AllgemeinDatenschutz

Bußgeldverfahren und Bußgeldberechnung nach der DS-GVO

Ein die Aufmerksamkeit der Öffentlichkeit erregendes und die Unternehmen abschreckendes Beiwerk der seit Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DS-GVO) sind die Bußgeldverfahren, die mit Verstößen gegen jene einhergehen.

Derzeit vielfach diskutiert ist das medienwirksame Rekordbußgeld in Höhe von rund 14,5 Millionen Euro, welches von der Berliner Beauftragten für Datenschutz und Informationsfreiheit gegen die Immobiliengesellschaft „Deutsche Wohnen“ erlassen wurde.[1]

Der folgende Beitrag soll Aufschluss über die Durchführung des Bußgeldverfahrens sowie über die Bußgeldberechnung in der behördlichen Praxis liefern.

 

Ablauf eines Bußgeldverfahrens

Ausgangspunkt eines Bußgeldverfahrens ist regelmäßig ein Verdacht seitens der Datenschutzbehörde oder eine entsprechende Meldung durch einen Betroffenen. Sobald die Datenschutzbehörde ein Verfahren einleitet, erhält der Verantwortliche ein schriftliches Auskunftsersuchen, welches der rechtlichen Bewertung durch die Behörde dient und dem Verantwortlichen die Möglichkeit bietet, eine Stellungnahme zu dem beanstandeten Vorfall abzugeben.

Grundsätzlich kann ein Bußgeld im Falle eines Datenschutzverstoßes verhängt werden. Welche Verstöße das sein können, ergibt sich aus Art. 83 Abs. 4 und Abs. 5 DS-GVO. Ob ein Verschulden erforderlich ist, ist umstritten.

Geht die Behörde nach der Anhörung davon aus, dass ein solcher Verstoß vorliegt, wird das eigentliche Bußgeldverfahren eingeleitet. Der Ablauf dessen richtet sich in Deutschland nach dem Ordnungswidrigkeitsgesetz (OWiG). Nach Erlass des Bußgeldbescheids bleibt dem Verantwortlichkeit die Möglichkeit offen, Einspruch gegen diesen zu erheben.

 

Kriterien für die Bußgeldbemessung

Während die DS-GVO lediglich die möglichen Höchststrafen regelt, bestimmen die Datenschutzbehörden, wie hoch das Bußgeld im Einzelfall ausfällt.

Für mehr Transparenz und Nachvollziehbarkeit der Bemessung von Geldbußen nach Art. 83 DSGVO, wo unter anderem geregelt ist, dass bereits im Falle eines weniger schweren Verstoßes bis zu zehn Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes als Strafe verhängt werden können, legte die Konferenz der unabhängigen Datenschutzbehörden nun entsprechende Kriterien für die konkrete Bemessung fest.[2] Diese gilt nur für Unternehmen und weder für private Akteure, noch für Vereine. Gerichte sind in ihrer Entscheidung nicht an die Kriterien gebunden. Weiterhin binden sie zudem nicht die Datenschutzbehörden anderer Mitgliedsstaaten der EU und gelten nicht für grenzüberschreitende Fälle.

Das erstellte Konzept gilt in Deutschland so lange, bis auf europäischer Ebene durch den Europäischen Datenschutz-Ausschuss (EDSA) Leitlinien festgelegt werden, was als Tätigkeit des Ausschusses in Art. 70 Abs. 1 lit. k) DS-GVO aufgeführt wird. Der bis dahin festgelegte Ablauf beinhaltet fünf Schritte:

 

1. Zuordnung des Unternehmens zu einer Größenklasse

Anhand seiner Größe wird das betroffene Unternehmen einer von vier Größenklassen zugeordnet. Diese richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen. Der Begriff des Umsatzes bezieht sich dabei auf den des gesamten Konzerns, weshalb sich auch bei einem von einem Tochterunternehmen verschuldeten Verstoß daran orientiert wird. Zur konkreteren Einordnung der Unternehmen erfolgt eine weitere Unterteilung in Untergruppen.[3]

 

2. Bestimmung des mittleren Jahresumsatzes

Zur Veranschaulichung der im Anschluss erfolgenden Ermittlung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe ermittelt, in die das Unternehmen eingeordnet wurde.[4]

 

3. Ermittlung des wirtschaftlichen Grundwerts

Der ermittelte mittlere Jahresumsatz wird zur Festsetzung des wirtschaftlichen Grundwertes durch 360 geteilt, um einen durchschnittlichen Tagessatz zu errechnen.[5]

 

4. Bestimmung des Multiplikationsfaktors für den Schweregrad des Verstoßes

Anhand der konkreten tatbezogenen Umstände des Einzelfalls erfolgt eine Einordnung des Schweregrads des Verstoßes in leicht, mittel, schwer oder sehr schwer.

