Ein aufmerksamkeitserregendes und für Unternehmen abschreckendes Beiwerk der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) sind die Bußgeldverfahren, die mit einschlägigen Verstößen einhergehen. Mit Inkrafttreten der DSGVO im Mai 2018 entwickelte sich der Datenschutz endgültig zu einem ernstzunehmenden Thema für Compliance. Art. Die in Art. 83 DSGVO als verwaltungsrechtliche Sanktion geregelte Geldbuße ist dabei ein für Untermehmen schmerzhaftes Instrument.

Derzeit vielfach diskutiert ist etwa das medienwirksame Rekordbußgeld in Höhe von rund 14,5 Millionen Euro, welches von der Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen die Immobiliengesellschaft „Deutsche Wohnen“ erlassen wurde.1Pressemitteilung der Berliner Datenschutzbeauftragten Maja Smoltczyk, Berliner Datenschutzbeauftragte verhängt Bußgeld gegen ...continue

Der folgende Beitrag soll die Durchführung des Bußgeldverfahrens sowie die Bußgeldberechnung in der behördlichen Praxis beleuchten.

 

Entschließungsermessen der Aufsichtsbehörde

Ausgangspunkt eines Bußgeldverfahrens ist regelmäßig ein Verdacht seitens der Datenschutzbehörde oder eine entsprechende Meldung durch einen Betroffenen. Sobald die Datenschutzbehörde ein Verfahren einleitet, erhält der Verantwortliche ein schriftliches Auskunftsersuchen, welches der rechtlichen Bewertung durch die Behörde dient und dem Verantwortlichen die Möglichkeit bietet, eine Stellungnahme zu dem beanstandeten Vorfall abzugeben.

Grundsätzlich kann ein Bußgeld im Falle eines Verstoßes gegen die DSGVO verhängt werden. Eine entsprechende Pflicht hierzu lässt sich dem Wortlaut des Art. 83 Abs. 2 S. 1 DSGVO hingegen nicht entnehmen.2zust. Wolff, in: Schantz/Wolff, Rn. 1126; auf den unions- und verfassungsrechtlichen Gleichbehandlungsgrundsatz verweisend Eckhardt, in: ...continue Welche Verstöße sanktioniert werden können, ergibt sich aus Art. 83 Abs. 4 und 5 DSGVO.

Geht die Behörde nach der Anhörung davon aus, dass ein solcher Verstoß vorliegt, wird das eigentliche Bußgeldverfahren eingeleitet. Dessen Ablauf richtet sich in Deutschland nach dem Ordnungswidrigkeitsgesetz (OWiG). Nach Erlass des Bußgeldbescheids bleibt dem Verantwortlichkeit die Möglichkeit des Einspruchs.

Ob ein Verschulden erforderlich ist oder sein müsste, ist umstritten. Dem Wortlaut des Art. 83 DSGVO nach ist für die Verhängung einer Geldbuße kein Verschulden nötig, sondern nennt Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes lediglich als Umstand, der bei der Bemessung der Geldbuße zu berücksichtigen ist. Einige Stimmen in der Literatur wollen daher das Verschuldenselement als „begriffsimmanent“ verstehen, sodass auch Ordnungswidrigkeiten i.S.d. Art. 83 DSGVO Vorsatz oder zumindest Fahrlässigkeit erfordern. Im Gegensatz zu den meisten Abhilfemaßnahmen, die keine Sanktionen im engeren Sinn darstellen, sondern vielmehr darauf ausgerichtet seien, aufsichtsbehördliche Maßnahmen – Warnungen, Anweisungen, Anordnungen etc. – zu ermöglichen und so den rechtmäßigen Zustand wiederherzustellen, rage die Geldbuße gewissermaßen heraus, sodass der Verstoß mindestens fahrlässig herbeigeführt worden sein müsse.3so etwa Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 1130; ebenso Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 8; ...continue Auch eine Unschuldsvermutung muss dieser Auffassung nach wegen der Art der Zuwiderhandlungen und der Schwere der Sanktionen zugunsten des Unternehmers gelten.4Holländer, in: BeckOK Datenschutzrecht, 30. Ed. 01.11.2019, DS-GVO Art. 83 Rn. 18; vgl. auch EuGH, Urt. v. 08.07.1999 – C-199/92 – BeckRS 1999, ...continue

 

Kriterien für die Bemessung des Bußgelds

Während die DSGVO lediglich die möglichen Höchststrafen regelt, bestimmen die Datenschutzbehörden, wie hoch das Bußgeld im Einzelfall ausfällt.

Für mehr Transparenz und Nachvollziehbarkeit bei der Bemessung von Geldbußen nach Art. 83 DSGVO, wo unter anderem geregelt ist, dass bereits im Falle eines weniger schweren Verstoßes bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können, legte der Arbeitskreis Sanktionen der Konferenz der unabhängigen Datenschutzbehörden (DSK) in diesem Jahr entsprechende Kriterien für die konkrete Bemessung fest.5DSK Datenschutzkonferenz, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen ...continue

Diese gilt nur für Unternehmen und weder für private Akteure, noch für Vereine. Gerichte sind in ihrer Entscheidung nicht an die Kriterien gebunden. Weiterhin binden sie zudem nicht die Datenschutzbehörden anderer Mitgliedsstaaten der EU und gelten nicht für grenzüberschreitende Fälle.

Das erstellte Konzept gilt in Deutschland so lange, bis auf europäischer Ebene durch den Europäischen Datenschutz-Ausschuss (EDSA) Leitlinien festgelegt werden, was als Tätigkeit des Ausschusses in Art. 70 Abs. 1 lit. k) DSGVO aufgeführt wird. Diskutiert werden derzeit bereits unterschiedliche Konzepte zur Vereinheitlichung der europäischen Bußgeldmodelle.

Der bis dahin festgelegte Ablauf beinhaltet fünf Schritte:

 

1.    Zuordnung des Unternehmens zu einer Größenklasse

Anhand seiner Größe wird das betroffene Unternehmen einer von vier Größenklassen zugeordnet. Diese richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen. Der Begriff des Umsatzes bezieht sich dabei auf den des gesamten Konzerns, da gemäß Erwägungsgrund 150 der DSGVO der aus dem Kartellrecht entlehnte funktionale Unternehmensbegriff nach Art. 101 und 102 AEUV heranzuziehen ist, weshalb sich auch bei einem von einem Tochterunternehmen verschuldeten Verstoß hieran zu orientieren ist.6kritisch etwa Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 20 (m.w.N.). Zur konkreteren Einordnung der Unternehmen erfolgt eine weitere Unterteilung in Untergruppen.7DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 3 ff.

 

2.    Bestimmung des mittleren Jahresumsatzes

Zur Veranschaulichung der im Anschluss erfolgenden Ermittlung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe ermittelt, in die das Unternehmen eingeordnet wurde.8DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 5 f.

 

3.    Ermittlung des wirtschaftlichen Grundwerts

Der ermittelte mittlere Jahresumsatz wird zur Festsetzung des wirtschaftlichen Grundwertes durch 360 geteilt, um einen durchschnittlichen Tagessatz zu errechnen.9DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 6 f.

 

4.    Bestimmung des Multiplikationsfaktors je nach Schweregrad des Verstoßes

Anhand der konkreten tatbezogenen Umstände des Einzelfalls erfolgt eine Einordnung des Schweregrads des Verstoßes in leicht, mittel, schwer oder sehr schwer.

Unter Berücksichtigung der Umstände des Einzelfalls anhand der in Art. 83 Abs. 2 DSGVO genannten Kriterien werden der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, welcher mit dem Grundwert multipliziert wird. Mit Blick auf die abweichenden Bußgeldrahmen werden dabei formellen Verstößen (Art. 83 Abs. 4 DSGVO) und materiellen Verstößen (Art. 83 Abs. 5 und 6 DSGVO) unterschiedliche Faktoren zugeordnet. Bei Zusammentreffen mehrerer Verstöße – insbesondere Verstöße gegen Vorschriften der DSGVO neben Verstößen gegen aufsichtsbehördliche Anordnungen – mit einer Addition der Bußgelder und damit einem hohen Gesamtbetrag zu rechnen.10vgl. Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 18. Der einzelfallbezogene Bußgeldrahmen ist auch hinsichtlich der Auswahl des Multiplikationsfaktors bei einer sehr schweren Tat einzuhalten.11DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 7 f.

