DSGVO Bußgelder - wie teuer wird es?

Mal 50.000 Euro, mal 204 Mio. Euro, mal 20.000 Euro, ein anderes mal 195.000 Euro. Da bleibt Interpretations-Spielraum, wie wohl die Bußgelder bei Datenschutz-Verstößen in Europa festgelegt werden. 

Dass die Grundlage 2 % bzw. 4 % des weltweiten Jahres-Umsatzes sein kann, und dass die Höhe abhängig vom Verstoß und den Umständen sein wird, ist direkt in Art. 83 DSGVO aufgeführt. 

 

Nun hat die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) vor wenigen Tagen (14.10.2019) ein Dokument verfasst, das mehr Transparenz in die Berechnung von Bußgeldern in Deutschland bringen soll. 

 

Der recht sperrige Titel ist "Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen". 

 

Einschränkungen

Bevor hier das eigentliche Konzept anhand eines fiktiven Beispiels betrachtet werden soll, zunächst die im Papier genannten Einschränkungen:

"...Es findet insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Das Konzept ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte."

 

Und es ist ein vorläufig gültiges Konzept: 

"...Das Konzept verliert zudem seine Gültigkeit, sobald der EDSA seine abschließenden Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat."

 

Berechnung

Das Konzept sieht eine Bußgeld-Berechnung in 5 Schritten vor: 

  1. das betroffene Unternehmen wird einer Größenklasse zugeordnet
  2. danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt
  3. dann wird ein sog. wirtschaftlicher Grundwert ermittelt
  4. dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert
  5. abschließend wird der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst; 

Beispiel:

Hinweis: Dieses Beispiel ist fiktiv und basiert auf dem derzeitigen Verständnis des Autors zum Konzept der DSK; Auslegungen der Aufsichtsbehörden können dabei - vor allem auf individuelle Einzelfälle bezogen - nicht beurteilt werden. 

 

Die "Marktteilnehmer GmbH" machte im Jahr 2018 einen Jahresumsatz von 1,1 Mio Euro. Bei einer Prüfung 2019 stellt die Aufsichtsbehörde fest, dass kein Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO erstellt wurde. 

  1. In Schritt 1 würde das Unternehmen also wohl der Größenklasse A, konkreter A.II (Jahresumsatz über 700.000 € bis 1,4 Mio. €) zugeordnet. 
  2. Schritt 2 ergäbe damit einen mittleren Jahresumsatz in der Untergruppe A.II in Höhe von 1,05 Mio Euro.
  3. Durch die Aufteilung dieses Betrages in 360 "Tagessätze" ergäbe sich also ein "wirtschaftlicher Grundwert" für die "Marktteilnehmer GmbH" in Höhe von 2.917,00 Euro. 

Und ab jetzt wird der "Einzelfall" betrachtet.

Art. 83 Abs. 2 DSGVO liefert die Kriterien für die Entscheidung über die Verhängung einer Geldbuße und über deren Betrag. 

Darin finden sich Begriffe wie Vorsatz, Fahrlässigkeit, Art/Schwere/Dauer des Verstoßes, frühere Verstöße, Kategorien personenbezogener Daten, etc. 

 

Im Konzept werden für Schritt 4 - also die Multiplikation des Grundwertes nach Schwere der Tat - Faktoren angegeben die sich in

  • "formelle" Verstöße gemäß Art. 83 Abs. 4 DS-GVO und
  • "materielle" Verstöße gemäß § 83 Abs. 5, 6 DS-GVO

unterteilen. Und dort nochmals in die Schweregrade "leicht, mittel, schwer" und "sehr schwer". 

 

Wie diese Betrachtung durch die Aufsichtsbehörden genau vorgenommen wird und in welchen Fällen welcher Multiplikator verwendet wird, dürfte sehr stark vom Verhalten der Verantwortlichen Stelle vor, während und nach dem Verstoß abhängen und lässt den Aufsichtsbehörden einen gewissen Ermessens-Spielraum. 

 

Nehmen wir mal an, dass es sich beim Datenschutz-Verstoß der "Marktteilnehmer GmbH" um einen erstmaligen Verstoß handelt, der Art. 83 Abs. 4 lit. a DSGVO betrifft.

 

Ob nach der langen Zeit seit Mai 2018 für das Fehlen eines VVT z.B. "Fahrlässigkeit" angenommen werden könnte, welcher Schweregrad hier von den Aufsichtsbehörden angesetzt würde, etc. ist an dieser Stelle nicht bekannt. 

 

Deshalb die rein fiktive Annahme, das der Verstoß aufgrund der Umstände von der Aufsichtsbehörde in Schritt 4 des Bemessungs-Konzepts vielleicht als "mittel" (Schweregrad der Tat) vielleicht mit Faktor 3 multipliziert würde.

 

4. Multiplikation des Grundwertes 2.917,00 Euro x Faktor 3 = 8.751,00 Euro Bußgeld (fiktiver Betrag!)

 

Und in Schritt

5. kann dann wohl dieser Betrag nochmals wesentlich angepasst werden (nach unten oder oben). 

 

Dieser letzte Schritt lässt durchaus Fragen offen, wie stark sich diese bis Schritt 4 festgesetzte Bußgeld-Höhe noch verändert. Konkret heißt es im Papier der DSK: 

 

"Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände

Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens."

 

Anderes Beispiel: 

Nehmen wir an, die "Marktteilnehmer GmbH" wäre der berechtigten Anfrage eines Betroffenen nach Art. 15 DSGVO wiederholt nicht nachgekommen, der sich daraufhin bei einer Aufsichtsbehörde beschwert?

 

Also "materieller Verstoß". Vielleicht anhand der Umstände "nur" als "mittel" eingestuft?

Vielleicht eine Multiplikation des Grundwertes 2.917,00 Euro x Faktor 4 bis 8?

Mögliche knapp 12.000 - 24.000 Euro Bußgeld-Höhe (vor möglicher Anpassung in Schritt 5)?

 

Fazit

Es bleiben einige Fragen offen, gerade was die Schwere der Tat, die damit zusammen hängenden Multiplikatoren und den Ermessensspielraum der Aufsichtsbehörden betrifft. Aber es gibt etwas mehr Transparenz, wie Bußgelder in Deutschland zukünftig berechnet werden könnten. 

 

In jedem Fall dürften die Bußgelder bei Verstößen gegen die DSGVO teurer sein, als sich an einen Experten für Datenschutz zu wenden und die Umsetzung anzugehen.

 

Und es wird spannend welche Einstufung und Multiplikator die Aufsichtsbehörden der Erklärung von Verantwortlichen geben, sie hätten "keine Zeit für die Umsetzung" gehabt... 

 

Quellen: 

Das Konzept der DSK zur Bußgeld-Zumessung findet man hier (externer Link, DSK)

 

Update: 18.10.2019