Bußgeldzumessung bei Datenschutzverstoss

– Konzept der Datenschutzaufsichtsbehörden des Bundes und der Länder –

Artikel 83 der Datenschutzgrundverordnung (DS-GVO) sieht bei datenschutzrechtlichen Verstößen Sanktionen vor. Die Bandbreite möglicher Sanktionen reicht von Verwarnungen und Anweisungen durch die Datenschutzbehörden bis zu Geldbußen (Artikel 83 Absatz 2 und Artikel 58 Absatz 2 DS-GVO).Mögliche Bußgeldhöhe gemäß Datenschutz-Grundverordnung

Artikel 86 Absatz 4 DS-GVO erlaubt die Verhängung von Geldbußen bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, „je nachdem, welcher der Beträge höher ist.“ In bestimmten Fällen sind sogar Geldbußen bis 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes möglich (Artikel 86 Absätze 5 und 6 DS-GVO).

Die DS-GVO enthält allerdings keine abschließenden Regelungen zur Bemessung von Geldbußen. Zwar besagt die Verordnung, eine Geldbuße müsse „wirksam, verhältnismäßig und abschreckend“ sein. Zudem sind bei Festlegung einer Geldbuße die Umstände des Einzelfalls zu berücksichtigen (Artikel 83 Absatz 2 DS-GVO). Konkrete Vorgaben zur rechtssicheren Anwendung des sehr großen Bußgeldrahmens macht die DS-GVO jedoch nicht.Bußgeldzumessung bei Datenschutzverstoss: noch keine Konkretisierung auf europäischer Ebene.

Zwar beschloss die „Artikel-29-Datenschutzgruppe“ (ein unabhängiges europäisches Beratungsgremium, das aufgrund der EU-Richtlinie 95/46/EG eingerichtet wurde) am 3. Oktober 2017 Leitlinien für die Anwendung und Festsetzung von Geldbußen. Diese „Leitlinien“ enthalten jedoch nur wesentliche Grundsätze, haben aber ebenfalls keinen abschließenden Charakter. Konkretisierungen auf europäischer Ebene bleiben vielmehr einer künftigen Entscheidung des Europäischen Datenschutzausschusses (EDSA, Artikel 68ff DS-GVO) vorbehalten. Konzept der Datenschutzbeauftragten des Bundes und der Länder.

Am 14.10.2019 hat nunmehr die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Konzept zur Bußgeldzumessung vorgelegt. DSK-Konzept: Anwendungsbereich und Gültigkeitsdauer.

Zu beachten ist, dass das Konzept der DSK nur für DS-GVO-Bußgeldverfahren gegen Unternehmen gilt, nicht aber für

  • Verfahren gegen natürliche Personen und Vereine sowie
  • grenzüberschreitende Fälle.

Die Datenschutzbeauftragten von Bund und Ländern können jederzeit eine Änderung oder Aufhebung ihres Konzeptes beschließen. Zudem verliert das DSK-Konzept seine Gültigkeit, wenn der EDSA endgültige Leitlinien zur Bemessung von Geldbußen verabschiedet.Das DSK-Verfahren zur Bußgeld-Zumessung.

Das Konzept der DSK zielt auf ein nachvollziehbares, transparentes und einzelfallgerechtes Verfahren der Bußgeldzumessung. Den Datenschutzbeauftragten erscheint der Umsatz von Unternehmen als ein geeigneter und fairer Anknüpfungspunkt für die Berechnung von Geldbußen, die effektiv und verhältnismäßig, aber auch abschreckend sein sollen.

Die Ermittlung eines Bußgeldes erfolgt nach den Vorstellungen der Datenschutzbeauftragten in fünf Schritten:

1.) Zuordnung betroffener Unternehmen in Umsatz-Größenklassen
Zunächst wird das betroffene Unternehmen einer von vier Umsatz-Größenklassen zugeordnet.

  • Kleinstunternehmen: bis 2 Millionen Jahresumsatz
    (drei Unterkategorien: bis 700.000 Euro, bis 1,4 Millionen Euro, bis 2 Millionen Euro)
  • Kleinunternehmen: über 2 bis 10 Millionen Jahresumsatz
    (drei Unterkategorien – in Millionen Euro: bis 5 , bis 7,5, bis 10)
  • mittlere Unternehmen: über zehn bis 50 Millionen Jahresumsatz
  • (sieben Unterkategorien – in Millionen Euro: bis 12,5, bis 15, bis 20, bis 25, bis 30, bis 40, bis 50)
  • Großunternehmen: über 50 Millionen Jahresumsatz
    (sieben Unterkategorien – in Millionen Euro: bis 75, bis 100, bis 200, bis 300, bis 400, bis 500, über 500)

2.) Ermittlung des mittleren Jahresumsatzes der Unternehmen, die der betreffenden Größenklasse angehören.

In einem zweiten Schritt werden die mittleren Jahresumsätze von Unternehmen derjenigen Unterkategorie ermittelt, der das betroffene Unternehmen angehört. 3.) Errechnung eines „Grundwertes“ aus dem mittleren Jahresumsatz.

Der mittlere Jahresumsatz der betreffenden Unterkategorie wird nun durch 360 dividiert, woraus sich ein (auf volle Euro aufgerundeter) Tagessatz ergibt („wirtschaftlicher Grundwert“). 4.) Multiplikation des Grundwertes mit einem Faktor entsprechend der Schwere der Tat.

Der im vorangegangenen Verfahrensschritt ermittelte Grundwert wird nun mit einem Faktor multipliziert, der von der Datenschutzbehörde entsprechend der spezifischen Art des Datenschutzverstoßes ausgewählt wird.

Der Faktor orientiert sich

  • am Schweregrad der Tat und
  • daran, ob ein formeller Verstoß (Artikel 83 Absatz 4 DS-GVO) oder ein materieller Verstoß (Artikel 83 Absatz 5 oder 6 DS-GVO) vorliegt. Der Schweregrad des Datenschutzverletzung wird in eine der Kategorien „leicht“, „mittel“, „schwer“ oder „sehr schwer“ eingeordnet. Zur Bewertung der Schwere wird der Kriterienkatalog des Artikels 83 Absatz 2 Satz 2 DS-GVO herangezogen.

Bei formellen Verstößen beträgt der Faktor

  • bei den Schweregraden „leicht“ 1 bis 2, „mittel“ 2 bis 4, „schwer“ 4 bis 6 und „sehr schwer“ 6 oder mehr. Bei

materiellen Verstößen beträgt der Faktor

  • bei den Schweregraden „leicht“ 1 bis 4, „mittel“ 4 bis 8, „schwer“ 8 bis 12 und „sehr schwer“ 12 oder mehr.5.) Anpassung des ermittelten Wertes entsprechend aller entlastenden und belastenden Umstände

Der durch Multiplikation des Grundwertes mit dem Schweregrad-Faktor ermittelte Bußgeld-Betrag wird nun abschließend unter Berücksichtigung aller für und gegen das betroffene Unternehmen sprechenden Gesichtspunkte angepasst. Zu berücksichtigen sind laut DSK-Konzept

  • alle täterbezogenen Umstände (Kriterienkatalog gemäß Artikel 83 Absatz 2 DS-GVO) sowie
  • andere Umstände wie zum Beispiel eine mögliche Zahlungsunfähigkeit des betroffenen Unternehmens oder eine besonders lange Dauer des Bußgeldverfahrens.