Der DSGVO-Bußgeldkatalog und die Strafzumessungskriterien datenschutzrechtlicher Verstöße
Auf lediglich fünf Buchstaben beschränkt sich der Schrecken, der in Unternehmen über alle Abteilungen hinweg zu Stoßseufzern und Stirnrunzeln führt. Die Rede ist von der DSGVO. Dieser Beitrag fühlt sich dazu berufen, die Waffengleichheit zum Rechtsunterworfenen zu wahren und Ihnen als Verantwortlichen ein guter Wegweiser durch die Sanktionswerke und Risiken zu sein. Eines vorweg: Zwar bleibt die Umsetzung der DSGVO weiter brotlose Kunst, doch nimmt zumindest der Peitschendruck zugunsten der allgemeinen Leidensfähigkeit leicht ab.
Denn selten verzauberte uns Brüssel mit einer noch weiter gefassten, noch mehr Grauzonen und Unklarheiten bietenden Verordnung als der DSGVO bei gleichzeitiger Androhung von Bußgeldsummen, die den mathematischen Abiturstoff in manchen Bundesländern sprengen würde. Doch was des einen Freud‘ ist, ist des andren Leid. Während der in die Verantwortung genommene Unternehmer bei Geldbußen von bis zu 20 Mio. € aufschreckt, pirscht sich der freie Datenschutzberater leisen Schrittes an und wittert das Geschäft mit der Angst.
Wo einst Zuckerbrot und Peitsche harmonisch ineinandergriffen, herrscht seit dem Inkrafttreten der DSGVO am 25. Mai 2018 nun Sehnsucht nach dem längst vergessenen Geschmack von Zuckerbrot oder nur Zuckern, zumindest aber eines trocken Stück Brots vor. Da ist es gut zu wissen, dass die öffentliche Hand genauso rat- und planlos dastand wie das Unternehmertum selbst. Ebenso nützlich zu wissen ist, dass Vater Staat aber dort noch ein Ass im Ärmel hat, wo der Wirtschaftende nicht mal einen Ärmel hat.
Als Weisheit einst vom Himmel fiel, schuf die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) um die Jahreswende ein Papier mit Zumessungskriterien für Strafen bei Datenschutzverstößen. Es steht zu erwarten, dass Beamte aus allen deutschen Landen dem Ruf folgen und nunmehr bewaffnet mit der Bibel datenschutzrechtlichen Strafens vermehrt Verantwortliche in die Pflicht nehmen werden.
Was ist die DSGVO?
Bei der Europäischen Datenschutz-Grundverordnung (DSGVO) handelt es sich um ein Regelwerk, das den Umgang mit personenbezogenen Daten von Verbrauchern innerhalb der Europäischen Union vorschreibt. Neben der Niederlassung des Datenverarbeiters gilt hier auch der Aufenthaltsort der natürlichen Person, über die die Daten erhoben werden, als sachlicher Anwendungsbereich der Verordnung. Personenbezogene Daten sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO), mithin um alle Daten, die eine Person konkret bestimmen oder zumindest bestimmbar machen.
Wichtig ist dabei, dass es sich hier im Gegensatz zu einer europäischen Richtlinie, die zunächst von den Mitgliedsstaaten in nationales Recht umgesetzt werden muss, um eine Verordnung handelt, die unverzüglich für alle EU-Mitgliedsstaaten bindend ist. Hierbei sieht die DSGVO zahlreiche Ermessensspielräume vor. Öffnungsklausel, wie der juristische Fachterminus ist, bieten den Mitgliedsstaaten die Möglichkeit, im nationalen Recht höhere Datenschutzstandards festzulegen oder weitere Konkretisierungen auszuloten. Die DSGVO stellt daher nur den absoluten datenschutzrechtlichen Mindeststandard im Querschnitt aller europäischen Mitgliedsstaaten dar. Unterschritten werden darf er auf keinen Fall, angehoben hingegen schon. Von dieser Möglichkeit hat der deutsche Gesetzgeber mit der Novelle zum neuen Bundesdatenschutzgesetz (BDSG) reichlich Gebrauch gemacht.
