Der neue DSGVO-Bußgeldkatalog im Überblick

5.06.2020

In Unternehmen sorgt sie seit einiger Zeit für Stoßseufzer und Stirnrunzeln. Die Rede ist von der DSGVO. Dieser Beitrag fühlt sich dazu berufen, die Waffengleichheit zum Rechtsunterworfenen zu wahren und Ihnen als Verantwortlichen ein guter Wegweiser durch die Sanktionswerke und Risiken zu sein. Eines vorweg: Zwar bleibt die Umsetzung der DSGVO weiter brotlose Kunst, doch nimmt zumindest der Peitschendruck zugunsten der allgemeinen Leidensfähigkeit leicht ab.

Bemerkung: Dieser Beitrag stellt eine auf das wichtigste beschränkte Kurzfassung des Hauptartikels: „Der DSGVO-Bußgeldkatalog und die Strafzumessungskriterien datenschutzrechtlicher Verstöße“ (Lesezeit: ca. 20 min.) dar, der unter folgendem Link abgerufen werden kann:

 

Der DSGVO-Bußgeldkatalog und die Strafzumessungskriterien datenschutzrechtlicher Verstöße

DSGVO-Bußgelder: Das Geschäft mit der Angst

Die Brüsseler Verordnung zum Datenschutz ist noch unklarer, weiter gefasst und noch kostspieliger als so manch andere EU-Verordnung. Doch was des einen Freud‘ ist, ist des andren Leid. Während der Verantwortliche (Unternehmer) bei Geldbußen von bis zu 20 Mio. € aufschreckt, wittert der freie Datenschutzberater das Geschäft mit der Angst.

Von der Planlosigkeit zum DSGVO-Bußgeldkonzept

Anfangs stand die öffentliche Hand genauso rat- und planlos da wie die Wirtschaft selbst. Doch dann hat Vater Staat aber dort noch ein Ass aus dem Ärmel gezogen, wo der Wirtschaftende nicht mal einen Ärmel hat. Als Weisheit einst vom Himmel fiel, schuf die unabhängige Datenschutzkonferenz der Aufsichtsbehörden ein Bußgeldkonzept für DSGVO-Verstöße.

Folgten die Ordnungs- und Aufsichtsbehörden bis dato noch dem mittelalterlichen Kredo „Gnade vor Recht“, so neigte sich mit dem Bußgeldkonzept diese heilvolle Ära des Welpenschutzes dem Ende zu. Beamte werden nun dem Ruf bundesweit folgen und bewaffnet um das neue Konzeptpapier Verantwortliche vermehrt in die Pflicht nehmen.

Aufsichtsbehörden tasten sich mit Bußgeldern langsam heran

Hinsichtlich der Höhe der Bußgelder reagierten deutsche Datenschutzaufsichtsbehörden zunächst eher verhalten, was nicht zuletzt an eigenen Unsicherheiten lag. Das unsichere und zaghafte Behördenvorgehen leuchtet dann ein, wenn man sich vor Augen führt, welch uferlose Ausmaße an Ermessen den Behörden eingeräumt wird. Die DSGVO sieht vor, dass Geldbußen von bis zu 20 Mio. € oder wahlweise bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich seien, je nach dem, was höher ausfalle, Art. 83 Abs. 5 DSGVO.

DSGVO-Bußgeldkonzept: „Nicht kleckern, sondern klotzen“

Die Aufsichtsbehörden machen von den Möglichkeiten nun unter der Flagge des Bußgeldkonzepts reichlich Gebrauch. Die Deutsche Wohnen SE sicherte sich mit einem 14,5 Mio. € schweren Bußgeld des Berliner Beauftragten für Datenschutz wegen der Speicherung ehemaliger Mieterdaten ohne Rechtsgrundlage und Löschungsmöglichkeiten den Tabellenführerplatz. Platz 2 geht wegen der vergleichsweise sehr einfachen Herausgabe von weitreichenden personenbezogenen Daten (nur Name und Geburtsdatum als Authentifizierung ausreichend) mit einem stattlichen Bußgeld des Bundesdatenschutzbeauftragten i.H.v. 9,55 Mio. € an die 1&1 Telekom.

Einheitlicher bundesweiter Maßstab bei DSGVO-Bußgeldern

Das Bußgeldkonzept liefert den Aufsichtsbehörden eine einheitliche Methode, um Geldbußen transparent, nachvollziehbar und systematisch bemessen zu können. Es soll sicherstellen, dass das Konzept die Bußgeldverfahren vorhersehbarer und rechtssicherer macht. Bislang wurden gleiche Verstöße wegen des Landesermessens unterschiedlich schwer sanktioniert. Das soll sich durch das vorgelegte Bußgeldkonzept ändern. Grundmaxime für die Höhe des Bußgeldes ist der Umsatz und die Schwere der Tat.

