23.10.2019  | Update Datenschutz Nr. 67

Neues Modell zur Bußgeldberechnung bei DSGVO-Verstößen




zurück zur Übersicht

Bereits seit einigen Wochen ist bekannt, dass die Konferenz der unabhängigen Datenschutz-aufsichtsbehörden von Bund und Ländern (DSK) sich am 25. Juni 2019 auf ein neues Verfahren zur Bemessung von Bußgeldern für Unternehmen einigte, die gegen Bestimmungen der DSGVO verstoßen haben. Am 16. Oktober 2019 veröffentlichte die DSK nun ihr neues Konzept in einem achtseitigen Bericht. Das neue Berechnungsmodell trägt zwar einerseits zur Sicherheit der Bußgeldbemessung bei, wirft jedoch auch einige neue Fragen auf.

Hintergrund

Um ein Auseinanderdriften der Höhe der Geldbußen zu vermeiden, sieht Art. 70 der DSGVO vor, dass der Europäische Datenschutzausschuss („EDSA“), das Gremium der Aufsichtsbehörden der EU Mitgliedsstaaten, Leitlinien für eine einheitliche Anwendung der Bußgeldvorschriften erlässt. Bisher hat der EDSA solche Leitlinien jedoch noch nicht erlassen. Um bis zum Erlass solcher Richtlinien durch den EDSA zumindest innerhalb von Deutschland einheitliche Bußgelder sicherzustellen, hat die DSK nun ein Verfahren zur Bemessung der Bußgeldberechnung entwickelt. Sobald ein europäisches Verfahren zur Bußgeldberechnung vorliegt, verliert das Verfahren der DSK seine Gültigkeit.

Verfahren zur Bußgeldbemessung

Die maßgebliche Grundlage für die Verhängung von Bußgeldern bleibt Art. 83 DSGVO, der verschiedene Faktoren festlegt, die bei der Bemessung von Bußgeldern berücksichtigt werden müssen. Das Verfahren der DSK zur Bußgeldzumessung knüpft an diese Faktoren an. Die Obergrenze der Bußgelder beträgt damit auch weiterhin EUR 20 Mio. bzw. 4 % des Jahresumsatzes.

Die konkrete Bemessung des Bußgeldes nach dem Verfahren der DSK erfolgt in 5 Schritten:

  1. Kategorisierung der Unternehmen in Größenklassen: Das betroffene Unternehmen wird anhand seines Umsatzes einer von vier Größenklassen zugeordnet. Dabei knüpft die DSK an den funktionalen Unternehmensbegriff im Sinne der Artikel 101 und 102 AEUV an, da auf diese Vorschrift auch in den Erwägungsgründen der DSGVO verwiesen wird. Dies bedeutet für Konzerngesellschaften, dass der weltweite Umsatz des ganzen Konzerns als Berechnungsgrundlage genommen wird.
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Gruppe: Für jede der Größenklassen hat die DSK einen mittleren Jahresumsatz erstellt.
  3. Ermittlung eines wirtschaftlichen Grundwertes: Für die Festsetzung dieses Grundwertes wird der mittlere Jahresumsatz der Gruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt, um so einen durchschnittlichen Tagessatz zu errechnen.
  4. Multiplikation dieses Grundwertes mit einem von der Schwere der Tatumstände abhängigen Faktor: In diesem Schritt wird zunächst der Schweregrad des Verstoßes ermittelt; hierfür wird ein Punktesystem verwendet, das die in Art. 83 DSGVO genannten Faktoren (u.a. Art, Dauer und Umfang des Verstoßes, Verschulden des Verantwortlichen und getroffene Minderungsmaßnahmen) berücksichtigt. Anhand der Punkte erfolgt die Einordnung in die Schweregradklassen leicht, mittel, schwer oder sehr schwer. Je nach Schweregrad und nach Art des Verstoßes (Art. 83 Abs. 4 oder Art 83 Abs. 5 und 6 DSGVO) wird dann der vorher ermittelte Tagessatz mit einem Faktor zwischen 1 und 12 multipliziert.
  5. Anpassung des ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände: Letztlich kann die Behörde das Bußgeld aufgrund von noch nicht berücksichtigten erschwerenden oder mildernden Umständen individuell anpassen.