Für wen gilt die DSGVO?
Man könnte meinen, dass die DSGVO nur große Online-Shops, Großkonzerne oder gewaltige Unternehmen mit tausenden Datensätzen betreffe. Doch dieser Zahn muss schnell gezogen werden. Tatsächlich ist nämlich jedes Unternehmen, das irgendwie im Internet aktiv ist, Nutzerdaten verfolgt, Kundendaten angelegt, Newsletter oder Werbemails verschickt, Werbung auf Facebook oder anderen Sozialen Medien schaltet oder sonst irgendwie mit der Datenverarbeitung von personenbezogenen Daten in Kontakt tritt, vom Anwendungsbereich der DSGVO umfasst.
Dies gilt immer dann, wenn das Unternehmen im EU-Raum ansässig ist oder personenbezogene Daten von EU-Bürgern verarbeitet. In der Sprache der Verordnung nennt sich die Person, die die Datenverarbeitung vornimmt, Verantwortlicher. Verantwortlicher ist hiernach jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
Ab wann gilt die DSGVO?
Die DSGVO trat bereits zum 25. Mai 2016 in Kraft und wurde entsprechend verabschiedet. Jedoch wurde den Mitgliedsstaaten und Unternehmen eine Übergangsfrist von zwei Jahren Dauer eingeräumt, um das umfassende Regelwerk auch ordnungsgemäß implementieren zu können. Schließlich stellte die Verordnung auch die öffentliche Hand vor zahlreiche Hürden. Die verbindliche Anwendung der Vorschrift trat für alle EU-Mitgliedstaaten nach Ablauf der Übergangsfrist am 25. Mai 2018 in Kraft. Seitdem sind alle Auflagen rechtsverbindlich und wirksam.
Was bedeutet die Geltung der DSGVO für Bußgelder?
Folgten die Ordnungs- und Aufsichtsbehörden bis dato noch dem mittelalterlichen Kredo „Gnade vor Recht“, so neigte sich mit Inkrafttreten der DSGVO am 25. Mai 2018 diese heilvolle Ära des Welpenschutzes dem Ende zu.
Abgelöst wurde diese Schonfrist von einer neu eingeläuteten Epoche der Unklarheiten und des vorsichtigen Herantastens. Denn auch für das Behördentum hieß es zunächst, sich an die eigene Nase zu fassen, bevor Sanktionierungen anderer stattfinden konnten. Auch hinsichtlich der Höhe der Bußgelder reagierten deutsche Datenschutzaufsichtsbehörden eher verhalten und gemäßigt, was nicht zuletzt an eigenen Unsicherheiten lag.
Wie hoch fällt ein DSGVO-Bußgeld aus?
Das unsichere und zaghafte Behördenvorgehen leuchtet dann ein, wenn man sich vor Augen führt, welch uferlose Ausmaße an Ermessen den regionalen Aufsichtsbehörden an die Seiten gestellt wird. Schließlich heißt es in der DSGVO selbst nur nüchtern, dass Geldbußen von bis zu 20 Mio. € oder wahlweise von bis zum 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich seien, je nach dem, was höher ausfalle, Art. 83 Abs. 5 DSGVO. Ziemlich viel Verantwortung und Macht für den typischen Verwaltungsbeamten, will man meinen. Wohl ersonnen und gewissenhaft durchdacht, müsste das Bußgeldkonzept dann sicherlich sein, will man meinen…
DSGVO-Bußgeld: „Nicht kleckern, sondern klotzen!“
Doch ganz im Gegenteil, lange Zeit als träge und antriebslos verpönt, sammelten die Aufsichtsbehörden der Länder ihre Heerscharen an staatlichen Datenschutzprüfern und Verwaltungsbeamten um sich, stockten ein weitreichendes Sanktionsarsenal auf und holten zum Gegenschlag aus. Frei nach dem Motto: „Nicht kleckern, sondern klotzen“ machten sie sich frisch geschult ans Werk. Es folgte Paukenschlag um Paukenschlag.
