Neues zum Datenschutzrecht
19.9.2019
Bußgelder – Neues Berechnungsmodell soll zu höheren Bußgeldern führen
Nachdem im Internet aus „gut unterrichteten Kreisen“ darüber berichtet wurde, dass sich die deutschen Datenschutzaufsichtsbehörden auf ein neues Modell zur Berechnung von Bußgeldern verständigt hätten, ging die Aufsicht in die Offensive. In einer Pressemitteilung vom 17. September 2019 ließ die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wissen, dass ein Konzept zur Bußgeldbemessung erst erarbeitet werde. Es handele sich lediglich um einen Entwurf, der noch fortentwickelt werde. Hierzu soll der Entwurf bei konkreten Bußgeldverfahren lediglich begleitend herangezogen werden, um ihn „auf Praxistauglichkeit und Zielgenauigkeit zu testen“. Zudem befinde man sich im Austausch mit dem Europäischen Datenschutzausschuss, der aus den Leitern der nationalen Datenschutzaufsichtsbehörden sowie dem Europäischen Datenschutzbeauftragten besteht und eine einheitliche Anwendung der Datenschutz-Grundverordnung (DSGVO) sicherstellen soll. Die DSK betont, dass die konkreten Entscheidungen in laufenden Bußgeldverfahren „aber“ auf der Grundlage des Art. 83 DSGVO getroffen werden. Das ist etwas unglücklich formuliert. Denn auch das Konzept für die Bußgeldbemessung sollte – und wird vermutlich – auf Art. 83 DSGVO basieren, der die allgemeinen Bedingungen für Bußgelder regelt. In dieser Vorschrift ist nicht nur der Bußgeldrahmen für einzelne Verstöße festgelegt (Abs. 4 bis 6). Artikel 83 DSGVO enthält auch allgemeine Kriterien, die in jedem Einzelfall bei der Entscheidung über die Verhängung einer Geldbuße und über deren Höhe zu berücksichtigen sind, z.B. Dauer des Verstoßes, etwaige frühere Verstöße und Kategorien der betroffenen Daten (Abs. 2).
Eckpunkte des Berechnungsmodells
Die Eckpunkte des neuen Modells sollen laut einem Bericht von JUVE wie folgt aussehen:
Es wird ein Tagessatz zugrunde gelegt, der auf dem weltweiten Unternehmensumsatz des Vorjahres basiert. Gibt ein Unternehmen trotz Aufforderung keinen Umsatz an, wollen die Behörden den Umsatz schätzen. Der Tagessatz wird multipliziert mit einem Faktor, der dem Schweregrad des Verstoßes entspricht. Das Konzept sieht bislang eine Skala von 1 (leichter Verstoß) bis 14,4 (sehr schwerer Verstoß) vor. Die Bemessung des Schweregrads soll auf einem Punktesystem basieren, das Kriterien aufgreift, die in Art. 83 Abs. 2 DSGVO aufgeführt sind, beispielsweise Dauer des Verstoßes, Anzahl der betroffenen Personen und Kategorien der Daten. Weiterhin soll im Modell zur Bemessung des Bußgeldes der Grad des Verschuldens einfließen. So kann eine geringe Fahrlässigkeit zu einem Abschlag von 25 % führen. Dagegen kann Vorsatz einen Aufschlag von 50 % begründen. Bei wiederholten Verstößen kann sich der Wert auf bis zu 300 % erhöhen. Das auf diese Weise berechnete Bußgeld wird in einem letzten Schritt auf seine Angemessenheit überprüft. Hierzu sollen erschwerende oder mildernde Umstände, aber auch die Aspekte der Abschreckung und der öffentlichen Wahrnehmung berücksichtigt werden.
Hintergrund
Die Verhängung von Bußgeldern bei Datenschutzverstößen wird in der EU bislang sehr unterschiedlich gehandhabt, obgleich es mit der DSGVO einen einheitlichen Bußgeldrahmen gibt: Bis zu 10 bzw. 20 Mio. Euro oder im Fall von Unternehmen bis zu 2 % bzw. 4 % des Jahresumsatzes (Art. 83 Abs. 4 – 6 DSGVO). Während in Großbritannien z.B. mit mehr als 200 Mio. Euro gegen British Airways und in Frankreich z.B. mit über 50 Mio. Euro gegen Google bereits recht hohe Bußgelder verhängt wurden, agieren die deutschen Datenschutzaufsichtsbehörden noch sehr zurückhaltend.
Allerdings wird nicht das neue Modell zur Verhängung von höheren Bußgeldern führen. Dass sich die Bußgelder mit der DSGVO erhöhen werden, steht schon länger fest. Grund hierfür sind der im Vergleich zur früheren Rechtslage in Deutschland erheblich größere Rahmen für Bußgelder und die Regelung, dass in diesem Rahmen wirksame, angemessene und abschreckende Geldbußen verhängt werden müssen (Art. 83 Abs. 1 DSGVO).
Die deutschen Datenschutzaufsichtsbehörden wollen hierfür ein Instrument schaffen, mit dem eine transparente und weitgehend einheitliche Bemessung erfolgen kann und die von der DSGVO vorgegebenen Kriterien berücksichtigt werden. Ob dieses schwierige Vorhaben gelingen wird, bleibt abzuwarten.
Wie geht es weiter?
Die Aufsichtsbehörden wollen Anfang November 2019 das neue Bußgeldkonzept weiter beraten und über dessen Veröffentlichung entscheiden. Wenn das Konzept zur Anwendung kommt, wird sich zeigen, wie die Problematik der Verhältnismäßigkeit der Bußgelder in der Praxis gelöst wird und wie schnell Gerichte über diese Frage entscheiden müssen.
Sollten Sie Fragen zur Verhängung von Bußgeldern, zu datenschutzaufsichtsbehördlichen Prüfungen oder zu sonstigen datenschutzrechtrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht