DSGVO-Bußgeld: Höhe hängt laut neuem DSK-Bußgeldkonzept vom Umsatz ab

12.11.2019 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© klausfotolia48 – stock.adobe.com
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat am 14.10.2019 ein Bußgeldkonzept veröffentlicht. Damit gibt es jetzt in Deutschland ein einheitliches Vorgehen zur Bemessung von Bußgeldern, die Aufsichtsbehörden aufgrund von DSGVO-Verstößen verhängen. Das Bußgeldkonzept der DSK beruht dabei auf einem fünfstufigen Verfahren.

DSGVO-Bußgeldkatalog: Zweck und Anwendungsbereich  

Seit dem Wirksamwerden der Europäischen Datenschutz-Grundverordnung (DSGVO) am 25.05.2018 haben die Datenschutzaufsichtsbehörden noch eine Schonfrist gewährt und anschließend hauptsächlich grob fahrlässige Verstöße gegen die DSGVO mit Bußgeldern geahndet. Solche Meldungen wurden mit Spannung verfolgt, denn wie hoch ein DSGVO-Bußgeld je nach Fall ausfällt bzw. ausfallen kann, war bisher nicht wirklich geklärt. 

Bislang bildete hauptsächlich Art. 83 DSGVO „Allgemeine Bedingungen für die Verhängung von Geldbußen“ eine Grundlage für die Bemessung eines DSGVO-Bußgelds. Demnach lag der Rahmen bei Verstößen gegen die DSGVO bei Geldbußen von bis zu 20.000.000 Euro und im Falle eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes. Das ließ sehr viel Spielraum für die Bewertung der einzelnen Landesbehörden, sodass es sein konnte, dass ein bayerisches Unternehmen für denselben Verstoß mit einer höheren Geldbuße bestraft wurde als ein in Berlin ansässige Firma. 

Nun hat die DSK ein Konzept erarbeitet und veröffentlicht, das einheitlich in allen Bundesländern angewendet wird. Das DSGVO-Bußgeld wird demnach künftig anhand des Umsatzes eines Unternehmens berechnet. Laut Experten ist eine Folge zu erwarten: Die Bußgelder werden deutlich höher ausfallen als in der Vergangenheit. 

Das fällt nicht unter den Anwendungsbereich des DSK-Bußgeldkonzepts 

Nicht im Anwendungsbereich des Bußgeldkatalogs der DSK fallen: 

  • Vereine
  • natürliche Personen (außerhalb ihrer wirtschaftlichen Tätigkeit)
  • grenzüberschreitende Fälle 
  • andere Datenschutzaufsichtsbehörden der EU 
  • Festlegung von Geldbußen durch Gerichte  

Verbindlichkeit des Bußgeldkonzepts der DSK  

Das Konzept der DSK gilt nur für deutsche Datenschutzaufsichtsbehörden und nur solange, bis der Europäische Datenschutzausschuss (EDSA) ein einheitliches Konzept zur Bemessung des DSGVO-Bußgelds vorgelegt hat. Dieses ist dann von allen EU-Mitgliedstaaten verbindlich anzuwenden.

Rechtlich gesehen handelt es sich beim Bußgeldkonzept der DSK um ein Modell und nicht um ein Gesetz. Deswegen sind Gerichte nicht daran gebunden und entscheiden nach eigenem Ermessen.    

Umso wichtiger ist es, dass Unternehmen und ihre Beschäftigten die Anforderungen an den Datenschutz nicht nur kennen, sondern auch rechtskonform umsetzen. Mit den Checklisten und Merkblättern aus der „Dokumentenmappe: Datenschutz im Unternehmen“ gelingt eine rechtssichere Datenschutzorganisation. 

Berechnung des DSGVO-Bußgelds erfolgt anhand einer fünfstufigen Methode  

Die DSGVO fordert in Art. 83 Abs. 1, dass die Verhängung von Geldbußen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein soll. Diese Grundsätze glaubt die DSK zu erreichen, indem sie das DSGVO-Bußgeld an den Umsatz eines Unternehmens knüpft und dieses als Ausgangspunkt für das fünfstufige Bemessungsverfahren hernimmt. Das Verfahren sieht folgendermaßen aus: 

1. Zuordnung eines Unternehmens einer Größenklasse 

Zunächst erfolgt eine Kategorisierung der Unternehmen nach den Größenklassen A bis D, die sich nach dem gesamten weltweit erzielten Vorjahresumsatz des Unternehmens richten: 

  • A = Kleinstunternehmen: Jahresumsatz bis 2 Mio. Euro 
  • B = Kleine Unternehmen: Jahresumsatz über 2 Mio. Euro bis 10 Mio. Euro 
  • C = Mittlere Unternehmen: Jahresumsatz über 10 Mio. Euro bis 50 Mio. Euro 
  • D = Großunternehmen: Jahresumsatz mehr als 50 Mio. Euro 

Zur konkreteren Einordnung der Unternehmen werden die Größenklassen nochmals unterteilt: Das Spektrum reicht hier von Kleinstunternehmen der niedrigsten Untergruppe A.I (Jahresumsatz bis zu 700.000 Euro) bis hin zu Großunternehmen der höchsten Stufe D.VII (Jahresumsatz über 500 Mio. Euro). 