Ein Plus von über 30 Mio. € für die Staatskasse
Tabellenführer ist als eine der größten deutschen Wohnungsgesellschaften die Deutsche Wohnen SE. Vorwurf: Speicherung ehemaliger Mieterdaten in einem Archivsystem ohne Rechtsgrundlage und Löschungsmöglichkeiten. Dafür verhing der Berliner Beauftragte für Datenschutz und Informationsfreiheit sportliche 14,5 Mio. € als Bußgeld und konstituierte damit das bisher unangefochtene Flaggschiff der Bewegung.
Auch der Telekommunikationsgigant 1&1 Telecom bekam im Dezember 2019 freundliche Post im gelben Briefumschlag. Der Bundesdatenschutzbeauftragte wirft dem Unternehmen vor, dass eine unberechtigte Person an der Hotline vergleichsweise sehr einfach, weitreichende personenbezogene Kundendaten erhalten habe, da das Authentifizierungsverfahren nur mangelhaft gewesen sei. Kenntnis über Namen und Geburtsdatum, also mitunter Daten, die teilweise schon in sozialen Netzwerken hätten eingesehen werden können, reichten aus, um intime Vertragsdaten zu bekommen. Die Geschwätzigkeit der Call-Center-Agenten wurde vom Bundesdatenschutzbeauftragten mit stattlichen 9,55 Mio. € Bußgeld gewürdigt.
Auch andere Call-Center wie die SG Sales and Distribution GmbH oder die ENERGYsparks GmbH kassierten jeweils 300.000 € wegen unerlaubter Telefonwerbung ohne Einwilligung. Dicht folgend positionierte sich die Sky Deutschland GmbH & Co. KG mit 250.000 € Bußgeld für wiederholte Werbeanrufe über Pay-TV-Abonnements ohne Einwilligung, sog. Cold Calls.
Kleinvieh macht auch Mist: Bußgelder für den Mittelstand
Neben den vorstehenden Großkaliberjagdgeschossen aus Berlin, lassen sich jedoch auch flächendeckende Schrotsalven auf kleine und mittelständische Unternehmen verzeichnen. So kostete ein fehlender Auftragsdatenverarbeitungsvertrag und ein Verstoß gegen das Transparenz- und Verständlichkeitsgebot ein deutsches Unternehmen durch Bußgeldbescheid des Brandenburgischen Landesdatenschutzbeauftragten satte 50.000 €. Die Facebook Germany GmbH vergaß den Wechsel des Datenschutzbeauftragten zu publizieren und erwirtschaftete sich dadurch ein 51.000 € schweres Bußgeld.
Mit Vergesslichkeit hatten auch die Hamburger Verkehrsbetriebe zu kämpfen. Weil eine Datenschutzpanne an die Betroffenen und die Aufsichtsbehörde zu spät gemeldet worden war, kassierte die Hamburger Verkehrsverbund GmbH 20.000 € Bußgeld.
Ein deutsches Schwimmbad, was unerlaubte Videokameras installierte und keinen Datenschutzbeauftragten benannte, bekleckerte sich mit einem Bußgeld i.H.v. 12.000 €. Nur für das Fehlen der Benennung des Datenschutzbeauftragten wurde um die Weihnachtszeit 2019 die Rapidata GmbH mit 10.000 € gestraft.
Obacht geboten: Von falschen Freunden und teurer Bockigkeit
Die o.g. exemplarischen Bußgelder zeigen, wie ernst die Sache nun wirklich ist und wie beherzt die Datenschutzaufsichtsbehörden ihr Ermessen ausüben. Offensichtlich wird auch, dass Untätigkeit, Unterlassen und Vergessen keine Passierscheine sind, sondern ebenso herzhaft mit Bußen belegt werden.
