Modell für Berechnung von Bußgeldern verabschiedet – Höhe der Bußgelder steigt

Das neue Konzept zur Berechnung von Bußgeldern ist so komplex, dass allein die Berechnungsbögen zur Bußgeldhöhe und die ergänzenden Erläuterungen einen Umfang von bis zu 30 Seiten einnehmen können. Das ist zwar nicht weiter überraschend, da man ansonsten nicht der in Artikel 83 Abs. 1 DSGVO vorgeschriebenen Verhältnismäßigkeit Rechnung tragen könnte. Andererseits stellt diese Komplexität die Praxis vor eine nicht ganz leicht Herausforderung und ist möglicherweise juristisch auch angreifbar.

 

Die Berechnungsgrundlage des neuen Modells ist zunächst einmal der Umsatz des Unternehmens. Auf dieser Basis wird ein so genannter Tagessatz errechnet, der dann mit einem je nach Schwere der Tat und Art ihrer Begehung zu ermittelnden Faktor multipliziert wird. Dieser Wert wird dann auf der Grundlage der Bußgeldbemessungsregeln des Art. 83 Abs. 2 DSGVO noch weiter angepasst.

 

Dementsprechend legen Datenschutzbehörden in einem ersten Schritt zunächst den Tagessatz fest. Dieser errechnet sich aus dem Jahresumsatz geteilt durch 360. Für Unternehmen mit einem Umsatz von weniger als 500 Millionen Euro legen Datenschutzbehörden jedoch nicht den konkreten Umsatz zugrunde, sondern ordnen das Unternehmen in eine so genannte Größenklassen ein. Den Tagessatz für diese Unternehmen berechnen die Datenschutzbehörden dann anhand des mittleren Jahresumsatzes der jeweiligen Größenklasse.

 

Dies hat zur Folge, dass betroffene Unternehmen zunächst einmal aufgefordert werden, ihren weltweiten Umsatz des Vorjahres mitzuteilen. Für Konzerne wird dabei der gesamte weltweite Umsatz der Unternehmensgruppe zugrunde gelegt, wie der DSK bereits ausdrücklich mitgeteilt hat. Ob das so haltbar ist, wird sich zukünftig zeigen.

 

Ausgehend von diesem Tagessatz ermitteln Datenschutzbehörden sodann den Ausgangsschweregrad der Tat. Auf Grundlage der so ermittelten Schwere des konkreten Verstoßes legen die Datenschutzbehörden dann den Regelbußgeldkorridor fest. Letztendlich bedeutet dies, dass die Datenschutzbehörden den Tagessatz mit einem Faktor zwischen 1 - 14,4 multiplizieren.

 

Dabei sieht das Modell des DSK folgende 5 Kategorien vor:

• Leichter Verstoß: Faktor 1 - 4
• Mittlerer Verstoß: Faktor 4 - 8
• Schwerer Verstoß: Faktor 8 - 12
• Sehr schwerer Verstoß mit Höchstfaktor: Faktor 12 - 14,4
• Sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12

 

Für die Einordnung des Faktors ist es letztlich entscheiden, welcher Unrechtsgehalt eine Datenschutzbehörde dem jeweiligen Verstoß zumisst. Beispielsweise dürfte eine ungefragt zugesandte Werbemail wohl als leichter Verstoß gelten, während die unbefugte Überwachung von Mitarbeitern wohl als schwerer Verstoß bewertet werden sollte.

 

Im Anschluss daran wird diese so ermittelte Ausgangsschwere noch anhand der Art der Tatbegehung und ihrer Folgen nach folgenden Kriterien gesondert bewertet:

• Dauer des Verstoßes
• Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung
• Anzahl der von der Verarbeitung betroffenen Personen
• Ausmaß des von den Personen erlitten in Schadens

 

Die Datenschutzbehörden geben dann noch jedem dieser Kriterien zwischen 0 - 4 Punkte. Die Schwere des Verstoßes senkende Umstände werden mit 0 bewertet, eher senkende Umstände mit 1, gleich bleibende Umstände mit 2 Punkten, eher erhöhende Umstände mit 3 Punkten und erhöhende Umstände mit 4 Punkten.

 

Im Anschluss daran addieren die Datenschutzbehörden diese Punkte und tragen diese in eine Tabelle ein, um so herauszufinden, ob noch erhöhende oder eher senkende Umstände berücksichtigt werden müssen.

 

Bevor Datenschutzbehörden die Höhe des Bußgeldes abschließend bewerten, müssen noch die sonstigen in Art. 83 Abs. 2 die DSGVO aufgeführten Bußgeldzumessungskriterien berücksichtigt werden. Dies betrifft das Verschulden, die Einleitung von Maßnahmen zur Schadenminderung, den Grad Verantwortung, das Vorliegen etwaiger einschlägiger früherer Verstöße, die Zusammenarbeit mit der Aufsichtsbehörde, die Kategorie der im Rahmen des Verstoßes verarbeiteten personenbezogenen Daten, die Art des Bekanntwerden des Verstoßes, die Einhaltung etwaiger zuvor von der Behörde angeordneter Maßnahmen und gegebenenfalls die Einhaltung von genehmigten Verfahrensregelungen oder Zertifizierungen. Aufgrund dieser abschließenden Bewertung kann es noch zu einer Erhöhung des Bußgeldes um bis zu 300 Prozent oder Senkung von bis zu 25 Prozent kommen.

 

Abschließend berücksichtigen Datenschutzbehörden sodann noch andere erschwerende oder mildernde Umstände, die Einfluss auf die Höhe des Bußgeldes haben könnte. Ebenfalls müssen Datenschutzbehörden natürlich auch berücksichtigen, dass das Bußgeld nicht die gesetzlich geregelten Höchstbeträge von 2 oder 4 % des Umsatzes beziehungsweise von 10 oder 20 Millionen Euro überschreitet. Ferner prüft die Datenschutzbehörde, ob das Bußgeld eine ausreichend abschreckende Wirkung hat und insgesamt verhältnismäßig sowie tat- und schuldangemessen ist.

 

Erste Erfahrungen zeigen, das bei Anwendung dieses Modells deutlich höhere Bußgelder verhängt werden, als bisher. Dementsprechend hat auch die Landesdatenschutzbeauftragte Berlin aktuell gegen Delivery Hero ein Bußgeld von 195.407 € verhängt und in einem weiteren bisher noch nicht öffentlich bekannt gewordenen Verfahren angedeutet, sogar ein Bußgeld in Höhe eines zweistelligen Millionenbetrages verhängen zu wollen. Vor diesem Hintergrund sind Unternehmen gut beraten, den Anforderungen der DSGVO gerecht zu werden und ihre Datenschutzstrukturen und -prozesse an die DSGVO anzupassen. Gerade Großunternehmen aber auch solche, die besonders sensible Daten verarbeiten sollte sich somit intensiv mit der DSGOV auseinandersetzen in diese umsetzen.