DSGVO-Bußgelder: Berechnung und Verfahren

Lesezeit: 6 Minuten DSGVO-Bußgelder sind ein scharfes Schwert gegen Datenschutzsünder. Dieser Beitrag beleuchtet die Durchführung des Bußgeldverfahrens in der Praxis sowie das Vorgehen bei der Berechnung.

Lesezeit: 6 Minuten

Ein aufmerksamkeitserregendes und für Unternehmen abschreckendes Beiwerk der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind die Bußgeldverfahren, die mit einschlägigen Verstößen einhergehen. Mit Inkrafttreten der DSGVO im Mai 2018 entwickelte sich der Datenschutz endgültig zu einem ernstzunehmenden Thema für Compliance. Art. Die in Art. 83 DSGVO als verwaltungsrechtliche Sanktion geregelte Geldbuße ist dabei ein für Unternehmen schmerzhaftes Instrument.

Derzeit vielfach diskutiert ist etwa das medienwirksame Rekordbußgeld in Höhe von rund 14,5 Millionen Euro, welches von der Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen die Immobiliengesellschaft „Deutsche Wohnen“ erlassen wurde.[1]

Entschließungsermessen der Aufsichtsbehörde

Ausgangspunkt eines Bußgeldverfahrens ist regelmäßig ein Verdacht seitens der Datenschutzbehörde oder eine entsprechende Meldung durch einen Betroffenen. Sobald die Datenschutzbehörde ein Verfahren einleitet, erhält der Verantwortliche ein schriftliches Auskunftsersuchen, welches der rechtlichen Bewertung durch die Behörde dient und dem Verantwortlichen die Möglichkeit bietet, eine Stellungnahme zu dem beanstandeten Vorfall abzugeben.

Grundsätzlich kann ein Bußgeld im Falle eines Verstoßes gegen die DSGVO verhängt werden. Eine entsprechende Pflicht hierzu lässt sich dem Wortlaut des Art. 83 Abs. 2 S. 1 DSGVO hingegen nicht entnehmen.[2] Welche Verstöße sanktioniert werden können, ergibt sich aus Art. 83 Abs. 4 und 5 DSGVO.

Geht die Behörde nach der Anhörung davon aus, dass ein solcher Verstoß vorliegt, wird das eigentliche Bußgeldverfahren eingeleitet. Dessen Ablauf richtet sich in Deutschland nach dem Ordnungswidrigkeitsgesetz (OWiG). Nach Erlass des Bußgeldbescheids bleibt dem Verantwortlichen die Möglichkeit des Einspruchs.

Ob ein Verschulden erforderlich ist oder sein müsste, ist umstritten. Dem Wortlaut des Art. 83 DSGVO nach ist für die Verhängung einer Geldbuße kein Verschulden nötig, sondern nennt Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes lediglich als Umstand, der bei der Bemessung der Geldbuße zu berücksichtigen ist. Einige Stimmen in der Literatur wollen daher das Verschuldenselement als „begriffsimmanent“ verstehen, sodass auch Ordnungswidrigkeiten i.S.d. Art. 83 DSGVO Vorsatz oder zumindest Fahrlässigkeit erfordern. Im Gegensatz zu den meisten Abhilfemaßnahmen, die keine Sanktionen im engeren Sinn darstellen, sondern vielmehr darauf ausgerichtet seien, aufsichtsbehördliche Maßnahmen – Warnungen, Anweisungen, Anordnungen etc. – zu ermöglichen und so den rechtmäßigen Zustand wiederherzustellen, rage die Geldbuße gewissermaßen heraus, sodass der Verstoß mindestens fahrlässig herbeigeführt worden sein müsse.[3] Auch eine Unschuldsvermutung muss dieser Auffassung nach wegen der Art der Zuwiderhandlungen und der Schwere der Sanktionen zugunsten des Unternehmers gelten.[4]

Kriterien für die Bemessung des Bußgelds

Während die DSGVO lediglich die möglichen Höchststrafen regelt, bestimmen die Datenschutzbehörden, wie hoch das Bußgeld im Einzelfall ausfällt.

Für mehr Transparenz und Nachvollziehbarkeit bei der Bemessung von Geldbußen nach Art. 83 DSGVO, wo unter anderem geregelt ist, dass bereits im Falle eines weniger schweren Verstoßes bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können, legte der Arbeitskreis Sanktionen der Konferenz der unabhängigen Datenschutzbehörden (DSK) in diesem Jahr entsprechende Kriterien für die konkrete Bemessung fest.[5]

Diese gilt nur für Unternehmen und weder für private Akteure noch für Vereine. Gerichte sind in ihrer Entscheidung nicht an die Kriterien gebunden. Weiterhin binden sie zudem nicht die Datenschutzbehörden anderer Mitgliedsstaaten der EU und gelten nicht für grenzüberschreitende Fälle.

