Neues zum Datenschutzrecht
18.10.2019
Bußgelder – Neues Berechnungsmodell der Aufsichtsbehörden offiziell bekannt gemacht
Nachdem die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im September 2019 bekannt gab, ein Konzept zur Bußgeldbemessung zu erarbeiten, wurde das neue Berechnungsmodell relativ zeitnah Mitte Oktober beschlossen.
Anwendungsbereich
Das Konzept gilt nur für die Festlegung von Bußgeldern gegen Unternehmen. Es findet keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Schließlich wird das Konzept nicht auf grenzüberschreitende Fälle angewendet.
Berechnungsmodell im Einzelnen
Die Bemessung von Bußgeldern soll in fünf Schritten erfolgen. Zunächst wird das betroffene Unternehmen einer von vier Größenklassen zugeordnet (1). Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2) und anschließend ein wirtschaftlicher Grundwert ermittelt (3). Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4). Schließlich wird der im vierten Schritt ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5).
Was das konkret in Zahlen heißt, zeigt nachfolgende Zusammenfassung, wobei nicht auf alle Einzelheiten und Besonderheiten (insbesondere solche für sehr große und umsatzstarke Unternehmen) eingegangen wird.
(1) Zuordnung des Unternehmens
Anknüpfungspunkt ist der Jahresumsatz von bis zu 2 Mio. Euro (Gruppe A) bis über 50 Mio. Euro (Gruppe D). Innerhalb dieser vier Gruppen gibt es jeweils eine weitere Staffelung. Beispielsweise ist in der Gruppe mit Unternehmen mit einem Jahresumsatz von bis zu 2 Mio. Euro (Gruppe A) als kleinster Jahresumsatz die Summe von bis zu 700.000 Euro vorgesehen (Untergruppe A.I). Die Datenschutzkonferenz bezeichnet die Unternehmen, die der Gruppe A zuzuordnen sind, analog den Festlegungen für EU-Förderprogramme als „Kleinstunternehmen“.
(2) Bestimmung des mittleren Jahresumsatzes
Der mittlere Jahresumsatz entspricht dem Mittel das Jahresumsatzes, der im ersten Schritt zugrunde gelegt wurde. Im Fall eines Unternehmens mit einem Jahresumsatz von bis zu 700.000 Euro sind das 350.000 Euro.
(3) Errechnung des Grundwertes
Der Grundwert ist faktisch ein angenommener Tagessatz. Er ergibt sich in der Regel daraus, dass der mittlere Jahresumsatz durch 360 (Tage) geteilt wird. Im Beispiel des kleinen Unternehmens, für das ein mittlerer Jahresumsatz in Höhe von 350.000 Euro errechnet wurde, sind das 972 Euro.
(4) Berücksichtigung der Schwere der Tatumstände
Der Grundwert wird mit einem Faktor von 1 bis 12 multipliziert, der sich nach Art und Schwere der Tat bestimmt. Es gibt vier Kategorien: leicht, mittel, schwer und sehr schwer. Zusätzlich wird danach unterschieden, ob es sich um formelle oder materielle Verstöße handelt. Je nach Art des Verstoßes kommen für dieselbe Kategorie andere Faktoren zum Tragen. Formelle Verstöße sind solche, die in Art. 83 Abs. 4 DSGVO aufgeführt sind. Hierzu zählen neben administrativen Pflichte wie das Führen eines Verzeichnisses der Verarbeitungstätigkeiten gem. Art. 30 DSGVO auch die Umsetzung von Datenschutz durch Technikgestaltung gem. Art. 25 DSGVO). Materielle Verstöße sind solche, die in Art. 83 Abs. 5 und 6 DSGVO aufgeführt, z.B. Verstöße gegen die Grundsätze für die Verarbeitung nach Art. 5 Abs. 1 DSGVO und die Bedingungen einer Einwilligung gem. Art. 7 DSGVO. Für leichte formelle Verstöße kommt Faktor 1 bis 2 zur Anwendung, für leichte materielle Verstöße wird dagegen mit Faktor 1 bis 4 gearbeitet.
(5) Anpassung anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände
Im letzten Schritt wird der errechnete Betrag anhand aller Umstände angepasst, die zuvor noch nicht berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände, z.B. fahrlässiges oder vorsätzliches Handeln und Zusammenarbeit mit der Behörde). Darüber hinaus sollen auch sonstige Umstände wie eine etwaige lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens berücksichtigt werden.
Bewertung
Einerseits ist es zu begrüßen, wenn für die Bemessung von Bußgeldern eine „geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung“ geschaffen wird. Andererseits wird die Zukunft zeigen, ob dieses Verfahren tatsächlich eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung garantiert. Davon gehen die deutschen Datenschutzaufsichtsbehörden bereits vor einer Erprobung in der Praxis aus, wie der Information der Datenschutzkonferenz zum neuen Konzept entnehmen lässt.
Gerade für Kleinstunternehmen, aber auch für kleinere und mittlere Unternehmen erscheint das jedoch zweifelhaft. Beispielsweise werden Kleinstunternehmen selbst bei einem Jahresumsatz von lediglich 100.000 Euro in die (Unter-)Gruppe mit einem Jahresumsatz von bis zu 700.000 Euro (Untergruppe A.I) eingeordnet. Das hat zur Folge, dass für die Ermittlung des wirtschaftlichen Grundwertes („Tagesumsatz“) ein relativ hoher mittlerer Jahresumsatz von 350.000 Euro zugrunde gelegt wird, was in keiner Weise der Realität entspricht. Eine Korrektur in Schritt 5 wäre systemwidrig und ist hinsichtlich dieses Aspekts auch nicht vorgesehen. Letztlich ist diese Ungleichbehandlung gewollt, da nur auf diese Weise sichergestellt ist, dass das kleinste denkbare Bußgeld 972 Euro beträgt, das bei einem leichten Verstoß bei Faktor 1 ohne Anpassung anhand sonstiger noch nicht berücksichtigter Umstände (Schritt 5) verhängt werden kann.
Wie geht es weiter?
Das Konzept ist nicht in Stein gemeißelt. Vielmehr weisen die Aufsichtsbehörden darauf hin, dass es jederzeit aufgehoben, geändert oder erweitert werden kann. Zudem hat das Konzept nur eine begrenzte Gültigkeitsdauer, nämlich bis der Europäische Datenschutzausschuss die abschließenden Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat. Bis zu diesem Zeitpunkt werden die deutschen Aufsichtsbehörden ihr neues Konzept jedenfalls anwenden. Verantwortliche sollten im Falle des Falles jedoch nicht vergessen werden, dass das Bußgeldkonzept keine Bindung gegenüber Gerichten entfaltet.
Sollten Sie Fragen zur Verhängung von Bußgeldern, zu datenschutzaufsichtsbehördlichen Prüfungen oder sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht