Neues Modell zur DSGVO-Bußgeldberechnung

Datenschutz

von Cihan Cevirme

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich im Juni 2019 auf ein neues Modell zur Berechnung von Bußgeldern verständigt.

Nach Ansicht der deutschen Behörden biete dieses Modell im Gegensatz zu anderen derzeit diskutierten Modellen eine systematische, transparente und nachvollziehbare Bußgeldbemessung. Daher soll die „Task Force Finnings“ des Europäischen Datenschutzausschusses (EDSA) Interesse gezeigt haben. Erste Anwendungen deutscher Behörden haben schon zu deutlich höheren Bußgeldern als bislang geführt. So wurde im August 2019 von der Berliner Datenschutzbeauftragten Bußgelder i.H.v. knapp 200.000 € gegen den Lieferdienst Delivery Hero erlassen. (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20190919-PM-Bussgelder.pdf)


Wie funktioniert denn nun das neue Bußgeldmodell?
Um die gebotene Einzelfallgerechtigkeit und damit die in Art. 83 Abs 1 DSGVO geforderte Verhältnismäßigkeit sicherstellen zu können, möchten die Behörden nach dem neuen Modell ein mehrstufiges Berechnungsverfahren anwenden.

1. Umsatzbasierte Ermittlung des „Tagessatzes“
Zunächst ermitteln sie den wirtschaftlichen Grundwert, den sogenannten Tagessatz. Die Ermittlung besteht darin, dass der Jahresumsatz des Verantwortlichen i.S.d. DSGVO durch 360 geteilt wird.
Fraglich könnte es hier durchaus sein, ob der Umsatz der einzelnen betroffenen Konzerngesellschaft oder der gesamten Unternehmensgruppe als Berechnungsgrundlage herangezogen wird. Die DSK scheint ihre bisherige Position hierzu zu halten. Sie verwies in der Vergangenheit auf die Erwägungsgründe Ihres „Kurzpapiers Nr. 2 Aufsichtsbefugnisse/Sanktionen“:
„[..] Dies hat zur Folge, dass Mutter- und Tochtergesellschaften als wirtschaftliche Einheit betrachtet werden, so dass bei der Bemessung des Bußgeldes der Gesamtumsatz der Unternehmensgruppe zu Grunde gelegt wird.“
Bei kleineren Unternehmen mit weniger als EUR 500 Mio. Jahresumsatz orientieren sich die Behörden an sog. Größenklassen. Hier wird der mittlere Jahresumsatz der jeweiligen Größenklasse durch 360 geteilt.

2. Festlegung von Regelbußkorridoren und des Mittelwerts
Im nächsten Schritt muss der Ausgangsschweregrad der Tat ermittelt werden. Wesentlich für die Festlegung des Ausgangsschweregrads eines Datenschutzverstoßes soll die Einordnung in Art. 83 Abs. 4, 5 oder 6 DSGVO sein. Möglich wäre ebenfalls eine „manuelle Festsetzung“, da letztlich der „Unrechtsgehalt“ der jeweiligen Tat entscheidend sein soll. So wäre eine unverlangt zugesandte Werbe-Email eine leichte Übertretung, wohingegen die unbefugte Überwachung von Beschäftigten als ein schwerer Verstoß gewertet werden würde.
Die ermittelten Ausgangsschweregrade werden Regelbußkorridoren zugeordnet, die mit bestimmten Multiplikatoren gekoppelt sind.

• Leichter Verstoß: Faktor 1 bis 4,
• Mittlerer Verstoß: Faktor 4 bis 8,
• Schwerer Verstoß: Faktor 8 bis 12,
• Sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12,
• Sehr schwerer Verstoß mit Höchstfaktor: Faktor ab 12 bis 14,4

In besonders schweren Fällen kann der Faktor 14,4 sogar noch überschreiten. Die jeweiligen Faktoren wer-den mit dem zuvor ermittelten Grundwert (umsatzbasierter Tagessatz) multipliziert. Aus den Ergebnissen dieser Multiplikationen wird ein Mittelwert gebildet. Der hier ermittelte Mittelwert bildet die Grundlage für die weitere Bußgeldbemessung.

