Bußgeldberechnung bei DSGVO-Verstößen
Auf Heller und Pfennig
DSGVO-Verstöße sollen mit hohen und abschreckenden Bußgeldern belegt werden. Die Datenschutzkonferenz hat hierfür jüngst ihr Berechnungsmodell vorgelegt.
Die Datenschutz-Grundverordnung (DSGVO) löst bei vielen Unternehmen Unbehagen aus. Ein wesentlicher Grund dafür ist das Risiko, mit Bußgeldern belegt zu werden, wenn man die Vorgaben der DSGVO nicht einhält. Und diese Bußgelder können sehr hoch ausfallen, wie einige Beispiele aus jüngster Zeit zeigen.
So wurde der Lieferservice Delivery Hero durch die Berliner Aufsichtsbehörde mit einem Bußgeld in Höhe von 200000 Euro belegt, unter anderem, weil der Lieferservice den Wünschen von Betroffenen nach Löschung ihrer Daten nicht entsprochen hatte. In Karlsruhe traf es die Social-Media-Plattform Knuddels.de wegen Passwörtern, die im Klartext gespeichert wurden. Das Bußgeld: 20000 Euro.
Bei Bußgeldern in dieser Höhe wird es aber nicht bleiben, beispielsweise kündigte die Berliner Datenschutzbeauftragte im August dieses Jahres Strafen in Millionenhöhe an und setzte die Ankündigung mit einer (noch nicht rechtskräftigen) Rekordstrafe von 14,5 Millionen Euro für den Immobilienkonzern „Deutsche Wohnen“ schon in die Tat um. Ein Blick ins EU-Ausland zeigt, dass man dort noch größere Summen verhängt. „DSGVO-Verstoß: 110 Millionen Euro Bußgeld für Hotelkette Marriott“, „Die DSGVO zeigt erste Zähne: 50-Millionen-Strafe gegen Google verhängt“ oder „British Airways soll 200 Millionen Euro wegen Datenklau zahlen“.
Hohe Bußgelder sollen nach dem Willen des EU-Gesetzgebers abschrecken und zur „freiwilligen“ Einhaltung der DSGVO-Vorgaben motivieren. Zentrale Vorschrift in diesem Zusammenhang ist Artikel 83 mit den „Allgemeinen Bedingungen für die Verhängung von Geldbußen“. Er sieht in besonderen Fällen sogar noch höhere Bußgelder vor, denn diese können gegenüber einem Unternehmen „bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs“ betragen.
Erste Bemessungsgrundlagen der DSK
Bußgelder sollen nicht willkürlich seitens der Aufsichtsbehörden verhängt werden, sondern einer festgelegten Logik folgen. Bereits im Mai 2018 hat der Europäische Datenschutzausschuss (EDSA) „Leitlinien für die Anwendung und Festsetzung von Geldbußen“ beschlossen. Bislang waren weitere Details der Öffentlichkeit aber nicht zugänglich. Das hat sich jüngst geändert. Die Datenschutzkonferenz (DSK), also der Zusammenschluss aller Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland, hat sich auf ein „Konzept [...] zur Bußgeldzumessung in Verfahren gegen Unternehmen“ verständigt. Es gilt vorläufig und kann durch die Datenschutzkonferenz jederzeit geändert werden. Es verliert seine Gültigkeit, wenn der EDSA finale Leitlinien verabschiedet.
Das DSK-Papier umreißt ein „einheitliches Konzept zu den Grundsätzen bei der Festsetzung von Geldbußen“. Nicht eingeschlossen sind Bußgelder gegen Vereine oder Privatpersonen. Ferner gilt es nur für die Datenschutzbehörden in Deutschland und ausdrücklich nicht für Behörden in anderen EU-Staaten oder allgemein für Gerichte.
Zentraler Ausgangspunkt für die Bußgeldbemessung ist der Umsatz eines Unternehmens. Das DSK-Konzept spricht hierbei von einer „geeigneten, sachgerechten und fairen Anknüpfung“. Die Bemessung erfolgt in fünf Schritten: „Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“
Im ersten Schritt der Kategorisierung der Unternehmen nach Größenklassen wird zwischen Kleinstunternehmen, kleinen sowie mittleren und Großunternehmen unterschieden. Entscheidend ist allein der Jahresumsatz. In der entsprechenden Tabelle im Dokument (es ist über ix.de/z3c7 zu finden) können Unternehmen ablesen, in welche Kategorie sie fallen.
Es folgt die „Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse“. Anschließend wird der „wirtschaftliche Grundwert“ ermittelt, der quasi den Tagesumsatz des Unternehmens ausgehend vom mittleren Jahresumsatz umfasst. Auch für diese beiden Werte liefert das Papier zwei Tabellen, die der Einordnung des Unternehmens dienen.