Bußgeldberechnung bei DSGVO-Verstößen

Die Datenschutz-Grundverordnung (DSGVO) löst bei vielen Unternehmen Unbehagen aus. Ein wesentlicher Grund dafür ist das Risiko, mit Bußgeldern belegt zu werden, wenn man die Vorgaben der DSGVO nicht einhält. Und diese Bußgelder können sehr hoch ausfallen, wie einige Beispiele aus jüngster Zeit zeigen.

So wurde der Lieferservice Delivery Hero durch die Berliner Aufsichts­be­hörde mit einem Bußgeld in Höhe von 200000 Euro belegt, unter anderem, weil der Liefer­service den Wünschen von Betroffenen nach Löschung ihrer Daten nicht entsprochen hatte. In Karlsruhe traf es die Social-­Media-Plattform ­Knuddels.de wegen Passwörtern, die im Klartext gespeichert wurden. Das Bußgeld: 20000 Euro.

Bei Bußgeldern in dieser Höhe wird es aber nicht bleiben, beispielsweise kündigte die Berliner Datenschutzbe­auftragte im August dieses Jahres Strafen in Millionenhöhe an und setzte die Ankündigung mit einer (noch nicht rechtskräftigen) Rekordstrafe von 14,5 Millionen Euro für den Immobilienkonzern „Deutsche Wohnen“ schon in die Tat um. Ein Blick ins EU-Ausland zeigt, dass man dort noch größere Summen verhängt. „DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott“, „Die DSGVO zeigt erste Zähne: 50-Millionen-Strafe gegen Google verhängt“ oder „British Airways soll 200 Millionen Euro wegen Datenklau zahlen“.

Hohe Bußgelder sollen nach dem Willen des EU-Gesetzgebers abschrecken und zur „freiwilligen“ Einhaltung der DSGVO-Vorgaben motivieren. Zentrale Vorschrift in diesem Zusammenhang ist Artikel 83 mit den „Allgemeinen Bedingungen für die Verhängung von Geld­bußen“. Er sieht in besonderen Fällen sogar noch höhere Bußgelder vor, denn diese können gegenüber einem Unternehmen „bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ betragen.

Erste Bemessungs­grundlagen der DSK

Bußgelder sollen nicht willkürlich seitens der Aufsichtsbehörden verhängt werden, sondern einer festgelegten Logik folgen. Bereits im Mai 2018 hat der Europäische Datenschutzausschuss (EDSA) „Leitlinien für die Anwendung und Festsetzung von Geldbußen“ beschlossen. Bislang waren weitere Details der Öffentlichkeit aber nicht zugänglich. Das hat sich jüngst geändert. Die Datenschutzkonferenz (DSK), also der Zusammenschluss aller Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland, hat sich auf ein „Konzept [...] zur Bußgeldzumessung in Verfahren gegen Unternehmen“ verständigt. Es gilt vorläufig und kann durch die Datenschutzkonferenz jederzeit geändert werden. Es verliert seine Gültigkeit, wenn der EDSA finale Leitlinien verabschiedet.

Das DSK-Papier umreißt ein „einheitliches Konzept zu den Grundsätzen bei der Festsetzung von Geldbußen“. Nicht eingeschlossen sind Bußgelder gegen Vereine oder Privatpersonen. Ferner gilt es nur für die Datenschutzbehörden in Deutschland und ausdrücklich nicht für Behörden in anderen EU-Staaten oder allgemein für Gerichte.

Zentraler Ausgangspunkt für die Bußgeldbemessung ist der Umsatz eines Unternehmens. Das DSK-Konzept spricht hierbei von einer „geeigneten, sachgerechten und fairen Anknüpfung“. Die Bemessung erfolgt in fünf Schritten: „Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größen­klasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksich­tigter Umstände angepasst (5.).“

Im ersten Schritt der Kategorisierung der Unternehmen nach Größenklassen wird zwischen Kleinstunternehmen, kleinen sowie mittleren und Großunternehmen unterschieden. Entscheidend ist allein der Jahresumsatz. In der entsprechenden Tabelle im Dokument (es ist über ix.de/z3c7 zu finden) können Unter­nehmen ablesen, in welche Kategorie sie fallen.

Es folgt die „Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse“. Anschließend wird der „wirtschaftliche Grundwert“ ermittelt, der quasi den Tagesumsatz des Unternehmens ausgehend vom mittleren Jahresumsatz umfasst. Auch für diese beiden Werte liefert das Papier zwei Tabellen, die der Einordnung des Unternehmens dienen.