Trotz der komplexen Materie sollte von Nachfragen abgesehen werden. Datenschutzbehörden erwiesen sich nicht gerade als Freund und Helfer auf dem Gebiet, eher als Peiniger und Vollstrecker. Das Motto: „Fragen kostet ja nichts“, kann reinen Gewissens zu Grabe getragen werden.
Fragen kostet ja nichts => Fragen kostet!
Diese schmerzliche Erfahrung musste die Kolibri Image GbR machen. Vertrauensvoll wandte diese sich an den Hamburger Landesbeauftragte für Datenschutz und ersuchte diesen um Rat. Der kleine Betrieb forderte einen ihrer Dienstleister mehrfach dazu auf, einen Auftragsdatenverarbeitungsvertrag zu stellen. Diese weigerte sich. Unwissend darum, was nun zu tun sei, wandte sich die Kolibri Image GbR an die Datenschutzbehörde. Anstatt einer Antwort und Aufklärung versandte die Hamburger Aufsichtsbehörde einen Bußgeldbescheid über 5.000 €.
Als der Dienstleister im schriftlichen Verfahren dazu Stellung nahm und angab, dass die Kolibri Image GbR selbst keinen Auftragsdatenverarbeitungsvertrag stellte, den der Dienstleister hätte unterschreiben können, folgte der zweite Bußgeldbescheid des Hamburger Landesbeauftragten. Diesmal jedoch an den Dienstleister selbst.
Um jeweils 5.000 € ärmer sind beide Parteien nun aber um das Wissen und die Erkenntnis reicher, dass der Vertrag zur Auftragsdatenverarbeitung eine beiderseitige Pflicht ist und jede Partei sich darum kümmern müsse, bevor die Beauftragung realisiert werde.
Datenschutzkonferenz will mehr Transparenz schaffen
Viele der o.g. Bußgeldverfahren befinden sich nun in Rechtsmittelverfahren, da die Belasteten gegen die Bescheide vorgegangen sind. Die Spannbreite an Ausübungsmöglichkeiten des Ermessens, die sich aus den astronomisch hohen Rahmen der DSGVO selbst ergeben, erwiesen sich als großes rechtsstaatliches Problem für Anwender, Betroffene und Justiz, die in diesen Tagen regelmäßig mit der gerichtlichen Nachprüfung der Entscheidungen befasst ist.
Daher entschloss sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende letzten Jahres dazu, gewisse Zumessungskriterien für Bußgelder in Verfahren gegen Unternehmen festzusetzen, sozusagen ein Bußgeldkonzept.
Das Konzept soll die einheitliche Auslegung der Bestimmungen aus der DSGVO sichern und die Grundsätze bei der Festsetzung von Bußgeldern umreißen. Das Bußgeldkonzept richtet sich lediglich gegen Unternehmen im sachlichen Anwendungsbereich der Verordnung. Keine Anwendung soll es hingegen bei Verfahren gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit finden. Auch die Rechtsprechung kann ans Bußgeldkonzept nicht gebunden werden.
Einheitlicher bundesweiter Maßstab bei DSGVO-Bußgeldern
Das Bußgeldkonzept liefert den Aufsichtsbehörden eine einheitliche Methode, um Geldbußen transparent, nachvollziehbar und systematisch bemessen zu können. Es soll sicherstellen, dass der Datenschutz flächendeckend ernst genommen wird. Außerdem ist intendiert, dass das Konzept die Bußgeldverfahren vorhersehbarer und rechtssicherer macht, was wiederum für mehr Akzeptanz in der Wirtschaft sorgen solle.
Bislang stand die Sanktionshöhe im Ermessen der Aufsichtsbehörde, sodass es meist zu intensiven Verhandlungen mit den Verantwortlichen kam, in denen ein Bußgeld ausgehandelt wurde, nur, um einem langwierigen Verfahren zu entgehen. Dies führte dazu, dass gleiche Verstöße in verschiedenen Bundesländern unterschiedlich schwer sanktioniert worden sind. Gerade das soll sich durch das vorgelegte Bußgeldkonzept verändern. Als Grundmaxime legt es fest, dass die Höhe des Bußgeldes an Umsatz und Schwere der Tat gekoppelt ist und sich primär auch nur an diesen Kriterien ausrichten soll.
