Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
22. Januar 2020
DSGVO Bußgeldrechner DSK
Datenschutzrecht

Neues Konzept zur Bußgeldberechnung bei DSGVO-Verstößen

Arne Schmieke SEITE DRUCKEN   SEITE SCHICKEN

Die Datenschutzkonferenz hat einen Beschluss veröffentlicht, durch den die Zumessung von DSGVO‑Bußgeldern in Deutschland harmonisiert werden soll.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 14. Oktober 2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen beschlossen. In diesem findet sich ein recht kompliziertes Berechnungsverfahren für die Festsetzung von Geldbußen, die wegen Verstößen gegen die DSGVO gegen Unternehmen verhängt werden sollen.

Ziel ist eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung. Dem Beispiel anderer EU‑Mitgliedstaaten folgend, soll das Konzept als national geltende Leitlinie dienen, bis der Europäische Datenschutzausschuss unionsweit harmonisierte, abschließende Leitlinien erlässt.

Ausgangspunkt für Bußgelder bei Datenschutzverstößen: Art. 83 DSGVO

Allgemeine Bedingungen für die Verhängung von Geldbußen finden sich zunächst in Art. 83 DSGVO. Demnach muss sichergestellt werden, dass die Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind (Abs. 1). In Abs. 2 ist ein Katalog von Umständen aufgeführt, die im Einzelfall „gebührend berücksichtigt“ werden sollen. Dazu zählen unter anderem folgende Kriterien:

  • Art, Schwere und Dauer des Verstoßes sowie einschlägige frühere Verstöße
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • getroffene Maßnahmen zur Schadensminderung und Kooperation mit der Aufsichtsbehörde
  • Kategorien der betroffenen personenbezogenen Daten
  • Art und Weise, wie der Verstoß bekannt wurde („Selbstanzeige“)
  • jegliche sonstigen erschwerenden oder mildernden Umstände, wie z.B. erlangte finanzielle Vorteile oder vermiedene Verluste

Die Absätze 4 und 5 des Art. 83 DSGVO legen darüber hinaus Höchstgrenzen für einzelne Geldbußen fest. Diese liegen je nach Art des Verstoßes bei bis zu EUR 20.000.000 oder 4 % des weltweiten Vorjahresumsatzes, wobei der höhere Betrag jeweils maßgebend ist.

Neues Bußgeldkonzept der DSK

Die von der DSK entwickelte Berechnungsgrundlage für Geldbußen konkretisiert den abstrakten Kriterienkatalog aus Art. 83 DSGVO und soll zu einer nationalen Harmonisierung der Spruchpraxis führen. Zentraler Anknüpfungspunkt für die Berechnung ist der gesamte weltweit erzielte Vorjahresumsatz der Unternehmensgruppe des betroffenen Unternehmens. Der Umsatz stelle laut DSK eine „geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung“ dar.

Auf dieser Grundlage erfolgt die Berechnung in fünf Schritten:

  1. Kategorisierung der Unternehmen nach Größenklassen
  2. Bestimmung des mittleren Jahresumsatzes
  3. Ermittlung des sog. „wirtschaftlichen Grundwertes“
  4. Multiplikation des Grundwertes nach Schweregrad der Tat
  5. Anpassung anhand aller Umstände des Einzelfalls

Das Konzept betrifft behördliche Bußgeldverfahren gegen Unternehmen im Anwendungsbereich der DSGVO. Zudem gilt es nur für rein deutsche Sachverhalte und nicht etwa für grenzüberschreitende Fälle oder Datenschutzbehörden anderer Mitgliedstaaten. Ebenfalls zu beachten ist, dass Gerichte explizit nicht an das Konzept gebunden sind.

Schritt 1: Kategorisierung der Unternehmen nach Größenklasse

Auf Grundlage des welt- und konzernweiten Jahresumsatzes (JU) werden die Unternehmen zunächst in eine von vier Hauptkategorien eingeteilt:

  • Kleinstunternehmen (JU bis EUR 2 Mio.)
  • Kleine Unternehmen (JU über EUR 2 Mio. bis EUR 10 Mio.)
  • Mittlere Unternehmen (JU über EUR 10 Mio. bis EUR 50 Mio.)
  • Großunternehmen (JU über EUR 50 Mio.)

Diese Größenklassen werden sodann noch einmal in insgesamt 20 Untergruppen unterteilt, von denen je drei den Kleinst- und kleinen Unternehmen und je sieben den mittleren und Großunternehmen zugeteilt sind.

Schritt 2: Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe

Im zweiten Schritt wird der mittlere Jahresumsatz der Untergruppe bestimmt, in die das betroffene Unternehmen fällt. Dabei gilt stets der Mittelwert der Umsatzspanne der jeweiligen Untergruppe (d.h. bei einer Spanne von EUR 40 Mio. bis EUR 50 Mio. genau EUR 45 Mio.). Dies gilt für die ersten 19 Untergruppen, bei der letzten Untergruppe (Großunternehmen mit Jahresumsatz über EUR 500 Mio.) soll hingegen der tatsächliche Jahresumsatz der betroffenen Unternehmensgruppe gelten.

Für ein Unternehmen, welches in die Untergruppe Jahresumsatz zwischen EUR 15 Mio. und EUR 20 Mio. fällt, würde so beispielsweise ein mittlerer Jahresumsatz von EUR 17,5 Mio. festgelegt. Dies gilt selbst dann, wenn der konkrete Jahresumsatz nachweislich höher oder niedriger liegt.

