Was wäre wenn? Die­se Fra­ge haben sich sicher­lich schon eini­ge Unter­neh­mer gestellt, wenn es um die Beur­tei­lung der zu erwar­ten­den Geld­bu­ße im Fal­le eines Ver­sto­ßes gegen die Daten­schutz­grund­ver­ord­nung geht. Das neue Kon­zept zur Buß­geld­zu­mes­sung der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) hilft nun ein wenig wei­ter

Mit dem Kon­zept zur Buß­geld­zu­mes­sung beab­sich­tigt die DSK den Auf­sichts­be­hör­den eine ein­heit­li­che Metho­de an die Hand zu geben, um eine sys­te­ma­ti­sche, trans­pa­ren­te und nach­voll­zieh­ba­re Bemes­sung von Geld­bu­ßen zu gewähr­leis­ten.“ – Mar­kus Spöhr

Regel­mä­ßi­ge Geld­bu­ßen in Euro­pa

Ein Blick auf den Live-Ticker für Geld­bu­ßen zeigt: Fast täg­lich wer­den von den Auf­sichts­be­hör­den in Euro­pa Geld­bu­ßen auf­grund von Daten­schutz­ver­stö­ßen gegen Unter­neh­men erlas­sen. Aber nicht nur Unter­neh­men, auch Pri­vat­per­so­nen kön­nen Emp­fän­ger von Geld­bu­ßen sein, wie zuletzt ein spa­ni­scher Arbeit­neh­mer, der sei­ne Arbeits­kol­le­gin ohne deren Ein­ver­ständ­nis unter Anga­be Ihrer per­sön­li­chen Daten, wie Kon­takt­da­ten, Foto und Infor­ma­tio­nen über Ihre sexu­el­le Ori­en­tie­rung auf einem Ero­tik­por­tal ange­mel­det hat­te. Dies nahm die Auf­sichts­be­hör­de zum Anlass eine Geld­bu­ße in Höhe von 800 EUR gegen den Arbeit­neh­mer zu ver­hän­gen.

Ein­heit­li­che Bemes­sung

Die Span­ne der unter­schied­li­chen Beträ­ge an Buß­gel­dern kann kaum grö­ßer sein. Die Span­ne reicht bis­her von 90 EUR bis 204.600.000 EUR. Mit dem Kon­zept zur Buß­geld­zu­mes­sung beab­sich­tigt die DSK den Auf­sichts­be­hör­den eine ein­heit­li­che Metho­de an die Hand zu geben, um eine sys­te­ma­ti­sche, trans­pa­ren­te und nach­voll­zieh­ba­re Bemes­sung von Geld­bu­ßen zu gewähr­leis­ten. Das Kon­zept beruht auf Art. 70 Abs. 1 lit. k DSGVO zur För­de­rung einer Leit­li­nie und berück­sich­tigt im Wesent­li­chen die Vor­ga­ben des Art. 83 DSGVO. Bis der Euro­päi­sche Daten­schutz­aus­schuss eine abschlie­ßen­de ein­heit­li­che Leit­li­nie erlas­sen hat, wird das Kon­zept der DSK zumin­dest für die deut­schen Auf­sichts­be­hör­den die Grund­la­ge für die Bemes­sung der Geld­bu­ßen sein.

Schaf­fung von Trans­pa­renz

Das Kon­zept schafft einen wesent­li­chen Bei­trag zur Trans­pa­renz. Unter­neh­men kön­nen damit nun zumin­dest grob abschät­zen, was Sie im Fal­le eines Daten­schutz­ver­sto­ßes erwar­ten wür­de. Sofern es tat­säch­lich zu einer Geld­bu­ße gekom­men ist, kann das Kon­zept von den Ver­ant­wort­li­chen her­an­ge­zo­gen wer­den um die Ent­schei­dung der Auf­sichts­be­hör­den nach­zu­voll­zie­hen.