3. Einordnung des konkreten Verstoßes
Nach der Ermittlung des Ausgangsschweregrads erfolgt nach den nachstehenden Kriterien eine weitere Modifizierung, die den Schweregrad ent- oder verschärfen kann:

• Dauer des Verstoßes
• Art, Umfang, und Zweck der betreffenden rechtswidrigen Verarbeitung,
• Anzahl der von der Verarbeitung betroffenen Personen und
• das Ausmaß des von den Personen erlittenen Schadens

Je nach Tatschwere vergeben die Behörden hier Punkte von 0 bis 4. Nach dem alle vier Kriterien bewertet wurden, wird die Summe aller Punkte mit der von der DSK vorgegebenen Tabelle gegenübergestellt. Bei 0 bis 5 Gesamtpunkten wird der Schweregrad gesenkt, bei 6 bis 10 Punkten bleibt dieser unverändert, bei 11 bis 16 Punkten wird dieser erhöht. Dieser Schritt könnte dazu führen, dass bei einer Gesamtbewertung von 0 Punkten von einem Bußgeld abgesehen und stattdessen eine Verwarnung ausgesprochen wird. Genauso könnte jedoch durch diesen Schritt bei sehr schweren Verstößen eine 100 prozentige Erhöhung des konkret zu verhängenden Bußgelds in Betracht kommen.

4. Prozentuale Veränderungen nach Art. 83 Abs. 2 DSGVO
Weitere Zumessungskriterien des Art. 83 Abs. 2 DSGVO werden mit pauschalen Prozentsätzen verrechnet. So wirkt eine effektive Maßnahme zur Schadensminimierung seitens des Unternehmens, dass konkrete Schäden bei den von dem Verstoß betroffenen Personen ausschließen, mit – 25 % auf den konkret zu verhängen Bußgeldbetrag. Andersrum wirkt bspw. ein Verstoß mit bedingtem Vorsatz wiederrum mit + 25 % auf den konkret zu verhängenden Bußgeldbetrag. Ähnlich verhält es sich mit weiteren Kriterien des Art. 83 Abs. 2 DSGVO. Erhöhungen können bei jedem Kriterium bis zu 300 % hinzukommen.

5. Abschließende Bußgeldzumessung
Zuletzt prüft die Behörde nochmals, ob noch weitere erschwerende oder mildernde Umstände vorliegen. Vor allem jedoch stellt sie sicher, dass das final zu verhängende Bußgeld die Höchstbeträge des DSGVO nicht überschreitet. Zugleich muss die Geldbuße wirksam und abschreckend sein. Dies wäre sie nicht, wenn der Bußgeldbetrag in der öffentlichen Wahrnehmung für die Unternehmensgröße als zu niedrig angesehen werden würde. Damit die jeweilige Geldbuße nicht außer Verhältnis zur Tat steht, muss sie verhältnismäßig und insgesamt tat- und schuldangemessen sein.

Ausblick
Das neue Bußgeldberechnungsmodell scheint mathematisch und juristisch ausgiebig durchdacht zu sein und verspricht zwar damit präzise Ergebnisse. Allerdings dürfte eben solch ein vielschichtiges Verfahren - gerade im Einzelfall - an vielen Berechnungs- und Bewertungsstellen Zweifel zur Tat- und Schuldangemessenheit aufwerfen.
Nichtsdestotrotz gilt allen voran hohe Sensibilität. Da eine starke Orientierung an die Bußgeldleitlinien des Bundeskartellamts erkennbar ist, ist es vorstellbar, dass in bisherigen Kartellverfahren gesammelte Erfahrungen ebenso künftig in Bußgeldverfahren nach Art. 83 DSGVO genutzt werden. Nach der jüngsten Aus-sage des Bundesdatenschutzbeauftragten Ulrich Kelber werden wir auch in Deutschland Bußgelder in Millionenhöhe sehen. (https://www.heise.de/newsticker/meldung/DSGVO-Sanktionen-Bundesdatenschuetzer-kuendigt-haertere-Gangart-an-4523220.html)

Positiv: Die DSK-Konferenz fasste sogleich den Beschluss, dass der Arbeitskreis Sanktionen der DSK dieses Modell permanent erproben und weiterentwickeln soll. Das bedeutet, dass der Einfluss der Gerichte wohl-möglich erwartet und eventuell auch an einigen Stellen seitens der Behörden erwünscht ist, um eine weitere Systematisierung des Ermessens zu erreichen. Solch eine Systematisierung wäre im Interesse aller Beteiligten, da dies eine höhere Rechtsklarheit im Datenschutzrecht bewirken würde.

Zurück