Unter Berücksichtigung der Umstände des Einzelfalls anhand der in Art. 83 Abs. 2 DS-GVO genannten Kriterien werden der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, welcher mit dem Grundwert multipliziert wird. Mit Blick auf die abweichenden Bußgeldrahmen werden dabei formellen Verstößen (Art. 83 Abs. 4 DS-GVO) und materiellen Verstößen (Art. 83 Abs. 5 und Abs. 6 DS-GVO) unterschiedliche Faktoren zugeordnet. Innerhalb der Festlegung eines Multiplikationsfaktors für eine sehr schwere Tat darf dennoch der einzelfallbezogene Bußgeldrahmen nicht überschritten werden.[6]

 

5. Anpassung des Bußgelds im Einzelfall

Sofern noch nicht sämtliche für und gegen den Betroffenen sprechenden Umstände im Rahmen des 4. Schrittes berücksichtigt wurden, wird der errechnete Betrag anhand dieser angepasst. Insbesondere fließen dabei sämtliche täterbezogene Umstände (vgl. Art. 83 Abs. 2 DS-GVO) sowie beispielsweise eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens in die Entscheidung ein.[7]

 

Kritik

Als Kritikpunkt kann die Koppelung des Bußgeldes an den Jahresumsatz des Unternehmens angesehen werden. Macht ein Unternehmen beispielsweise weniger Gewinn als ein anderes bei gleichem Umsatz, ist das zu zahlende Bußgeld unverhältnismäßig hoch.[8]

Weiterhin besteht für Unternehmen mit Tochtergesellschaften ein erhöhtes und oftmals schwer zu kontrollierendes Risiko aufgrund einer unverhältnismäßigen Haftungserweiterung.[9] Erfolgt beispielsweise durch das Tochterunternehmen eines Großkonzerns mit einem Jahresumsatz von 100 Milliarden Euro ein Datenschutzverstoß, ist für ihn selbst im Falle eines leichten Vergehens mit einem Bußgeld von circa einer Milliarde Euro zu rechnen.[10]

Weiterhin bleibt den Behörden ein großer Ermessensspielraum erhalten, da das Konzept offenlässt, welche Verstöße letztlich zu welchen Bußgeldern führen. Ob die Behörden einen Verstoß als leicht oder schwer bewerten, obliegt ihrer subjektiven Einschätzung.[11]

 

Ausblick

Durch das Konzept der Datenschutzkonferenz wurden Leitlinien zur Bußgeldbemessung geschaffen, welche sowohl die wirtschaftliche Kraft des Unternehmens als auch die Schwere des Verstoßes berücksichtigen und eine Anpassung des berechneten Bußgelds durch die Behörden bei Bedarf vorsehen. Neben der gewünschten bundesweiten Vereinheitlichung, Transparenz und erleichterten Kalkulierbarkeit weist es jedoch auch eine gewisse Komplexität auf und wird künftig wohl der Grund für hohe Bußgelder sein. Ob die künftig verhängten Bußgelder aufgrund der mit der Konzeptionierung einhergehenden Schwächen einer Prüfung der Gerichte standhalten werden, bis der Europäische Datenschutzausschuss seine finalen Leitlinien zur europaweiten Harmonisierung veröffentlicht, bleibt abzuwarten.

 

 


[1] Pressemitteilung der Berliner Datenschutzbeauftragten Maja Smoltczyk, Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft, 5. November 2019.

[2] DSK Datenschutzkonferenz, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen, 14. Oktober 2019.

[3] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 2), S. 3 ff.

[4] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 2), S. 5 f.

[5] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 2), S. 6 f.

[6] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 2), S. 7 f.

[7] DSK Konzept zur Bußgeldbemessung (vgl. Fn. 2), S. 8.

[8] Solmecke, Unternehmen drohen höhere DSGVO-Bußgelder, WBS-Law.de, 22. Oktober 2019, abrufbar unter: https://www.wbs-law.de/it-und-internet-recht/datenschutzrecht/dsk-dsgvo-bussgeld-zumessung-unternehmen-46123/, zuletzt abgerufen am 20. November 2019.

[9] Solmecke, WBS-Law.de, 22. Oktober 2019 (vgl. Fn. 1).

[10] Wybitul, Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?, impulse.de, 24. Oktober 2019, abrufbar unter: https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-bussgeldkonzept/7450785.html, zuletzt abgerufen am 20. November 2019.

[11] Wybitul, impulse.de, 24. Oktober 2019 (vgl. Fn. 10).

[12] Wybitul, impulse.de, 24. Oktober 2019 (vgl. Fn. 10).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*