Das Buß­geld­kon­zept

Das Ver­fah­ren zur Buß­geld­be­mes­sung erfolgt in 5 Schrit­ten. Zunächst wird das betrof­fe­ne Unter­neh­men einer Grö­ßen­klas­se zuge­ord­net (1.), danach wird der mitt­le­re Jah­res­um­satz der jewei­li­gen Unter­grup­pe der Grö­ßen­klas­se bestimmt (2.), dann ein wirt­schaft­li­cher Grund­wert ermit­telt (3.), die­ser Grund­wert mit­tels eines von der Schwe­re der Tat­um­stän­de abhän­gi­gen Fak­tors mul­ti­pli­ziert (4.) und abschlie­ßend der  unter 4. ermit­tel­te Wert anhand täter­be­zo­ge­ner und sons­ti­ger noch nicht berück­sich­tig­ter Umstän­de ange­passt (5.).

1. Kate­go­ri­sie­rung nach Grö­ßen­klas­sen

Anhand des gesam­ten welt­weit erziel­ten Vor­jah­res­um­sat­zes wird das Unter­neh­men in Grö­ßen­klas­sen unter­teilt. Die Grö­ßen­klas­sen unter­schei­den dabei in Kleinst­un­ter­neh­men (Jah­res­um­satz bis 2 Mio. EUR), klei­ne Unter­neh­men (Jah­res­um­satz über 2 Mio. EUR bis 10 Mio. EUR), mitt­le­re Unter­neh­men (Jah­res­um­satz über 10 Mio. EUR bis 50 Mio. EUR) und Groß­un­ter­neh­men (Jah­res­um­satz über 50 Mio. EUR).

Die­se Grö­ßen­klas­sen wer­den sodann in 20 wei­te­re Unter­klas­sen kate­go­ri­siert (s. Tabel­le 1 des Kon­zepts der DSK).

2. Bestim­mung des mitt­le­ren Jah­res­um­sat­zes der jewei­li­gen Unter­grup­pe

Je nach Kate­go­rie der Unter­grup­pen des Unter­neh­mens, wird im nächs­ten Schritt der mitt­le­re Jah­res­um­satz bestimmt (Tabel­le 2 des Kon­zepts der DSK).

Bei­spiel:

Im Rah­men von Ermitt­lun­gen sei­tens der Auf­sichts­be­hör­de, stell­te sich her­aus das ein Unter­neh­men nach einer mel­de­pflich­ti­gen Daten­pan­ne es unter­las­sen hat­te, die­se nach Art. 33 Abs. 1 DSGVO der Auf­sichts­be­hör­de zu mel­den. Das Unter­neh­men hat­te einen Vor­jah­res­um­satz von 42,25 Mio. EUR und wäre nach Tabel­le 1 der Unter­ka­te­go­rie C. VII mit einer Jah­res­um­satz­span­ne zwi­schen 40 Mio. EUR und 50 Mio. EUR zuzu­ord­nen. Der mitt­le­re Jah­res­um­satz die­ser Jah­res­um­satz­span­ne (40 – 50 Mio. EUR) wäre nun 45 Mio. EUR. Dies ent­spricht auch dem Wert aus Tabel­le 2 des Kon­zepts der DSK (C. VII = 45 Mio. EUR).

3. Ermitt­lung des wirt­schaft­li­chen Grund­wer­tes

Der wirt­schaft­li­che Grund­wert ent­spricht der Ermitt­lung des durch­schnitt­li­chen Tages­sat­zes des Unter­neh­mens, d.h. der mitt­le­re Jah­res­um­satz wird durch 360 (Tage) geteilt. In unse­rem Bei­spiel wären das 45 Mio. EUR / 360 Tage = 125.000 EUR. (s. hier­zu Tabel­le 3 des Kon­zepts der DSK; C. VII = 125.000 EUR).

4. Mul­ti­pli­ka­ti­on des Grund­wer­tes mit Schwe­re­grad der Tat

Der Grund­wert wird sodann mit dem Schwe­re­grad des Daten­schutz­ver­sto­ßes mul­ti­pli­ziert. Die Ein­ord­nung des Schwe­re­grads der Tat in leicht, mit­tel, schwer oder sehr schwer ist ein­zel­fall­be­zo­gen und wird anhand der kon­kre­ten tat­be­zo­ge­nen Umstän­de ermit­telt. Im Hin­blick auf die unter­schied­li­chen Buß­geld­rah­men kann ein mate­ri­el­ler Ver­stoß (Art. 83 Abs.5, 6 DSGVO) mit einem höhe­ren Fak­tor gewich­tet wer­den als ein for­mel­ler Ver­stoß (Art. 83 Abs. 4 DSGVO). Der Tabel­le 4 des Kon­zepts der DSK ent­spre­chend kön­nen Daten­schutz­ver­stö­ße wie folgt gewich­tet wer­den:

