Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich auf ein gemeinsames Konzept zur Bußgeldberechnung bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verständigt, wie aus dem nunmehr veröffentlichten Protokoll der 2. Zwischenkonferenz 2019 ersichtlich ist.
Sinn und Zweck des Konzepts
Das gemeinsame Konzept geht nach einem Bericht der Branchenzeitung JUVE auf eine Initiative der Datenschutzbehörden der Bundesländer Berlin, Niedersachsen und Baden-Württemberg zurück. Da die DSGVO den Datenschutzbehörden angesichts der hohen Obergrenzen einen großen Handlungsspielraum bei der Bemessung der Bußgelder lässt, sollen die Bußgelder durch einheitliche Leitlinien transparent und nachvollziehbar werden und damit auch der Gleichheit und Anwendungsgerechtigkeit bei der Bearbeitung durch verschiedene Datenschutzaufsichtsbehörden dienen.
Die Berechnung der Bußgelder
Ausgangspunkt der Bußgeldberechnung ist zunächst der weltweite Unternehmensumsatz des Vorjahres, wobei die Datenschutzbehörden für Konzerne auf den funktionalen Unternehmensbegriff des Kartellrechts zurückgreifen, der Mutter- und Tochtergesellschaften als wirtschaftliche Einheit betrachtet und daher auf den Gesamtumsatz der Unternehmensgruppe abstellt.
Aus diesem weltweiten Umsatz wird sodann ein Tagessatz errechnet, der – nach den übereinstimmenden Berichten mehrerer Quellen – je nach Schweregrad des Verstoßes mit einem Faktor zwischen 1–4 bei einem leichten Verstoß bis zu einem einem Faktor zwischen 12–14,4 bei einem sehr schweren Verstoß multipliziert wird. Die Differenzierung nach der Schwere des Verstoßes zeigt sich ähnlich auch in den gesetzlich vorgesehenen Obergrenzen, die bei leichten Verstößen 10.000.000 EUR oder 2 % des gesamten weltweiten Jahresumsatzes und bei schwereren Verstößen bis zu 20.000.000 EUR oder bis zu 4 % des gesamten weltweiten Jahresumsatzes betragen, wobei jeweils der höhere Betrag maßgeblich ist. Es ist jedoch nicht zu erwarten, dass die dort genannten Verstöße zwangsläufig auch zu einer Einordnung in die Kategorien zur Bestimmung des Faktors führen.
Für den Schweregrad des Verstoßes sowie eine möglicherweise zusätzliche Reduzierung oder Erhöhung werden insbesondere folgende Aspekte berücksichtigt:
- Art, Schwere und Dauer des Verstoßes,
- betroffene Kategorien personenbezogener Daten,
- Vorsatz oder Fahrlässigkeit,
- Maßnahmen zur Minderung und Verhinderung des entstandenen Schadens,
- Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters,
- einschlägige frühere Verstöße sowie Einhaltung angeordneter Maßnahmen,
- Selbstanzeige und Kooperation mit den Aufsichtsbehörden,
- Einhaltung genehmigter Verhaltensregeln und
- alle sonstigen erschwerenden oder mildernden Umstände im jeweiligen Fall.
Es wird daher deutlich, dass die Bußgeldberechnung trotz aller angestrebter Transparenz und Vereinheitlichung weiterhin eine Entscheidung und Bewertung des konkreten Einzelfalls bleibt. Transparenz und Vereinheitlichung können daher allenfalls über Leitlinien und einheitliche Zu- und Abschläge erreicht werden.
Für den Verschuldensmaßstab wird beispielsweise eine Reduzierung um 25% bei einfacher Fahrlässigkeit, keine Reduzierung bei mittlerer Fahrlässigkeit und eine Erhöhung um 25–50% bei grober Fahrlässigkeit und Vorsatz diskutiert. Besondere Schwere soll hingegen Wiederholungstaten zukommen, bei denen Aufschläge zwischen 50–300% diskutiert werden.
Ausblick in die Zukunft
Das neue Konzept verfolgt lediglich die Systematisierung des Ermessens, das die DSGVO den Datenschutzbehörden lässt. Insbesondere für umsatzstarke Unternehmen und Unternehmensgruppen kann dieses Ermessen aufgrund der hohen Obergrenzen jedoch gravierende Folgen haben.
Darüber hinaus zeigt das Konzept, dass Bemühungen um eine datenschutzrechtliche Compliance und eine Einschränkung möglicher Folgen für die betroffenen Personen von den Datenschutzbehörden bei der Bußgeldberechnung honoriert werden.
Die derzeit diskutierte Version des Konzepts ist jedoch noch nicht das letzte Wort. Der Arbeitskreis Sanktionen soll das Konzept unter dem Vorsitz der Datenschutzbehörde des Bundeslandes Berlin nunmehr weiterentwickeln und erproben. Bis zu einer offiziellen Veröffentlichung bleibt es bei den bisherigen Einzelfallentscheidungen der Behörden. Die finale Ausgestaltung und die tatsächliche Umsetzung des Konzepts bleiben daher abzuwarten. Eine gerichtliche Überprüfung, ob die nach dem Konzept berechneten Bußgelder verhältnismäßig und insbesondere tat- und schuldangemessen sind, erscheint sodann unausweichlich.