Umsatz der „wirtschaftlichen Einheit“ ist entscheidend

Die Höhe des Bußgeldes orientiert sich am globalen Vorjahresumsatz des Unternehmens. Der Terminus „Umsatz“ bezieht sich dabei auf den Umsatz der gesamten „wirtschaftlichen Einheit“, also den des gesamten Konzerns oder Unternehmensverbundes, auch dann, wenn sich der Datenschutzverstoß nur in einem Tochterunternehmen ereignet hat.

Ermittlung des DSGVO-Bußgeldes: Wie hoch ist das Bußgeld?

Die Anwendung des Bußgeldkatalogs folgt einem fünfstufigen Schema. Zunächst werden Unternehmen einer Größenklasse zugeordnet. Das Bußgeldkonzept sieht vier Größenklassen (A bis D) für die Einordnung des betroffenen Unternehmens vor. Die Einordnung richtet sich nach dem gesamten weltweit erzielten Vorjahresumsatz.

Hier wird zwischen Kleinstunternehmen (A) sowie kleinen (B) und mittleren (C) Unternehmen sowie Großunternehmen (D) differenziert. Um betroffene Unternehmen noch konkreter einordnen zu können, sieht das Bußgeldkonzept für jede Größenklasse weitere Subkategorien vor, die sich ebenfalls am Jahresumsatz bemessen (z.B. A I – III, C I – VII).

Danach wird der mittlere Jahresumsatz bestimmt. Bei einem Kleinstunternehmen mit einem Jahresumsatz von bis zu 700.000 € (A I) liegt der mittlere Jahresumsatz z.B. bei 350.00 €. Mithin handelt es sich immer um das durchschnittliche Mittel der Größenklassenangaben.

Anschließend wird ein wirtschaftlicher Grundwert, sozusagen ein Tagessatz, ermittelt. Dabei wird der mittlere Jahresumsatz durch 360 (Tage) geteilt und so ein auf die Vorkommastelle aufgerundeter Tagessatz errechnet. Bei einem mittleren Unternehmen mit einem Jahresumsatz von über 40 Mio. € und unter 50 Mio. € (C VII) ergäbe sich ein mittlerer Jahresumsatz von 45 Mio. € und damit ein Tagessatz von (40 Mio. € : 360 Tage =) 125.000 €.

Multipliziert wird dieser Grundwert mit dem Faktor für die Schwere der Tat. Im vierten Schritt wird sich den konkreten Umständen des Einzelfalls gewidmet. Hiernach erfolgt eine Einordnung des Datenschutzverstoßes in die Schweregrade leicht, mittel, schwer oder sehr schwer.

Für den Schweregrad der Tat gibt die DSGVO einen bestimmten und umfassenden Kriterienkatalog an die Hand, Art. 83 Abs. 2 DSGVO. Im Einzelfall sind gebührend zu erwägen unter anderem: Art, Schwere und Dauer des Verstoßes in Relationen zu Art, Umfang und Zweck der Datenverarbeitung, des betroffenen Personenkreises sowie das Ausmaß des Schadens, um nur einige Faktoren exemplarisch zu nennen. Aus der Schweregradeinordnung ergibt sich der erste Indikator für den Multiplikator.

Den zweiten Indikator für den Multiplikator liefert die Unterscheidung zwischen „formellen“ und „materiellen“ Datenschutzverstößen. Je nach dem, um welche Art von Verstoß es sich handelt, verschiebt sich der grundsätzliche Bußgeldrahmen, in dem der Schweregrad einzuordnen ist.

Wirtschaftlicher (Unternehmens-)Grundwert und (Behörden-)Multiplikator = Bußgeld

Aus dem Zusammenspiel von Art des Verstoßes (formell/materiell) sowie Schweregrad der Tat (leicht, mittel, schwer, sehr schwer) ergibt sich sodann ein Multiplikator (1 – 12) für den zuvor ermittelten wirtschaftlichen Grundwert (Tagessatz) des betroffenen Unternehmens.

Abschließend können besondere Umstände berücksichtigt werden. Das so errechnete Bußgeld wird nun in einem letzten Schritt abschließend auf seine Angemessenheit geprüft. Alle für und gegen den Betroffenen sprechenden Umstände werden nochmal gewichtet. Hierzu zählen insbesondere auch sämtliche täter- und tatbezogenen Umstände sowie Nebenerscheinungen (z.B. überlange Verfahrensdauer, drohende Zahlungsunfähigkeit, Nachtatverhalten, Kooperationsbereitschaft usw.).