Schwe­re­grad leicht: Fak­tor 1 bis 2 für for­mel­len und 1 bis 4 für mate­ri­el­len Ver­stoß

Schwe­re­grad mit­tel: Fak­tor 2 bis 4 für for­mel­len und 4 bis 8 für mate­ri­el­len Ver­stoß

Schwe­re­grad schwer: Fak­tor 4 bis 6 für for­mel­len und 8 bis 12 für mate­ri­el­len Ver­stoß

Schwe­re­grad sehr schwer: Fak­tor 6< für for­mel­len und 12< für mate­ri­el­len Ver­stoß.

In unse­rem Bei­spiel wür­de ein mitt­le­rer for­mel­ler Ver­stoß (Fak­tor 2) zu einem Buß­geld­grund­wert von 250.000 EUR (2 x 125.000 EUR) füh­ren.

5. Anpas­sung des Buß­gel­des

Zuletzt kann der Grund­wert unter Berück­sich­ti­gung aller für und gegen den Betrof­fe­nen spre­chen­den Umstän­de (Art. 83 Abs. 2 DSGVO) ange­passt wer­den. Hier­bei kön­nen ins­be­son­de­re Punk­te wie Ver­schul­dens­grad oder Koope­ra­ti­ons­ge­mein­schaft sowie sons­ti­ge Umstän­de, wie z.B. eine lan­ge Ver­fah­rens­dau­er oder eine dro­hen­de Zah­lungs­un­fä­hig­keit des Unter­neh­mens eine wich­ti­ge Rol­le spie­len.

Da das Unter­neh­men in unse­rem Bei­spiel vor­bild­lich koope­rier­te, die Daten­schutz­ver­let­zung umge­hend besei­tig­te und wei­te­re Daten­schutz­ma­nage­ment­pro­zes­se in die Unter­neh­mens­struk­tur inte­grier­te, redu­zier­te die Auf­sichts­be­hör­de das Buß­geld auf 150.000 EUR.

Fazit

Wäh­rend die Schrit­te 1 bis 3 an eine Wenn/Dann Funk­ti­on erin­nern, ermög­li­chen die Schrit­te 4 und 5 den Auf­sichts­be­hör­den einen Ermes­sens­spiel­raum. Ins­ge­samt ist der Ver­such der DSK, die Buß­geld­zu­mes­sung auf natio­na­ler Ebe­ne zu har­mo­ni­sie­ren und somit einen Bei­trag für eine trans­pa­ren­te und ein­heit­li­che Hand­ha­bung von Buß­gel­dern zu schaf­fen, zu begrü­ßen

Online-Rechner

Wem das Berech­nungs­ver­fah­ren zu kom­pli­ziert ist, dem emp­feh­len wir fol­gen­den Online-Rechner. Ein wirk­lich hilf­rei­ches Tool, das zumin­dest eine ers­te gro­be Ein­schät­zung erlaubt. Unter­neh­men kön­nen indi­vi­du­ell das Sie zu erwar­ten­de Buß­geld auf die Schnel­le berech­nen. Neu­gie­ri­ge Unter­neh­mer kön­nen das Tool natür­lich auch nut­zen um die unter­schied­li­chen Sze­na­ri­en durch­zu­spie­len.

Artikel zum selben Thema:

Die Verweigerung der Auskunft nach Art. 15 DSGVO

29. Juni 2020|

Kein ande­res Betrof­fe­nen­recht erfreut sich solch kon­tro­ver­ser Dis­kus­sio­nen und unter­schied­li­cher Recht­spre­chun­gen wie das Aus­kunfts­recht nach Art. 15 DSGVO. Fast […]

Autor des Arti­kels:

Markus Spöhr

Wirtschaftsjurist LL.B. & Berater im Datenschutz
 
MEHR ZUM AUTOR