 

5.    Anpassung des Bußgelds im Einzelfall

Sofern noch nicht sämtliche für und gegen den Betroffenen sprechende erschwerende oder mildernde Umstände im Rahmen des 4. Schrittes berücksichtigt wurden, wird der errechnete Betrag anhand dieser angepasst. Insbesondere fließen dabei sämtliche Umstände (vgl. Art. 83 Abs. 2 DSGVO) sowie beispielsweise eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens in die Entscheidung ein.12DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 8..

Weiterhin wird von der Behörde sichergestellt, dass das errechnete Bußgeld den Vorgaben des Art. 83 Abs. 4 bis Abs. 6 DSGVO entspricht, insbesondere dessen (flexiblen) Obergrenzen.13vgl. Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn.  18.

 

Kritik

Als Kritikpunkt am vereinheitlichten Modell muss etwa die Koppelung des Bußgeldes an den Jahresumsatz des Unternehmens angesehen werden. Macht ein Unternehmen beispielsweise weniger Gewinn als ein anderes bei gleichem Umsatz, ist das zu zahlende Bußgeld unverhältnismäßig hoch.14Solmecke, Unternehmen drohen höhere DSGVO-Bußgelder, WBS-Law.de, 22. Oktober 2019, abrufbar unter: ...continue

Weiterhin besteht für Unternehmen mit Tochtergesellschaften ein erhöhtes und oftmals schwer zu kontrollierendes Risiko aufgrund einer unverhältnismäßigen Haftungserweiterung.15Solmecke, WBS-Law.de, 22. Oktober 2019 (vgl. vorhergehende Fn.) Erfolgt etwa ein Datenschutzverstoß durch das Tochterunternehmen eines Großkonzerns mit einem Jahresumsatz von 100 Milliarden Euro, ist für diesen selbst im Falle eines leichten Vergehens mit einem Bußgeld von ca. einer Milliarde Euro zu rechnen.16Wybitul, Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?, impulse.de, 24. Oktober 2019, abrufbar unter: ...continue

Weiterhin bleibt den Behörden ein großer Ermessensspielraum erhalten, da das Konzept offen lässt, welche Verstöße letztlich zu welchen Bußgeldern führen. Ob die Behörden einen Verstoß als leicht oder schwer bewerten, obliegt ihrer subjektiven Einschätzung.17Wybitul, impulse.de, 24. Oktober 2019 (vgl. vorhergehende Fn.).

Auch die Komplexität des Konzepts kann in der Praxis problematisch sein, ist jedoch angesichts der im Rahmen der Bewertung im Einzelfall zu gewährleistenden Verhältnismäßigkeit angemessen.18Wybitul, Datenschutzbehörden verabschieden Modell zur Berechnung von Bußgeldern, 8. September 2019, abrufbar unter: ...continue.

Zu klären ist außerdem die Frage nach dem Umgang mit Unternehmen, die keinen Vorjahresumsatz aufweisen können oder rote Zahlen schreiben.19Haerting, DSK: Konzept zur Berechnung von DSGVO-Bußgeldern veröffentlicht, 24. Oktober 2019, abrufbar unter: ...continue

 

Ausblick

Durch das Konzept der Datenschutzkonferenz wurden Leitlinien zur Bußgeldbemessung geschaffen, welche sowohl die wirtschaftliche Kraft des Unternehmens als auch die Schwere des Verstoßes berücksichtigen und eine Anpassung des berechneten Bußgelds durch die Behörden bei Bedarf vorsehen. Neben der gewünschten Vereinheitlichung, Transparenz und erleichterten Kalkulierbarkeit und Nachvollziehbarkeit weist es jedoch auch eine gewisse Komplexität auf und wird künftig wohl der Grund für hohe Bußgelder sein, mit denen sich insbesondere umsatzstarke Unternehmen und Konzerne konfrontiert sehen werden.