Schritt 3: Ermittlung des sog. „wirtschaftlichen Grundwertes“

Nach Zuordnung des mittleren Jahresumsatzes wird ein sog. „wirtschaftlicher Grundwert“ ermittelt. Dieser ergibt sich daraus, dass der Wert des mittleren Jahresumsatzes durch 360 (Tage) geteilt und so ein Tagessatz errechnet wird.

Für obiges Unternehmen mit dem zugeteilten mittleren Jahresumsatz von EUR 17,5 Mio. ergibt sich demnach ein Tagessatz bzw. „wirtschaftlicher Grundwert“ von EUR 48.611 (auf die Vorkommastelle gerundet).

Schritt 4: Multiplikation des wirtschaftlichen Grundwerts

Im vorletzten Schritt wird der zuvor berechnete wirtschaftliche Grundwert mit einem Faktor multipliziert, der je nach Schwere des Verstoßes zwischen 1 bis 4 (Schweregrad „leicht“) und >6 bis >12 (Schweregrad „sehr schwer“) liegen kann. Es werden wiederum vier Kategorien bzgl. des Schweregrads der Tat gebildet (leicht, mittel, schwer, sehr schwer) sowie zwischen formellen Verstößen nach Art. 83 Abs. 4 DSGVO und materiellen Verstößen nach Art 83 Abs. 5, 6 DSGVO unterschieden.

Ein mittelschwerer materieller Verstoß kann so zum Beispiel zu einem Faktor zwischen 4 und 8 führen. Angenommen, der Faktor wird auf 5 festgelegt, so läge das errechnete Bußgeld in unserem Beispiel bei EUR 243.055 (5 x EUR 48.611)

Schritt 5: Anpassung des Bußgelds

Im fünften und letzten Schritt soll der bisher errechnete Betrag anhand aller Umstände des Einzelfalls, die für und gegen das betroffene Unternehmen sprechen, angepasst werden. Dabei sollen insbesondere die „täterbezogenen Umstände“ aus Art. 83 Abs. 2 DSGVO herangezogen werden, also z.B. der Verschuldensgrad oder die Kooperationsbereitschaft gegenüber den Aufsichtsbehörden.

Die Erhöhung oder Verringerung des Bußgelds liegt an dieser Stelle noch einmal gänzlich im Ermessen der Behörde. In welchem Maß etwa eine kooperative Einstellung des Unternehmens positiv berücksichtigt wird, kann nicht abstrakt beantworten werden. Im Sinne der mit dem Konzept verfolgten Transparenz und Einheitlichkeit sowie der kleinteiligen Kategorien und Unterkategorien ist jedoch zu vermuten, dass die Spielräume eher überschaubar sind.

Umsatzbasierte Bußgeldzumessungen durch die DSK geht zu weit

Es ist grundsätzlich zu begrüßen, dass die DSK den Versuch unternommen hat, die Bußgeldpraxis auf nationaler Ebene zu harmonisieren sowie fairer und transparenter zu gestalten. Der vorgelegte Beschluss hilft betroffenen Unternehmen dabei, im Falle eines Verstoßes das zu erwartende Bußgeld zumindest grob abzuschätzen und gegebenenfalls entsprechende Rückstellungen zu bilden.

Jedoch gibt der Ansatz des Konzepts Anlass für Kritik. Insbesondere die zentrale Anknüpfung an den jährlichen Umsatz ist in diesem Zusammenhang zu nennen. Der Umsatz ist in der DSGVO als Kriterium zur Bußgeldbemessung nicht vorgesehen. Zudem führt die umsatzbasierte Berechnung dazu, dass große Unternehmen automatisch einen hohen Grundwert haben und selbst bei kleinsten Verstößen mit Bußgeldern im sechs- oder gar siebenstelligen Bereich rechnen müssen. Ob dies – trotz vorhandener Korrekturmöglichkeit – den Anforderungen an die Verhältnismäßigkeit genügt, welche Art. 83 Abs. 1 DSGVO bei der Verhängung von Geldbußen explizit vorschreibt, ist zweifelhaft. Auch die Zugrundelegung des Umsatzes der Unternehmensgruppe anstelle des Unternehmens ist fraglich.

Letztlich wird die Praxis zeigen, wie die Aufsichtsbehörden die Vorgaben der DSK umsetzen. Durch die Schritte 4 und 5 wird diesen ein Spielraum gewährt, der noch mit Leben zu füllen ist. Spannend wird es auch, wenn Gerichte erstmals über Bußgelder zu entscheiden haben, die auf der Grundlage des DSK‑Konzepts erlassen wurden. Gerichte sind nämlich nicht an das DSK-Konzept gebunden und können dieses anpassen oder auch komplett verwerfen.

Online‑Rechner ab sofort verfügbar

Seit Anfang letzten Jahres betreibt CMS den Enforcement Tracker – eine Website, auf der stets ein aktueller Überblick, Informationen und Statistiken zu europaweit verhängten Bußgeldern abrufbar ist.

Im Anschluss an den DSK‑Beschluss wurde der Enforcement Tracker nun um einen Online‑Rechner ergänzt, mit dem Unternehmen im konkreten Fall eine individuell in Betracht kommende Bußgeldspanne ausrechnen können. In Anbetracht des komplizierten Berechnungsverfahrens ein hilfreiches Tool, das schnell Ergebnisse liefert und so eine erste Einschätzung für betroffene Unternehmen ermöglicht.

Tags: Bußgeldrechner DSGVO DSK Verstoß


Avatar-Foto

Arne Schmieke

weitere Artikel des Autors
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024