Grundgerüst des DSGVO-Bußgeldkonzepts
Das Bußgeldkonzept der Datenschutzkonferenz wird von einem viele Fragen klärenden Grundgerüst getragen, auf dem die weitere Zumessung gestützt wird. Als wichtigster Punkt sei genannt, dass die Höhe des Bußgeldes sich zweifelsfrei an dem globalen Vorjahresumsatz des Unternehmens orientiert. Damit wird auch deutlich, dass der Bußgeldkatalog sich lediglich auf Unternehmen bezieht, nicht auf Vereine oder Private.
Der Terminus „Umsatz“ bezieht sich dabei auf den Umsatz der gesamten „wirtschaftlichen Einheit“, in den allermeisten Fällen also an den Umsatz des gesamten Konzerns oder Unternehmensverbundes. Hiernach richtet sich das Bußgeld auch dann, wenn sich der Datenschutzverstoß oder die Rechtsverletzung nur in einem Tochterunternehmen oder eine Tochtergesellschaft ereignet hat.
Ermittlung des DSGVO-Bußgeldes: Wie hoch ist das Bußgeld?
Die Anwendung des Bußgeldkatalogs folgt einem fünfstufigen Schema. Zunächst werden Unternehmen einer Größenklasse zugeordnet. Danach wird der mittlere Jahresumsatz bestimmt, woraus sich ein wirtschaftlicher Grundwert, sozusagen Tagessatz, ergibt. Multipliziert wird dieser Grundwert mit dem Faktor für die Schwere der Tat. Abschließend können besondere Umstände berücksichtigt werden.
Erstens: Zuordnung des Unternehmens in eine Größenklasse
Das Bußgeldkonzept sieht vier Größenklassen (A bis D) für die Einordnung des betroffenen Unternehmens vor. Die Einordnung richtet sich nach dem gesamten weltweit erzielten Vorjahresumsatz des betroffenen Unternehmens. Die Buchstaben sind aufgeteilt zum einen in die Kategorien für Kleinstunternehmen sowie kleine und mittlere Unternehmen (A bis C) und die Kategorie für Großunternehmen (D). Bei einem Jahresumsatz von bis zu 2 Mio. € handelt es sich um ein Kleinstunternehmen (A), bei einem Jahresumsatz von über 2 Mio. € und unter 10 Mio. € sodann um ein kleines Unternehmen (B), bei Jahresumsätzen zwischen 10 Mio. € bis 50 Mio. € um mittlere Unternehmen (C). Ab einem Jahresumsatz von über 50 Mio. € gilt das betroffene Unternehmen als Großunternehmen (D).
Um betroffene Unternehmen noch konkreter einordnen zu können, sieht das Bußgeldkonzept für jede Größenklasse weitere Subkategorien vor, die sich ebenfalls am Jahresumsatz bemessen. So staffeln sich Kleinstunternehmen sowie kleine Unternehmen wieder in drei Untergruppen (A I – III, B I – III), mittlere Unternehmen und Großunternehmen sogar in sieben Untergruppen (C I – VII, D I – VII).
Zweitens: Bestimmung des mittleren Jahresumsatzes
In einem zweiten Schritt wird sodann der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt. Dieser Schritt dient zur Veranschaulichung und als Grundlage der später darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes. Bei einem Kleinstunternehmen mit einem Jahresumsatz von bis zu 700.000 € (A I) liegt der mittlere Jahresumsatz z.B. bei 350.00 €, bei einem Großunternehmen mit einem Jahresumsatz von 100 Mio. € bis 200 Mio. € (D III) z.B. wiederum bei 150 Mio. € (usw.). Mithin handelt es sich immer um das durchschnittliche Mittel der Größenklassenangaben.
