Bußgeldkonzept der Datenschutzaufsichtsbehörden – Wieviel darf’s denn kosten?!

Der Hype um die Datenschutz-Grundverordnung (DS-GVO) und die regelrechte Panikmache wegen den Bußgeld„androhungen“ sind verflacht, obwohl zunächst der Schrecken wegen der deutlichen Anhebung des Bußgeldrahmens hoch war. Denn die bisher verhängten Bußgelder wurden eher als mäßig angesehen. Dies könnte sich nun ändern. „Bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes, je nach dem was höher liegt“, so die „Preisrange“ des Art. 83 DS-GVO.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich auf ein Bußgeldkonzept geeinigt. Dieses beschreibt, wie sich die Höhe eines Bußgeldes Deutschlandweit gleich berechnen soll, um Standortunterschiede der Unternehmen im Umgang mit Datenschutzverstößen zu vermeiden. Für Unternehmen und Datenschutzbeauftragte ist dieses Konzept interessant, um Risiken für das Unternehmen nicht pauschal, sondern gezielter bestimmen zu können. Insbesondere für Datenschutzbeauftragte kann dies ein Werkzeug sein, die Beteiligten für die Umsetzung zu sensibilisieren.

Unternehmensbegriff

Warum das wichtig ist: Das Bußgeld berechnet sich nach dem Umsatz eines Unternehmens. Der Abschnitt behandelt die Frage, welcher Umsatz anzusetzen ist.

Ein großer Streitfall bei der Verhängung von Bußgeldern ist insbesondere der Unternehmensbegriff. In Art. 4 Nr. 18 und 19 DS-GVO wird zwischen Unternehmen als einzelne wirtschaftliche Person und einer Unternehmensgruppe als hierarchische Einheit von Unternehmen unterschieden. In Art. 83 DS-GVO, der die Verhängung von Bußgeldern regelt, wird jedoch nur von Unternehmen gesprochen, nicht von einer Unternehmensgruppe. Nach der Legaldefinition wäre davon auszugehen, dass Bußgelder nur gegen das verursachende Unternehmen selbst, aber nicht den gesamten Konzernverbund zu verhängen sind.

In Erwägungsgrund 150 der DS-GVO wird hingegen der funktionale Unternehmensbegriff – wie im EU-Kartellrecht – für die Verhängung von Bußgeldern beschrieben. Daher soll die wirtschaftliche Einheit, also die Unternehmensgruppe, für die Verhängung von Bußgeldern herangezogen werden.

Die Aufsichtsbehörden haben mit dem Bußgeldkonzept diesen Meinungsstreit für sich entschieden und sich auf den funktionalen Unternehmensbegriff geeinigt. Ob dieser gerichtlich Bestand haben wird, bleibt jedoch weiterhin offen. Für die Feststellung des unternehmerischen Risikos kann der funktionale Unternehmensbegriff, und damit die Verwendung des Konzernumsatzes, zur Berechnung eines Bußgeldes nur empfohlen werden.

Bußgeldberechnung

Berechnungsgrundlage eines Bußgeldes ist der Vorjahresumsatz.

Jahresumsätze bis 500 Mio. Euro

Der Jahresumsatz unter 500 Mio. Euro ist in die nachfolgende Tabelle (Tabelle 1) einzuordnen. Die Zellenbezeichnung wird dazu verwendet, den „mittleren Jahresumsatz“ zu ermitteln und daraus den „wirtschaftlichen Grundwert“ (Tabelle 2) abzuleiten. Der Schritt 2 (mittlerer Jahresumsatz) kann aber auch zur Bußgeldermittlung übersprungen werden.

Jahresumsatz

A – Kleinstunternehmen

B – Kleine Unternehmen

C – Mittlere Unternehmen

D – Großunternehmen

A.Ibis. 700.000 €B.I2 Mio.  bis 5 Mio. €C.I10 Mio. bis 12,5 Mio. €D.I50 Mio. bis 75 Mio. €
A.II700.000 bis 1,4 Mio. €B.II5 Mio. bis 7,5 Mio. €C.II12,5 Mio. bis 15 Mio. €D.II75 Mio. bis 100 Mio. €
A.III1,4 Mio. € bis 2 Mio. €B.III7,5 Mio. 10 Mio. €C.III15 Mio. bis 20 Mio. €D.III100 Mio. bis 200 Mio. €
 C.IV20 Mio. bis 25 Mio. €D.IV200 Mio. bis 300 Mio. €
C.V25 Mio. bis 30 Mio. €D.V300 Mio. bis 400 Mio. €
C.VI30 Mio. bis 40 Mio. €D.VI400 Mio. bis 500 Mio. €
C.VII40 Mio. bis 50 Mio. € 
Wirtschaftlicher Grundwert