Das erstellte Konzept gilt in Deutschland so lange, bis auf europäischer Ebene durch den Europäischen Datenschutz-Ausschuss (EDSA) Leitlinien festgelegt werden, was als Tätigkeit des Ausschusses in Art. 70 Abs. 1 lit. k) DSGVO aufgeführt wird. Diskutiert werden derzeit bereits unterschiedliche Konzepte zur Vereinheitlichung der europäischen Bußgeldmodelle.

Der bis dahin festgelegte Ablauf beinhaltet fünf Schritte:

1. Zuordnung des Unternehmens zu einer Größenklasse

Anhand seiner Größe wird das betroffene Unternehmen einer von vier Größenklassen zugeordnet. Diese richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen. Der Begriff des Umsatzes bezieht sich dabei auf den des gesamten Konzerns, da gemäß Erwägungsgrund 150 der DSGVO der aus dem Kartellrecht entlehnte funktionale Unternehmensbegriff nach Art. 101 und 102 AEUV heranzuziehen ist, weshalb sich auch bei einem von einem Tochterunternehmen verschuldeten Verstoß hieran zu orientieren ist.[6] Zur konkreteren Einordnung der Unternehmen erfolgt eine weitere Unterteilung in Untergruppen.[7]

2. Bestimmung des mittleren Jahresumsatzes

Zur Veranschaulichung der im Anschluss erfolgenden Ermittlung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe ermittelt, in die das Unternehmen eingeordnet wurde.[8]

3. Ermittlung des wirtschaftlichen Grundwerts

Der ermittelte mittlere Jahresumsatz wird zur Festsetzung des wirtschaftlichen Grundwertes durch 360 geteilt, um einen durchschnittlichen Tagessatz zu errechnen.[9]

4. Bestimmung des Multiplikationsfaktors je nach Schweregrad des Verstoßes

Anhand der konkreten tatbezogenen Umstände des Einzelfalls erfolgt eine Einordnung des Schweregrads des Verstoßes in leicht, mittel, schwer oder sehr schwer.

Unter Berücksichtigung der Umstände des Einzelfalls anhand der in Art. 83 Abs. 2 DSGVO genannten Kriterien werden der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, welcher mit dem Grundwert multipliziert wird. Mit Blick auf die abweichenden Bußgeldrahmen werden dabei formellen Verstößen (Art. 83 Abs. 4 DSGVO) und materiellen Verstößen (Art. 83 Abs. 5 und 6 DSGVO) unterschiedliche Faktoren zugeordnet. Bei Zusammentreffen mehrerer Verstöße – insbesondere Verstöße gegen Vorschriften der DSGVO neben Verstößen gegen aufsichtsbehördliche Anordnungen – mit einer Addition der Bußgelder und damit einem hohen Gesamtbetrag zu rechnen.[10] Der einzelfallbezogene Bußgeldrahmen ist auch hinsichtlich der Auswahl des Multiplikationsfaktors bei einer sehr schweren Tat einzuhalten.[11]

5. Anpassung des Bußgelds im Einzelfall

Sofern noch nicht sämtliche für und gegen den Betroffenen sprechende erschwerende oder mildernde Umstände im Rahmen des 4. Schrittes berücksichtigt wurden, wird der errechnete Betrag anhand dieser angepasst. Insbesondere fließen dabei sämtliche Umstände (vgl. Art. 83 Abs. 2 DSGVO) sowie beispielsweise eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens in die Entscheidung ein.[12]

Weiterhin wird von der Behörde sichergestellt, dass das errechnete Bußgeld den Vorgaben des Art. 83 Abs. 4 bis Abs. 6 DSGVO entspricht, insbesondere dessen (flexiblen) Obergrenzen.[13]

Kritik

Als Kritikpunkt am vereinheitlichten Modell muss etwa die Koppelung des Bußgeldes an den Jahresumsatz des Unternehmens angesehen werden. Macht ein Unternehmen beispielsweise weniger Gewinn als ein anderes bei gleichem Umsatz, ist das zu zahlende Bußgeld unverhältnismäßig hoch.[14]

Weiterhin besteht für Unternehmen mit Tochtergesellschaften ein erhöhtes und oftmals schwer zu kontrollierendes Risiko aufgrund einer unverhältnismäßigen Haftungserweiterung.[15] Erfolgt etwa ein Datenschutzverstoß durch das Tochterunternehmen eines Großkonzerns mit einem Jahresumsatz von 100 Milliarden Euro, ist für diesen selbst im Falle eines leichten Vergehens mit einem Bußgeld von ca. einer Milliarde Euro zu rechnen.[16]