Drittens: Ermittlung des wirtschaftlichen Grundwerts
Ist anhand der Größeneinordnung und der Subkategorisierung der mittlere Jahresumsatz des betroffenen Unternehmens ermittelt, wird dieser Jahresumsatz durch 360 (Tage) geteilt und so ein auf die Vorkommastelle aufgerundeter Tagessatz errechnet.
Im Grundsatz folgt dieses Prinzip den gleichen Zumessungskriterien, die bereits im ordinären deutschen Strafrecht etabliert sind, wo das Einkommen des Täters auf den Tag heruntergerechnet wird und so als Tagessatz die Grundlage für Geldstrafen bildet.
Bei einem mittleren Unternehmen mit einem Jahresumsatz von über 40 Mio. € und unter 50 Mio. € (C VII) ergäbe sich ein mittlerer Jahresumsatz von 45 Mio. € und damit ein Tagessatz von (40 Mio. € : 360 Tage =) 125.000 €.
Viertens: Schwere von Tat und Verstoß bildet Multiplikationsfaktor
Nachdem durch die drei vorgenannten Schritte eine abstrakt-generalisierende Einordnung des Unternehmens vorgenommen worden ist, wird sich in einem vierten Schritt den konkreten Umständen des Einzelfalls gewidmet. Anhand der konkreten tatbezogenen Umstände des Einzelfalls erfolgt eine Einordnung des Datenschutzverstoßes als Tat hinsichtlich des Schweregrades in die vier Varianten leicht, mittel, schwer oder sehr schwer.
Erster Zwischenschritt: Schweregrad der Tat (leicht, mittel, schwer, sehr schwer)
Für die Einordnung des Schweregrades der Tat gibt die DSGVO einen bestimmten Kriterienkatalog an die Hand, der im Einzelfall zu berücksichtigen ist, Art. 83 Abs. 2 DSGVO. Im Einzelfall sind gebührend zu erwägen unter anderem: Art, Schwere und Dauer des Verstoßes in Relationen zu Art, Umfang und Zweck der Datenverarbeitung sowie der davon betroffenen Anzahl an Personen, ferner auch das Ausmaß des erlittenen Schadens.
Auch zu berücksichtigen ist, ob der Verstoß vorsätzlich oder fahrlässig erfolgte. Ebenso ausschlaggebend ist, ob der Verantwortliche oder Dritte Maßnahmen zur Schadensminderung ergriffen hat sowie der Grad der Verantwortung von (Gemeinsamen) Verantwortlichen und Auftragsdatenverarbeitern für den verursachten Datenschutzverstoß.
Einschlägige frühere Verstöße sowie die Kooperationsbereitschaft und der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß schnellstmöglich abzuhelfen, müssen miteinbezogen werden.
Hier zählt auch, um welche Kategorien von personenbezogenen Daten es sich handelt und auf welche Art und Weise der Verstoß der Aufsichtsbehörde bekannt geworden ist, insbesondere, ob der Verantwortliche den Verstoß selbst bemerkt und gemeldet hat.
Schlussendlich sollen alle anderen erschwerenden oder mildernden Umstände im jeweiligen Einzelfall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste entsprechend berücksichtigt werden.
Ist der Schweregrad der Tat nach dem vorstehenden Schema in eine der vier Kategorien (leicht, mittel, schwer oder sehr schwer) eingeordnet worden, so ergibt sich dadurch der erste Indikator für den Multiplikator mit dem wirtschaftlichen Grundwert (Tagessatz).
Zweiter Zwischenschritt: Schwere des Verstoßes (formell/materiell)
Den zweiten Indikator für den Multiplikator liefert die Unterscheidung zwischen „formellen“ und „materiellen“ Datenschutzverstößen. Je nach dem, um welche Art von Verstoß es sich handelt, verschiebt sich der grundsätzliche Bußgeldrahmen, in dem der Schweregrad einzuordnen ist.