2. Bestimmung des mittleren Jahresumsatzes einer Untergruppe  

Ist das Unternehmen einer Größenklasse zugeordnet, wird der mittlere Jahresumsatz der Untergruppe berechnet. Der Bußgeldkatalog der DSK listet hierfür konkrete Zahlen. Für die Untergruppe A.I liegt der mittlere Wert beispielsweise bei 350.000 Euro, bei der Untergruppe D.I sind es schon 62,5 Mio. Euro. 

3. Ermittlung des wirtschaftlichen Grundwerts 

Der mittlere Jahresumsatz dient schließlich als Grundlage für die Berechnung des wirtschaftlichen Grundwerts. Hierfür wird der mittlere Wert durch 360 geteilt, sodass am Ende ein Tagessatz steht. So ergibt sich für die Untergruppe A.I ein gerundeter Tagessatz von 972 Euro (≈ 350.000 geteilt durch 360), für die Untergruppe D.I sind es 173.611 Euro. Der Bußgeldkatalog der DSK hält auch hier eine Tabelle bereit, an der  Unternehmen die Tagessätze der jeweiligen Untergruppe ablesen können. 

4. Ableitung eines Multiplikationsfaktors aus der Schwere der Tat 

Im vierten Schritt bewertet die Datenschutzaufsichtsbehörde die Schwere der Tat. Hierfür wird der Tat unter Berücksichtigung der Umstände des Einzelfalls ein Schweregrad zugeordnet: leicht, mittel, schwer oder sehr schwer. Danach wird ein Multiplikationsfaktor zwischen 1 und 12 festgelegt. Der wirtschaftliche Grundwert wird schließlich mit diesem Faktor multipliziert.  

Diese Bewertung erfolgt anhand des Kriterienkatalogs des Art. 83 Abs. 2 DSGVO. Dabei sind u. a. folgende Faktoren relevant: 

  • Art, Schwere und Dauer des Verstoßes
  • Ausmaß des Schadens für die betroffene Person sowie die Anzahl betroffener Personen 
  • Vorsatz oder Fahrlässigkeit 
  • Vorhandensein oder Fehlen von technischen und organisatorischen Maßnahmen (TOM) zur Verhinderung eines Schadens 
  • Maßnahmen zur Minderung des entstandenen Schadens 
  • Kategorie der betroffenen personenbezogenen Daten
  • Umfang der Zusammenarbeit des Unternehmens mit der Datenschutzaufsichtsbehörde
  • Art und Weise der Bekanntgabe des Verstoßes 

Konkretere Kriterien zur Bestimmung des Schweregrads legt die DKS nicht fest – zumindest keine, die öffentlich zugänglich sind –, sodass hier wiederum eine Ungenauigkeit bleibt und den Datenschutzaufsichtsbehörden ein Bewertungsspielraum gelassen wird. 

Die DSK legt aber noch einen weiteren Bewertungsmaßstab an: Weil sich die Bußgeldrahmen unterscheiden, erfolgt eine Aufsplitterung in formelle (Art. 83 Abs. 4 DSGVO) und materielle (Art. 83 Abs. 5,6 DSGVO) Verstöße. Auch hierfür ist eine entsprechende Tabelle im Schreiben der DSK enthalten. 

5. Festlegung des finalen DSGVO-Bußgelds  

Im letzten Schritt zur Bemessung des DSGVO-Bußgelds werden nochmals alle täterbezogenen Umstände abgewogen, die für oder gegen das Unternehmen sprechen und beim vierten Schritt noch nicht berücksichtigt worden sind. Auf Grundlage dieser Abwägung wird der im vierten Schritt errechnete Betrag angepasst, sodass am Ende das zu zahlende DSGVO-Bußgeld feststeht. 

Kritik am Bußgeldkonzept der DSK 

Auch wenn mit dem Bußgeldkonzept der DSK ein wichtiger Schritt zur einheitlichen Bemessung des DSGVO-Bußgelds getan wurde, gibt es seitens Experten Kritikpunkte daran. So sehen sie z. B. die Verknüpfung von Jahresumsatz und Bußgeld als problematisch. Sie befürchten eine starke Benachteiligung von Unternehmen mit einer geringen Gewinnmarge, denn Umsatz ist nicht gleich Gewinn. 

Des Weiteren wird kritisiert, dass den Datenschutzaufsichtsbehörden weiterhin sehr viel Spielraum bei der Bewertung eines Verstoßes gelassen wird, sodass nicht wirklich ein einheitliches Strafmaß existiert. Eine Gefahr liege auch darin, dass jeder Verstoß eines Unternehmens für sich betrachtet wird und somit sehr hohe Beträge zusammenkommen könnten. Ob das noch verhältnismäßig ist, wie es die DSGVO fordert, bezweifeln Experten.

Quellen: DSK (Schreiben vom 14.10.2019), datenschutz-notizen.de, impulse.de   

Mehr zu den Themen: DSGVO