Weiterhin bleibt den Behörden ein großer Ermessensspielraum erhalten, da das Konzept offenlässt, welche Verstöße letztlich zu welchen Bußgeldern führen. Ob die Behörden einen Verstoß als leicht oder schwer bewerten, obliegt ihrer subjektiven Einschätzung.[17]

Auch die Komplexität des Konzepts kann in der Praxis problematisch sein, ist jedoch angesichts der im Rahmen der Bewertung im Einzelfall zu gewährleistenden Verhältnismäßigkeit angemessen.[18]

Zu klären ist außerdem die Frage nach dem Umgang mit Unternehmen, die keinen Vorjahresumsatz aufweisen können oder rote Zahlen schreiben.[19]

Ausblick

Durch das Konzept der Datenschutzkonferenz wurden Leitlinien zur Bußgeldbemessung geschaffen, welche sowohl die wirtschaftliche Kraft des Unternehmens als auch die Schwere des Verstoßes berücksichtigen und eine Anpassung des berechneten Bußgelds durch die Behörden bei Bedarf vorsehen. Neben der gewünschten Vereinheitlichung, Transparenz und erleichterten Kalkulierbarkeit und Nachvollziehbarkeit weist es jedoch auch eine gewisse Komplexität auf und wird künftig wohl der Grund für hohe Bußgelder sein, mit denen sich insbesondere umsatzstarke Unternehmen und Konzerne konfrontiert sehen werden.

Innerhalb des Verfahrens liegt es im Ermessen der Aufsichtsbehörde, den Schweregrad der Tat einzuordnen. Die Kriterien in Art. 83 DSGVO sind zudem nicht sonderlich eindeutig. Dies sorgt dafür, dass im Rahmen der individuellen Zumessung die Berechnung des Bußgeldes nicht zwangsläufig immer transparent und nachvollziehbar sein wird.

Ob die künftig verhängten Bußgelder aufgrund der mit der Konzeptionierung einhergehenden Schwächen einer Prüfung der Gerichte standhalten werden, bis der Europäische Datenschutzausschuss seine finalen Leitlinien zur europaweiten Harmonisierung veröffentlicht, bleibt abzuwarten. Die damit einhergehende Aufgabe der Datenschutzbehörden liegt innerhalb der Argumentation vor den Gerichten in denen es ihnen obliegt diese davon zu überzeugen, dass ihrerseits anhand der neuen Berechnungsmethode ein angemessenes Bußgeld verhängt wurde.

Umso wichtiger ist es für Unternehmen, sich für den Ernstfall zu rüsten und ihren Umgang mit personenbezogenen Daten DSGVO-konform auszugestalten.


[1] Pressemitteilung der Berliner Datenschutzbeauftragten Maja Smoltczyk, Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft, 5. November 2019.

[2] Zust. Wolff, in: Schantz/Wolff, Rn. 1126; auf den unions- und verfassungsrechtlichen Gleichbehandlungsgrundsatz verweisend Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 83 Rn. 21 f. (m.w.N.); vgl. auch Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 10.

[3] So etwa Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 1130; ebenso Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 8; Holländer, in: BeckOK Datenschutzrecht, 30. Ed. 01.11.2019, DS-GVO Art. 83 Rn. 18; abl. Härting, DS-GVO, 2016, Rn. 253.

[4] Holländer, in: BeckOK Datenschutzrecht, 30. Ed. 01.11.2019, DS-GVO Art. 83 Rn. 18; vgl. auch EuGH, Urt. v. 08.07.1999 – C-199/92 – BeckRS 1999, 55277, Rn. 150.

[5] DSK Datenschutzkonferenz, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen, 14. Oktober 2019.

[6] Kritisch etwa Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 20 (m.w.N.).

[7] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 5), S. 3 ff.

[8] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 5), S. 5 f.

[9] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 5), S. 6 f.

[10] Vgl. Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 18.

[11] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 5), S. 7 f.

[12] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 5), S. 8.

[13] Vgl. Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 18.

[14] Solmecke, Unternehmen drohen höhere DSGVO-Bußgelder, WBS-Law.de, 22. Oktober 2019, zuletzt abgerufen am 20. November 2019.

[15] Solmecke, WBS-Law.de, 22. Oktober 2019 (vgl. Fn. 14).

[16] Wybitul, Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?, impulse.de, 24. Oktober 2019, zuletzt abgerufen am 20. November 2019.

[17] Wybitul, impulse.de, 24. Oktober 2019 (vgl. Fn. 16).

[18] Wybitul, Datenschutzbehörden verabschieden Modell zur Berechnung von Bußgeldern, 8. September 2019, zuletzt abgerufen am 18. Dezember 2019.

[19] Haerting, DSK: Konzept zur Berechnung von DSGVO-Bußgeldern veröffentlicht, 24. Oktober 2019, zuletzt abgerufen am 18. Dezember 2019.

Schreiben Sie einen Kommentar