Die „formellen“ Datenschutzverstöße lehnen an Art. 83 Abs. 4 DSGVO an, wobei dieser mit seinen Verweisungen z.B. fehlende und/oder nicht ausreichende Zertifizierungen und Prüfungen sowie mangelhafte Aufgaben- und Kompetenzverteilungen zwischen mehreren Verantwortlichen und/oder Auftragsdatenverarbeitern nennt.
Die „materiellen“ Datenschutzverstöße beziehen sich auf Art. 83 Abs. 5, Abs. 6 DSGVO, die z.B. Verstöße gegen die Grundsätze der Datenverarbeitung, der Einwilligung, der Rechte von Betroffenen, die Übermittlung personenbezogener Daten in Drittländer sowie die Nichtbefolgung und Widersetzung von und gegen Anweisungen der Datenschutzaufsichtsbehörde nennen.
Zwischenergebnis: Multiplikator für den Tagessatz der Geldbuße
Aus dem Zusammenspiel von Art des Verstoßes (formell/materiell) sowie Schweregrad der Tat (leicht, mittel, schwer, sehr schwer) ergibt sich sodann ein Multiplikator (1 – 12) für den zuvor ermittelten wirtschaftlichen Grundwert (Tagessatz) des betroffenen Unternehmens.
Die Multiplikatoren sind hinsichtlich des Ermessensspielraumes nun deutlich begrenzter. So sieht das Bußgeldkonzept für einen leichten formellen Verstoß lediglich einen Multiplikator von 1 – 2, für einen materiellen leichten Verstoß von 1 – 4 vor. Mittlere formelle Verstöße werden mit 2 – 4 multipliziert, materielle mit 4 – 8. Schwere formelle Verstöße richten sich nach dem Multiplikator 4 – 6, schwere materielle Verstöße nach den Werten 8 – 12. Sehr schwere formelle Verstöße ziehen den Multiplikator 6 oder höher, sehr schwere materielle Verstöße der Multiplikator 12 oder höher mit sich.
Fünftens: Finale Anpassung und Prüfung des Einzelfalls
Das so errechnete Bußgeld wird nun in einem fünften und letzten Schritt finalisiert und abschließend auf seine Stimmigkeit und Angemessenheit geprüft. Alle für und gegen den Betroffenen sprechenden Umstände werden nochmal gewichtet. Hierzu zählen insbesondere auch sämtliche täterbezogenen und tatbezogenen Umstände sowie sonstige Umstände und Nebenerscheinungen, sofern sie nicht bereits berücksichtigt worden sind.
Als weitere besondere Umstände könnten z.B. in Betracht kommen, eine überlange Verfahrensdauer oder die drohende Zahlungsunfähigkeit des Unternehmens bei Verhängung des errechneten Bußgeldes. Auch das Verhalten des Betroffenen nach der Tat ist entscheidend, also wie stark sich das Unternehmen darum bemühte, den von ihm angerichteten Schaden wiedergutzumachen, zu beseitigen, weitere Schäden zu mindern oder zu verhindern oder den Vergleich und den Dialog mit den Geschädigten zu suchen.
Nachdem auch diese letzte Prüfung vorgenommen worden ist, sollte am Ende des Tages ein schlüssiges, transparentes, bundesweit einheitliches und größtenteils nachvollziehbares Bußgeld dastehen, was durchaus sanktionierende Wirkung entfalten soll und auch muss, aber nicht so weit geht, dass es eine wirklich akute Existenzgefährdung für das Unternehmen bedeuten oder aus Tätersicht vollkommen unverständlich und als maßlos überzogen empfunden werden würde.
