Die deutschen Aufsichtsbehörden haben sich am 14. Oktober 2019 auf ein einheitliches Verfahren zur zukünftigen Bußgeldzumessung gegenüber Unternehmen verständigt. In diesem Artikel möchten wir Ihnen das Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldbemessung in Verfahren gegen Unternehmen vorstellen und die praktischen Konsequenzen erläutern.
Worum geht es in dem Konzept?
Eine entscheidende Neuerung der DSGVO war die Einführung beachtlicher Bußgeldandrohungen für datenschutzrechtliche Verstöße. Diese haben ihren Zweck insoweit erfüllt, als dass Datenschutz innerhalb des letzten Jahres zu einem wichtigen Compliance-Thema aufgestiegen ist. Gleichzeitig führt die hohe Sanktionsandrohung (max. 20.000.000 Euro bzw. ein Betrag in Höhe von 4 Prozent des weltweiten Jahresumsatzes) zu einer großen Verunsicherung auf der unternehmerischen Seite.
Dieser Unsicherheit soll das aktuelle Bemessungskonzept der Behörden begegnen. Die Datenschützer sind bestrebt, mit dem Verfahren eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung zu garantieren. Ob dies tatsächlich gelingt, wird sich erst in seiner praktischen Anwendung durch die Aufsichtsbehörden zeigen. Klar ist bisher nur, dass zukünftig mit weitaus höheren Bußgeldbeträgen gerechnet werden muss.
Aber sehen wir uns zunächst das Konzept genauer an. Die Bußgeldzumessung gliedert sich danach – etwas vereinfacht dargestellt – in drei Schritte:
Schritt 1 – Ermittlung eines Grundwertes
Ausgehend von dem weltweit erzielten Vorjahresumsatzes des Unternehmens wird anhand einer Tabelle ein sog. wirtschaftlicher Grundwert ermittelt. Dieser Grundwert stellt eine Art Tagessatz dar und bildet die Grundlage für die weitere Bemessung.
Hier seien kurz einige Beispiele aufgeführt:
- Jahresumsatz von 800.000 Euro = 2.917 Euro Grundwert
- Jahresumsatz von 6.000.000 Euro = 17.361 Euro Grundwert
- Jahresumsatz von 28.000.000 Euro = 76.389 Euro Grundwert
Bei der Ermittlung des Vorjahresumsatzes wird ein sog. funktionaler Unternehmensbegriff zu Grunde gelegt. Dieser Begriff stellt nicht auf das einzelne rechtliche Unternehmen ab, sondern betrachtet das Unternehmen als wirtschaftliche Einheit. Im Fall eines Datenschutzverstoßes durch eine rechtlich selbstständige Tochtergesellschaft kann daher bei Ermittlung des Grundwertes auch der Umsatz der Muttergesellschaft mitberücksichtigt werden.
Schritt 2 – Multiplikation anhand der Schwere des Tatvorwurfs
An den ermittelten Grundwert wird im nächsten Schritt ein Multiplikationsfaktor angelegt, dessen Höhe sich aus dem jeweiligen Schweregrad der Tat ergibt. Dieser Faktor bemisst sich bei formellen Verstößen – etwa bei einer fehlenden Vereinbarung über eine Auftragsverarbeitung – auf einen Wert zwischen 1 bis 6. Bei einem materiellen Verstoß wie etwa der unzureichenden Umsetzung von Betroffenenrechten kann sich der Faktor bis auf den Wert 12 erhöhen. Im Fall eines sehr schweren Verstoßes kann sogar ein noch höherer Faktor bis zu einem Wert von 14,4 (4 % des Jahresumsatzes) gewählt werden.
Die Ermittlung des konkreten Faktors soll dabei durch die Behörde unter Berücksichtigung der Umstände des Einzelfalls erfolgen. Hierbei sind die Kriterien des Art. 83 Abs. 2 DSGVO maßgeblich.
Schritt 3 – Anpassung des errechneten Betrags
In einem dritten Schritt wird der so berechnete Betrag unter Berücksichtigung aller sonstigen Umstände, die für und gegen das betroffene Unternehmen sprechen, für den Einzelfall angepasst. Solche Umstände können die täterbezogenen Kriterien des Art. 83 Abs. 2 DSGVO, aber auch sonstige Umstände wie eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.
Was bedeutet das Konzept für die Praxis?