Innerhalb des Verfahrens liegt es im Ermessen der Aufsichtsbehörde, den Schweregrad der Tat einzuordnen. Die Kriterien in Art. 83 DSGVO sind zudem nicht sonderlich eindeutig. Dies sorgt dafür, dass im Rahmen der individuellen Zumessung die Berechnung des Bußgeldes nicht zwangsläufig immer transparent und nachvollziehbar sein wird.

Ob die künftig verhängten Bußgelder aufgrund der mit der Konzeptionierung einhergehenden Schwächen einer Prüfung der Gerichte standhalten werden, bis der Europäische Datenschutzausschuss seine finalen Leitlinien zur europaweiten Harmonisierung veröffentlicht, bleibt abzuwarten. Die damit einhergehende Aufgabe der Datenschutzbehörden liegt innerhalb der Argumentation vor den Gerichten in denen es ihnen obliegt diese davon zu überzeugen, dass ihrerseits anhand der neuen Berechnungsmethode ein angemessenes Bußgeld verhängt wurde.

Umso wichtiger ist es für Unternehmen, sich für den Ernstfall zu rüsten und ihren Umgang mit personenbezogenen Daten DSGVO-konform auszugestalten.

Referenzen   [ + ]

1. Pressemitteilung der Berliner Datenschutzbeauftragten Maja Smoltczyk, Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft, 5. November 2019.
2. zust. Wolff, in: Schantz/Wolff, Rn. 1126; auf den unions- und verfassungsrechtlichen Gleichbehandlungsgrundsatz verweisend Eckhardt, in: Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 83 Rn. 21 f.(m.w.N.); vgl. auch Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 10.
3. so etwa Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, 2017, Rn. 1130; ebenso Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 8; Holländer, in: BeckOK Datenschutzrecht, 30. Ed. 01.11.2019, DS-GVO Art. 83 Rn. 18; abl. Härting, DS-GVO, 2016, Rn. 253.
4. Holländer, in: BeckOK Datenschutzrecht, 30. Ed. 01.11.2019, DS-GVO Art. 83 Rn. 18; vgl. auch EuGH, Urt. v. 08.07.1999 – C-199/92 – BeckRS 1999, 55277, Rn. 150.
5. DSK Datenschutzkonferenz, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen, 14. Oktober 2019.
6. kritisch etwa Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 20 (m.w.N.).
7. DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 3 ff.
8. DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 5 f.
9. DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 6 f.
10. vgl. Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn. 18.
11. DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 7 f.
12. DSK Konzept zur Bußgeldbemessung (vgl. vorhergehende Fn.), S. 8.
13. vgl. Frenzel, in: Paal/Pauly, DS-GVO, 2. Aufl. 2018, Art. 83 Rn.  18.
14. Solmecke, Unternehmen drohen höhere DSGVO-Bußgelder, WBS-Law.de, 22. Oktober 2019, abrufbar unter: https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/dsk-dsgvo-bussgeld-zumessung-unternehmen-46123/, zuletzt abgerufen am 20. November 2019.
15. Solmecke, WBS-Law.de, 22. Oktober 2019 (vgl. vorhergehende Fn.
16. Wybitul, Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?, impulse.de, 24. Oktober 2019, abrufbar unter: https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-bussgeldkonzept/7450785.html, zuletzt abgerufen am 20. November 2019.
17. Wybitul, impulse.de, 24. Oktober 2019 (vgl. vorhergehende Fn.
18. Wybitul, Datenschutzbehörden verabschieden Modell zur Berechnung von Bußgeldern, 8. September 2019, abrufbar unter: https://www.lathamgermany.de/2019/09/datenschutzbehorden-verabschieden-modell-zur-berechnung-von-busgeldern/, zuletzt abgerufen am 18. Dezember 2019.
19. Haerting, DSK: Konzept zur Berechnung von DSGVO-Bußgeldern veröffentlicht, 24. Oktober 2019, abrufbar unter: https://www.haerting.de/neuigkeit/dsk-konzept-zur-berechnung-von-dsgvo-bussgeldern-veroeffentlicht, zuletzt abgerufen am 18. Dezember 2019.