Bewertung und Vergleich zu anderen Rechtsgebieten

Das neue Modell knüpft sehr stark an den Umsatz der Unternehmensgruppe an, was zukünftig zu deutlich höheren Bußgeldern führen dürfte. Bei einem Konzern mit einem Jahresumsatz von EUR 400 - 500 Mio. ergäbe sich beispielsweise bereits bei einem leichten Verstoß ein Bußgeld von ca. EUR 1,25 Mio., d.h. gefühlt unverhältnismäßig hohe Bußgelder könnten die Folge sein. Allerdings erfolgt auch im Kartellrecht schon seit vielen Jahren die Bußgeldbemessung anhand des Gruppenumsatzes; sehr hohe Bußgelder werden von den Gerichten regelmäßig nicht als unverhältnismäßig sondern aus Gründen der Abschreckung als rechtmäßig angesehen.

Abzuwarten wird allerdings sein, ob die Anknüpfung an den Umsatz der Unternehmensgruppe im Falle einer gerichtlichen Überprüfung Bestand haben wird. Anders als im Kartellrecht unterscheidet die DSGVO nämlich in den Begriffsbestimmungen zwischen dem Einzelunternehmen und der Unternehmensgruppe (siehe etwa Art. 4 Nr. 19 DSGVO für die Unternehmensgruppe). Art. 83 DSGVO spricht bei der Bußgeldzumessung aber nur vom Umsatz des Unternehmens und nicht der Unternehmensgruppe. Daher existieren auch gute Argumente dafür, dass der Gruppenumsatz nicht zur Bemessung des Bußgelds herangezogen werden kann.

Fazit und Handlungsempfehlung

Letztlich werden die Gerichte entscheiden müssen, ob die mit dem Verfahren der DSK berechneten Geldbußen rechtmäßig und zwingend anzuwenden sind. Im Kartellrecht entschied das OLG Düsseldorf bereits, dass Gerichte nicht an das allgemeine Berechnungsmodell des Bundeskartellamts gebunden sind. Schlimmstenfalls kann sogar mit Verböserungen zu rechnen sein d.h. die Gerichte verhängen häufig noch höhere Bußgelder als das Bundeskartellamt.

Selbst wenn Gerichte in Einzelfällen Geldbußen herabsetzen mögen, werden Unternehmen zukünftig bis zu einer Verfestigung der Rechtsprechung mit deutlich höheren Bußgeldern zu rechnen haben. Für Unternehmen empfiehlt sich daher, sorgfältig zu prüfen, ob alle Datenschutz-Compliance-Maßnahmen ordnungsgemäß umgesetzt sind. Zusätzlich gilt es für Unternehmen, die zukünftig höheren Bußgeldrisiken zu identifizieren und einzukalkulieren. Eine solche Kalkulation kann anhand des von der DSK entwickelten Konzeptes deutlich präziser erfolgen. Unternehmen müssen darüber hinaus dafür sorgen, dass die gestiegenen Bußgeldrisiken in ihrem Risikomanagement abgebildet und gegebenenfalls dementsprechende Rückstellungen gebildet werden, die sich auf den Jahresabschluss bzw. das Ergebnis des Unternehmens auswirken (weitere Informationen bezüglich der Auswirkungen der DSGVO auf die Jahresabschlussprüfung können Sie unserem Newsletter Update Datenschutz Nr. 45 entnehmen).

Ansprechpartner

Weitere Fachbeiträge, die Sie interessieren könnten

Diese Seite verwendet Cookies. Erfahren Sie in unserer Datenschutzerklärung mehr darüber, wie wir Cookies einsetzen und wie Sie Ihre Einstellungen ändern können. OK