Die im Mai 2018 in Kraft getretene EU-Datenschutzgrundverordnung (DSGVO) sieht bei Verstößen Bußgelder in drakonischer Höhe vor. Unklar war bislang, nach welchen Kriterien deutsche Datenschutzbehörden diese Bußgelder bemessen. Vor wenigen Tagen veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihr Bußgeldkonzept, das sie bereits im Sommer 2019 verabschiedet hatte. Eines scheint danach sicher: Die Bußgelder werden künftig deutlich höher ausfallen als in der Vergangenheit.
Nach dem Bußgeldkonzept der DSK (hier abrufbar) werden Bußgelder in fünf Schritten ermittelt: Im ersten Schritt wird das betroffene Unternehmen anhand des Jahresumsatzes in eine „Größenklasse“ eingeordnet. Anschließend bestimmt die Behörde den mittleren Jahresumsatz jeder Größenklasse. Aus diesem Wert wird im dritten Schritt ein sogenannter wirtschaftlicher Grundwert gebildet. Dieser Wert orientiert sich an einem Tagessatz, der dadurch ermittelt wird, dass der mittlere Jahresumsatz durch 360 dividiert wird. Im vierten Schritt wird der so ermittelte Tagessatz mit einem Faktor zwischen 1 und 12 multipliziert, der die Schwere der Tat widerspiegelt. Das Konzept der DSK geht von vier „Schweregraden“ aus, die zwischen „leicht“ bis „sehr schwer“ liegen. Differenziert wird außerdem zwischen formellen Verstößen gem. Art. 83 Abs. 4 DSGVO und materiellen Verstößen i.S.v. Art. 83 Abs. 5 und 6 DSGVO. Im letzten Schritt wird der im vierten Schritt ermittelte Betrag angepasst. Dabei werden alle für und gegen das betroffene Unternehmen sprechenden Umstände berücksichtigt, z. B. „täterbezogene“ Umstände gem. dem. Kriterienkatalog des Art. 83 Abs. 2 DSGVO sowie sonstige Umstände, also etwa eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens. Auf der fünften Stufe können sich außerdem Maßnahmen zur Schadensbeseitigung bußgeldmindernd auswirken.
Mit Hilfe der Kriterien der DFK lassen sich Bußgelder künftig besser bemessen und nachvollziehen, als das in der Vergangenheit der Fall war. Allerdings haben die Behörden immer noch große Spielräume. Zu erwarten ist, dass die Bußgelder höher ausfallen werden. Denn selbst bei einem „leichten“ materiellen Verstoß wird der Tagessatz mit einem Faktor bis zu 4 multipliziert. Hat ein Unternehmen mittlerer Größe etwa einen Jahresumsatz von 12 Millionen Euro, beträgt der Tagessatz 31.250 Euro. Bei einem leichten Verstoß wäre damit bereits ein Bußgeld bis zu 125.000 Euro fällig.
Die DSK weist darauf hin, dass ihr Konzept weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend ist (s. ESCHE blog v. 23.01.2019: DSGVO: Erstmalig 50 Millionen Euro Geldstrafe).
Gerichte sind an die Festlegungen der Datenschutzbehörden nicht gebunden, sondern bestimmen die Höhe eines Bußgelds selbst. Allerdings dürfte das Bußgeldkonzept der DSK dabei eine gewisse Orientierungsfunktion entfalten. Dennoch kann eine gerichtliche Überprüfung verhängter Bußgeldern zweckmäßig sein, gerade bei hohen Bußgeldern. Trotz des neuen Konzepts sind sehr viele rechtliche Fragen bei der Verhängung von Sanktionen noch weitgehend ungeklärt und auch Behörden können einmal falsch liegen.
Praxistipp
Unternehmen sollten ihre zuständigen Stellen umgehend über das Bußgeldkonzept der DSK und die Bußgeldrisiken informieren. Dadurch, dass sich Bußgelder bei Datenschutzverstößen anhand des Konzepts der DSK genauer berechnen lassen, sollten Unternehmen auch prüfen, ob es wegen bestehender Datenschutzrisiken erforderlich ist, Rückstellungen zu bilden.
Vor allem sollten Unternehmen natürlich noch bestehende Datenschutzlücken schnell und vollständig schließen. Auch auf mögliche Prüf- oder Ermittlungsverfahren der Datenschutzbehörden sollten sie vorbereitet sein. Dazu gehört, Aufgaben und Zuständigkeiten klar zu regeln und über Ablauf- und Notfallpläne zu verfügen. Und sofern es zu einem Bußgeldverfahren kommt, ist es meist besser, mit der Behörde eine einvernehmliche und für beide Seiten tragbare Lösung zu finden, bevor ein Bußgeld verhängt wird.
