Welches Bußgeld droht bei Datenschutz-Verstößen? Aufsichtsbehörden veröffentlichen neues Konzept

Donnerstag, 31. Oktober 2019


Rekordbußgelder gegen British Airways, PWC, Delivery Hero und die Österreichische Post – die Datenschutz-Aufsichtsbehörden zeigen bei der Ahndung von Verstößen gegen die DSGVO Zähne. Welche Strafen bei DSGVO-Verstößen drohen, war bislang nicht einheitlich geregelt und wenig transparent. Ein neues Bußgeldkonzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) soll die Höhe der Bußgelder nun nachvollziehbarer machen.

Das Konzept der DSK soll bis zur abschließenden Veröffentlichung von Leitlinien seitens des Europäischen Datenschutzausschusses (EDSA) zur Festlegung von Geldbußen herangezogen werden. Das Verfahren ermöglicht nach eigener Aussage der DSK eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung.

Höhe des Bußgeldes an den Umsatz gebunden

In der DSGVO regelt der Artikel 83 die Bedingungen für die Verhängung von Geldbußen. Darin ist geregelt, dass bei manchen Datenschutz-Verstößen bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können. Bei schwereren Verstößen können die Aufsichtsbehörden sogar das Doppelte verhängen – also bis zu zwanzig Millionen Euro oder vier Prozent des Jahresumsatzes.

Der Strafrahmen, den die DSGVO vorsieht, ist also sehr weit gefasst. Die Höhe eines Bußgeldes war bisher unter anderem davon abhängig, welchen Betrag die Aufsichtsbehörde eines Bundeslandes als angemessen betrachtete. Das führte dazu, dass ein Datenschutzverstoß beispielsweise in Berlin ein höheres Bußgeld nach sich ziehen konnte als etwa in Bayern. Dies soll das nun vorgelegt Bußgeldkonzept verhindern.

Was regelt das Konzept?

Das DSK-Konzept klärt drei wichtige Punkte:

  • Die Höhe der DSGVO-Bußgelder ist an den weltweit erzielten Vorjahresumsatz der Unternehmen geknüpft.
  • Der Begriff „Unternehmen“ ist im Sinne eines "funktionalen Unternehmensbegriffs" definiert. Maßgeblich dabei ist die "wirtschaftliche Einheit", die vorliegt, wenn die Tochtergesellschaft trotz eigener Rechtspersönlichkeit ihr Marktverhalten nicht autonom bestimmt, sondern im Wesentlichen Weisungen der Muttergesellschaft befolgt. Das Bußgeld bemisst sich dann am gesamten Konzern, auch wenn der DSGVO-Verstoß in einem Tochterunternehmen passiert ist.
  • Der Bußgeldkatalog bezieht sich rein auf Unternehmen – nicht auf Vereine oder Privatpersonen.

Was bedeutet das Konzept für die Höhe der Bußgelder?

Experten zufolge sollten sich Unternehmer auf deutlich höhere Bußgelder als in der Vergangenheit einstellen. Wenn ein Konzern beispielsweise 100 Milliarden Euro Jahresumsatz macht, muss er nach dem aktuellen Katalog selbst für leichte Vergehen mögliche Bußgelder von etwa einer Milliarde Euro einkalkulieren, rechnet der Datenschutz-Anwalt Tim Wybitul vor. Auch kleinere Unternehmen können nun ziemlich sicher davon ausgehen, dass ein Bußgeld selbst für leichte DSGVO-Verstöße etwa zwei Prozent des Jahresumsatzes betragen kann – und schnell auch mehr, so der Experte.

Wie wird das Bußgeld berechnet?

Das Konzept der DSK sieht ein fünfstufiges Verfahren vor, mit dem die Höhe des Bußgeldes errechnet wird.