Blickt man nur auf die Zahlen des Konzepts, wir eines sofort deutlich: In Zukunft wird mit weitaus höheren Sanktionen zu rechnen sein, als sie bisher in Deutschland verhängt wurden. Auch bei kleinen und mittleren Unternehmen werden selbst bei mittelschweren Verstößen regelmäßig Bußgelder in hohen fünf- bis sechsstelligen Beträgen anfallen.Schauen wir uns hierzu nur zwei Beispiele an:
Ein Unternehmen hat einen Jahresumsatz von 800.000 Euro (Grundwert: 2.917 Euro). Das Unternehmen beschäftigt verschiedene Auftragsverarbeiter, ohne mit diesen die erforderlichen Verträge abgeschlossen zu haben. Dies könnte als Verstoß gegen formelle Vorgaben mit einem Faktor von 4 bewertet werden. Damit würde sich vor einer ggf. vorzunehmenden Anpassung im Einzelfall ein Bußgeld in Höhe von 11.668 Euro ergeben.
Ein Unternehmen mit einem Jahresumsatz von 28.000.000 Euro (Grundwert: 76.389 Euro) erhebt Daten auf Grundlage einer unwirksamen Einwilligung. Da dies einen Verstoß gegen materielle Vorgaben darstellt, könnte hier ein Faktor von 6 angelegt werden. Ausgangsbetrag des zu verhängenden Bußgeldes wären damit bereits 458.334 Euro.
Dem Anspruch erhöhter Transparenz wird das Konzept insoweit gerecht, als dass es Unternehmen mit Blick auf die Multiplikatoren (Faktor 1 bis 12) eine Abschätzung ihres jeweiligen Haftungsrahmens ermöglicht.
- 800.000 Euro Jahresumsatz = 2.917 bis 35.004 Euro Haftungsrahmen
- 6.000.000 Euro Jahresumsatz = 17.361 Euro bis 208.332 Euro Haftungsrahmen
- 28.000.000 Euro Jahresumsatz = 76.389 Euro bis 916.668 Euro Haftungsrahmen
Inwieweit durch das Bemessungskonzept darüber hinaus tatsächlich eine einzelfallgerechte und nachvollziehbare Bußgeldbemessung garantiert werden kann, hängt von der Anwendung der Bemessungskriterien des Art. 83 Abs. 2 DSGVO durch die Aufsichtsbehörden ab. Denkbar wäre hier die Bildung bestimmter Fallgruppen, die jeweils einem bestimmten Schweregrad und damit Multiplikationsfaktor entsprechen. Die kommende Entscheidungspraxis der Behörden hierzu bleibt abzuwarten.
Was muss bei einem Bußgeldverfahren beachtet werden?
Sollte eine Behörde gegen Sie Ermittlungen betreiben, ist große Sorgfalt geboten. Unsere bisherige Erfahrung hat zwar gezeigt, dass sich durch ein kooperatives Verhalten in vielen Fällen die Verhängung eines Bußgelds vermeiden lässt. Gleichzeiti besteht hierbei aber auch die Gefahr, den Datenschützern zu viele Informationen mitzuteilen und damit die Ermittlungen erst auf einen bestehenden Verstoß zu lenken.
Wenn der Ernstfall eintritt und tatsächlich ein Bußgeld gegen Sie verhängt wird, sollte der Bußgeldbescheid durch einen Anwalt überprüft werden. Denn auch unter Anwendung des vorliegenden Konzepts, muss die Aufsichtsbehörde sowohl bei der Entscheidung über die Verhängung eines Bußgeldes als auch bei dessen Bemessung ihr Ermessen fehlerfrei ausüben.
Da hierbei die Kriterien des Art. 83 Abs. 2 DSGVO jeweils vollständig berücksichtigt und gewichtet werden müssen, stellt sich die Entscheidung als sehr komplex dar. Und damit ist sie gleichzeitig auch sehr fehleranfällig. Einem Widerspruch und insbesondere dem gerichtlichen Rechtsschutz können daher gute Erfolgsaussichten eingeräumt werden.
Der beste Schutz vor der Verhängung eines Bußgelds ist aber selbstverständlich, den Eintritt von Verstößen zu verhindern. Dies gelingt am besten durch ein gelebtes Datenschutzmanagement in Ihrem Unternehmen.
Marinus Stehmeier ist als Rechtsanwalt und Senior Legal Consultant bei der Datenschutzkanzlei tätig. Er ist spezialisiert auf alle rechtlichen Themen rund um Datenschutz und Datenökonomie und berät sowohl im Privatrecht als auch im Öffentlichen Sektor.