiten Jahresumsatz. Dabei handelt es sich um Verstöße gegen:

  • die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
  • die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
  • die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
  • alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
  • Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1
  • Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2

Berücksichtigung weiterer Umstände des Einzelfalls

Schritt 5: Abschließend wird der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst.

Aus dem Höchst- und Mindestsatz aus Stufe 4 wird nun der abschließende Betrag ermittelt. Dabei werden alle für und gegen den Betroffenen sprechenden Umstände berücksichtigt, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Konsequenzen: Es drohen höhere Bußgelder und eine Haftungserweiterung für Konzerne

Dieses Verfahren garantiere eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung, so die DSK.

Wenn man sich erst einmal in das komplexe Berechnungssystem eingearbeitet hat, so ist es in jedem Fall transparent und nachvollziehbar, da stimme ich der DSK zu. Sollten Unternehmen im Hinblick auf die Anwendung der DSGVO das Risiko eingehen wollen, sich gegen die Auffassung der Datenschutzbehörden zu stellen, können sie nun abschätzen, welche Konsequenzen ein solches Vorgehen haben könnte.

Ob das Verfahren auch wirklich einzelfallgerecht ist, wage ich zu bezweifeln. Die primäre Anknüpfung an den Jahresumsatz eines weltweit agierenden Konzerns hat gravierende Konsequenzen. Der offensichtlichste ist, dass für denselben Verstoß sehr unterschiedliche Bußgelder erhoben werden. Doch wenn ein deutsches Tochterunternehmen eines weltweiten Konzerns einen Fehler macht, so würde immer der Umsatz der Muttergesellschaft zugrunde gelegt werden – selbst wenn diese keinen Einfluss auf die Praktiken der Tochtergesellschaft hatte. Das führt mittelbar zu einer enormen Haftungserweiterung und kann zu absurd hohen und im Einzelfall unverhältnismäßigen Bußgeldern führen.

Es bleibt zu hoffen, dass die Gerichte in solchen Fällen angemessenere Maßstäbe entwickeln werden, die tatsächlich verhältnismäßig im Sinne des Art. 83 Abs. 1 DSGVO sind.

Christian SolmeckeRechtsanwalt und Partner der Kanzlei Wilde Beuger Solmecke

ahe