Schritt 1: Das Unternehmen wird einer Größenklasse zugeordnet

Das Konzept benennt vier Größenklassen. Zu welcher Klasse ein Unternehmen gehört, bestimmt der weltweit erzielte Vorjahresumsatz:

  • Größenklasse A: Kleinstunternehmen mit bis zu 2 Millionen Euro Jahresumsatz
  • Größenklasse B: Kleinunternehmen mit einem Jahresumsatz zwischen 2 und 10 Millionen Euro
  • Größenklasse C: Mittlere Unternehmen mit einem Jahresumsatz zwischen 10 und 50 Millionen Euro
  • Größenklasse D: Großunternehmen mit einem Jahresumsatz von mehr als 50 Millionen Euro

Um einzelne Unternehmen noch konkreter einordnen zu können, sieht das Konzept dann für jede Größenklasse weitere Untergruppen vor, die sich ebenfalls am Jahresumsatz orientieren. Es gibt Untergruppen von AI bis AIII, BI bis BIII, CI bis CVII und DI bis DVII (siehe Seite 3 und 4 des Konzepts).

Schritt 2: Der mittlere Jahresumsatz wird bestimmt

Ist ein Unternehmen wie oben beschrieben einer Untergruppe zugeordnet, wird der mittlere Jahresumsatz ermittelt. Beispiele (siehe Tabelle auf Seite 6 des Konzepts): Für die Untergruppe AI (bis zu 700.000 Euro Jahresumsatz) liegt der mittlere Jahresumsatz bei 350.000 Euro. Für die Untergruppe AII (700.000 bis 1,4 Millionen Euro) bei 1.050.000 Euro.

Schritt 3: Der wirtschaftliche Grundwert wird ermittelt

Abschließend wird der mittlere Jahresumsatz der Untergruppe durch 360 (Tage) geteilt. Das Ergebnis bildet den sogenannten „wirtschaftlichen Grundwert“, der als Basis für die weitere Festlegung des Bußgelds dient. Beispiele (siehe Tabelle auf Seite 7 des Konzepts): Für Untergruppe AI ergibt die Rechnung einen wirtschaftlichen Grundwert von 972 Euro, für Untergruppe AII ergibt sich ein Wert von 2917 Euro.

Schritt 4: Aus der Schwere der Tat wird ein Multiplikationsfaktor abgeleitet

Um den Schweregrad (leicht, mittel oder sehr schwer) eines Verstoßes gegen die DSGVO zu ermitteln, werden die Umstände des Einzelfalls bewertet. Mögliche Umstände sind unter anderem die Art und Dauer des Verstoßes, die Zahl der betroffenen Personen sowie das Ausmaß des Schadens, den diese erlitten haben. Berücksichtig wird zudem auch, wie gut das betroffene Unternehmen mit der Datenschutzaufsichtsbehörde zusammengearbeitet hat und ob mit dem Verstoß direkte finanzielle Vorteile erlangt wurden.

Diese Umstände führen laut Bußgeldkonzept zu einem Faktor, mit dem der wirtschaftliche Grundwert multipliziert wird (siehe Seite 7 des Konzepts). Aus dieser Rechnung ergibt sich dann das vorläufige Bußgeld. Neben dem Schweregrad unterscheidet das Konzept zwischen „formellen“ und „materiellen“ Verstößen. Je nach Art und Schwere des Verstoßes liegt der Faktor zwischen 1 und 12. Bei sehr schweren Verstößen kann der Faktor sogar noch höher liegen (siehe Tabelle 4 auf Seite 8).

Schritt 5: Das vorläufige Bußgeld wird final angepasst

Das vorläufige Bußgeld wird abschließend noch einmal überprüft und gegebenenfalls angepasst. Dabei kommen erneut alle Umstände zum Tragen, die für oder gegen ein betroffenes Unternehmen sprechen. Dazu gehört etwa die Frage, ob das Unternehmen fahrlässig oder vorsätzlich gehandelt hat. Auch gibt es Ermäßigungen bei einer sehr langen Verfahrensdauer oder einer drohenden Zahlungsunfähigkeit des Unternehmens (siehe Seite 8 des Konzepts).

Sind die Gerichte an das Bußgeldkonzept gebunden?

Nein, das Bußgeldkonzept ist ein Modell und kein Gesetz. Gerichte sind daran nicht gebunden. Am Ende entscheidet der Richter, ob ein verhängtes Bußgeld verhältnismäßig ist oder nicht. (fl)

Quellen:

Pressemitteilung der DSK vom 16.10.2019: Konzept der Datenschutzkonferenz zur Zumessung von Geldbußen

Impulse.de vom 24.10.2019: Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?

Netzpolitik.org vom 29.10.2019: 18 Millionen Euro Strafe für die Österreichische Post