Beispielrechnung: DSGVO-Bußgeld im Überblick
Der vorstehende fünfstufige Findungsprozess eines angemessenen Bußgeldes soll nun anhand eines konkreten Beispiels veranschaulicht werden:
Michael Müller ist gelernter Fleischermeister aus Familientradition in achter Generation und führt einen durchschnittlichen Fleischereibetrieb im Allgäu mit guten 30 Mitarbeitern, der im letzten Jahr einen Umsatz von 1.480.000 € erzielte. Neben der persönlichen Verkaufstätigkeit im Einzelhandel vermarktet Fleischer Müller jedoch auch seine regional hochgehaltene „Müllers Mettwurst nach Eigenrezeptur“ in einem Online-Shop. Da Michael Müller schon etwas betagter ist und nicht viel von Technik versteht, achtet er nicht darauf, die auf der Webseite erhobenen Daten vollständig DSGVO-konform zu verarbeiten, obwohl er sich die größte Mühe dabei gab. Bei einer stichpunktartigen Routineprüfung gerät Müllers Fleischereibetrieb ins Visier der Datenschutzaufsichtsbehörde. Die Bußgeldforderung ergibt sich wie folgt:
Mit einem Jahresumsatz von 1.480.000 € fällt Müllers Betrieb in die Größenklasse der Kleinstunternehmen und dort in die Untergruppe mit einem Jahresumsatz von 1,4 Mio. € bis 2 Mio. €, mithin die Gruppe A III. Der mittlere Jahresumsatz für die Gruppe A III liegt hier bei 1,7 Mio. €. Daraus ergibt sich für Michael Müller ein wirtschaftlicher Grundwert von (1,7 Mio. € : 360 Tage =) 4.722 €. Weil nur ein sehr begrenzter Personenkreis von der Datenschutzverletzung betroffen ist und Michael Müller unabsichtlich handelte, im Übrigen bestmöglich versuchte, die Datenschutzbestimmungen zu beachten, ordnet die Aufsichtsbehörde seinen Verstoß lediglich als formellen Verstoß des Schweregrads „leicht“ ein. Als Multiplikationsfaktor setzt die Aufsichtsbehörde daher den Wert 2 ein. Multipliziert man nun den Wert 2 mit dem wirtschaftlichen Grundwert von 4.722 €, ergibt sich für Müllers Unternehmen eine Geldbuße in Höhe von 9.444 €. Im letzten Schritt, der abschließenden Prüfung, würdigt die Aufsichtsbehörde nochmal besonders, dass Michael Müller besonders kooperativ handelte, alle Kunden unverzüglich auf den Datenschutzverstoß hinwies und für die Zukunft einen professionellen externen Datenschutzbeauftragten bestellt hat, ferner auch, dass sich das Verfahren über einige Monate wegen der Auslastung der Behörde hinzog, was für Müller eine andauernde Belastung bedeutete. Daher legt die Aufsichtsbehörde das Bußgeld für Müller final auf 8.500 € fest.
Ist der Bußgeldkatalog rechtsverbindlich?
Das von der Datenschutzkonferenz vorgestellte Bußgeldkonzept gilt vorerst nur für deutsche Behörden und nur für Verfahren gegen Unternehmen und nicht gegen Vereine und Private. Das Bußgeldkonzept wird voraussichtlich so lange Geltung haben, bis der Europäische Datenschutzausschuss endgültige Leitlinien für den Unionsraum erstellt hat. Bis dorthin wird das Bußgeldkonzept der deutschen Datenschutzkonferenz jedoch bundesweit die einheitliche Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden bilden.
Letzten Endes stellt jedoch das Bußgeldkonzept auch nur ein Konzept, mithin ein Modell dar und eben kein formelles Parlamentsgesetz, weswegen Gerichte und Rechtsprechung nicht daran gebunden sind und im Falle einer gerichtlichen Überprüfung eine eigene Entscheidung treffen können. Das Bußgeldkonzept setzt jedoch einen ersten wichtigen Meilenstein auf dem langen Weg zu einer transparenten und vorhersehbaren Rechtsprechung.
Wir wünschen eine bußgeld- und sanktionsfreie Zeit sowie viel Erfolg und Freude am Datenschutz.
Siehe für Bußgeldkonzept des DSK:
https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf
Siehe für Tabelle aller EU-DSGVO-Verstöße:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php
Siehe für DSGVO Verordnungstext:
https://dsgvo-gesetz.de