Nachdem auch diese letzte Prüfung vorgenommen worden ist, sollte am Ende des Tages ein schlüssiges, transparentes, bundesweit einheitliches und nachvollziehbares Bußgeld dastehen.

Beispielrechnung: DSGVO-Bußgeld im Überblick

Der vorstehende fünfstufige Findungsprozess eines angemessenen Bußgeldes soll nun anhand eines konkreten Beispiels veranschaulicht werden:

Michael Müller (M) ist Fleischermeister und führt einen Betrieb mit ca. 30 Mitarbeitern. Letzter Jahresumsatz waren 1.480.000 €. M vermarktet zusätzlich auch online seine regional hochgehaltene Wurst. Da M nicht der jüngste ist und nicht viel von Technik versteht, achtet er nicht darauf, die online erhobenen Daten vollständig DSGVO-konform zu verarbeiten, obwohl er sich Mühe gab. Bei einer Prüfung gerät M ins Visier der Aufsichtsbehörde. Die Bußgeldforderung ergibt sich wie folgt:

Mit einem Jahresumsatz von 1.480.000 € fällt M in die Größenklasse der Kleinstunternehmen, dort in die Untergruppe mit einem Jahresumsatz von 1,4 Mio. € bis 2 Mio. €, mithin die Gruppe A III. Der mittlere Jahresumsatz für die Gruppe A III liegt hier bei 1,7 Mio. €. Daraus ergibt sich für M ein wirtschaftlicher Grundwert von (1,7 Mio. € : 360 Tage =) 4.722 €. Weil nur ein sehr begrenzter Personenkreis von der Datenschutzverletzung betroffen ist und M unabsichtlich handelte, im Übrigen bestmöglich versuchte, die Bestimmungen zu beachten, ordnet die Aufsichtsbehörde seinen Verstoß lediglich als formellen Verstoß des Schweregrads „leicht“ ein. Als Multiplikationsfaktor setzt die Aufsichtsbehörde daher den Wert 2 ein. Multipliziert man nun den Wert 2 mit dem wirtschaftlichen Grundwert von 4.722 €, ergibt sich für Ms Unternehmen eine Geldbuße i.H.v. 9.444 €. In der abschließenden Prüfung würdigt die Aufsichtsbehörde nochmal besonders, dass M kooperativ handelte, alle Kunden sofort auf den Datenschutzverstoß hinwies und für die Zukunft einen professionellen ext. DSB bestellt hat, ferner auch, dass sich das Verfahren über einige Monate hinzog, was für M eine andauernde Belastung bedeutete. Daher legt die Aufsichtsbehörde das Bußgeld für M final auf 8.500 € fest.

Ist das Bußgeldkonzept rechtsverbindlich?

Das von der Datenschutzkonferenz vorgestellte Bußgeldkonzept gilt vorerst nur für deutsche Behörden und nur für Verfahren gegen Unternehmen und nicht gegen Vereine und Private. Das Bußgeldkonzept wird voraussichtlich so lange Geltung haben, bis der Europäische Datenschutzausschuss endgültige Leitlinien für den Unionsraum erstellt hat. Bis dorthin wird das Bußgeldkonzept der deutschen Datenschutzkonferenz jedoch bundesweit die einheitliche Grundlage für die Sanktionspraxis der deutschen Aufsichtsbehörden bilden.

Letzten Endes stellt jedoch das Bußgeldkonzept auch nur ein Konzept dar, weswegen Gerichte nicht daran gebunden sind und eigene Entscheidungen treffen können. Das Bußgeldkonzept setzt jedoch einen ersten wichtigen Meilenstein auf dem langen Weg zu einer transparenten und vorhersehbaren Rechtsprechung.

Wir wünschen eine bußgeld- und sanktionsfreie Zeit sowie viel Erfolg und Freude am Datenschutz.

Siehe für Bußgeldkonzept des DSK:
https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf
Siehe für Tabelle aller EU-DSGVO-Verstöße:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php
Siehe für DSGVO Verordnungstext:
https://dsgvo-gesetz.de

Der Autor: Erfan Khorasani war Sachverständiger für Datenschutz, DS-Experte sowie Auditor und DSB bei der Blue Mountain Consulting GmbH. Neben seiner Gutachter- u. Beratertätigkeit war er für den Bereich Datenschutz & Compliance verantwortlich.