A – Kleinstunternehmen

B – Kleine Unternehmen

C – Mittlere Unternehmen

D – Großunternehmen

A.I972 €B.I9.722 €C.I31.250 €D.I173.611 €
A.II2.917 €B.II17.361 €C.II38.194 €D.II243.056 €
A.III4.722 €B.III24.306 €C.III48.611 €D.III416.667 €
 C.IV62.500 €D.IV694.444 €
C.V76.389 €D.V972.222 €
C.VI97.222 €D.VI1,25 Mio. €
C.VII125.000 € 

Jahresumsatz über 500 Mio. Euro

Liegt der Jahresumsatz (JU) über 500 Mio. Euro ist zur Ermittlung des wirtschaftlichen Grundwertes (wG) der genauere Wert zu nehmen und durch 360 Tage zu teilen.

wG = JU / 360

Ermittlung des Bußgeldes

Anhand der Kriterien aus Art. 83 Abs. 2 DS-GVO ist die Schwere des Verstoßes festzulegen in „leicht“, „mittel“, „schwer“ und „sehr schwer“. Mit der Zusammenführung, gegen welche Gesetz verstoßen wurde, wird der Faktor ermittelt, mit dem der wirtschaftliche Grundwert zu multiplizieren ist, um das Bußgeld zu ermitteln. Der Faktor wird jedoch nicht konkret bestimmt, sondern auch hier wird ein „Spielraum“ definiert, indem aufgrund der bestehenden Gegebenheiten und sonstigen Umstände (z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens) der Wert festgelegt werden kann.

  1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
  5. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
  10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
  11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
 
  
Ermittlung des Faktors
Schweregrad der TatFaktor für formelle Verstöße gemäß Art. 83 Abs. 4 DS-GVOFaktor für materielle Ver-stöße gemäß § 83 Abs. 5, 6 DS-GVO
Leicht1 bis 21 bis 4
Mittel2 bis 44 bis 8
Schwer4 bis 68 bis 12
Sehr Schwer6 <12 <

Bußgeldgrenzen

Die DS-GVO setzt Grenzen für die Verhängung von Bußgeldern. Diese sind nach Art. 83 Abs. 4 DS-GVO 10 Mio. € oder 2 % des weltweiten Jahresumsatzes oder nach Art. 83 Abs. 5 und 6 DS-GVO 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

Ebenso kann nicht außer Acht gelassen werden, dass es in Deutschland kein Unternehmensstrafrecht gibt. Bußgelder gegen Unternehmen können nach dem Gesetz über Ordnungswidrigkeiten nur verhängt werden, wenn das Vergehen durch eine Leitungsperson begangen oder im Auftrag gegeben wurde. Auch hierzu macht der Bußgeldkatalog des DSK keinerlei Aussagen.

Gibt es schon Beispiele für die Anwendung des Konzeptes?

Offizielle Angaben hierzu sind uns nicht bekannt. Jedoch kann beispielhaft das Bußgeld der Deutschen Wohnen herangezogen werden, welches die Berliner Datenschutzbeauftragte in Höhe von 14,5 Mio. Euro vor kurzem verhängte.

Nach der Pressemitteilung der Berliner Datenschutzbeauftragten wurde ein Maximalvolumen von 28 Mio. Euro festgestellt. Bei einem Jahresumsatz von über 1,4 Milliarden Euro laut der veröffentlichten Gewinn- und Verlustrechnung, entspricht dies 2 % des Umsatzes. Also einem Verstoß nach Art. 83 Abs. 4 DS-GVO. Nimmt man den Umsatz und teilt diesen durch 360 und teilt das Bußgeld durch den ermittelt Grundwert, erhält man einen Faktor von ca. 3 bis 4, also einen mittleren Schwergrad.

Fazit

Das Bußgeldkonzept kann als weiterer Faktor in die Risikobewertung von Datenschutzrisiken oder -Maßnahmen genutzt werden. Besser als bisher können die Auswirkungen möglicher Vorfälle und Berücksichtigung der ergriffenen Maßnahmen zum möglichen Schadensausmaß eines Vorfalls genutzt werden. Natürlich ist dies nur ein näherungsweiser Ansatz, da die genaue Bewertung der Behörde immer unterschiedlich ausfallen kann.

Bildquelle: Bild von  Steve Buissine auf pixabay

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert