08.11.2019

Neues Bußgeldmodell der deutschen Datenschutzbehörden – Höhere Strafen zu erwarten

Auf den Punkt: Am 16. Oktober 2019 haben die deutschen Datenschutzaufsichtsbehörden das neue Modell zur Berechnung von Bußgeldern bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) durch Unternehmen veröffentlicht. Das Abstimmungsgremium der deutschen Datenschutzbehörden, die Datenschutzkonferenz (DSK), hat ein Konzept entwickelt, um eine einheitlichere und nachvollziehbarere Bußgeldverhängung in Deutschland zu ermöglichen.

Hintergrund

In der Vergangenheit haben sich die deutschen Behörden bei der Verhängung von Bußgeldern wegen Datenschutzverstößen sehr zurückhaltend verhalten, häufig galt das Gebot „Kooperation vor Strafe“. Dadurch sollten Unternehmen angeleitet werden, die DSGVO zu akzeptieren und aus eigenem Antrieb datenschutzkonforme Prozess einzuführen, anstatt lediglich das Risiko eines Bußgeldes als Anlass für einen stärkeren Datenschutz zu sehen. Andere EU-Länder haben jedoch von dem Bußgeldrahmen, den die DSGVO ermöglicht, bereits umfassend Gebrauch gemacht. So hat in diesem Jahr die britische Datenschutzbehörde ICO bereits Bußgelder in Höhe von 200 Millionen Euro gegen die Fluggesellschaft British Airways und 100 Millionen Euro gegen die Hotelkette Marriott angekündigt. Schon zuvor forderte die Aufsichtsbehörde in Frankreich von Google ein Bußgeld über 50 Millionen Euro. Durch das neue Bußgeldmodell werden sich deutschen Bußgelder der Praxis aus Frankreich und Großbritannien annähern und damit deutlich höher ausfallen als bisher. Die öffentlichkeitswirksamen Mitteilungen aus Berlin über die Bußgelder gegen Delivery Hero (in Höhe von ca. 200.000,00 €) sowie insbesondere gegen Deutsche Wohnen in Höhe von 14,5 Mio. € dürften nur der Anfang sein.

Ziel des neuen Bußgeldmodells ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode zur Verfügung zu stellen, die eine systematische, transparente und nachvollziehbare Form der Bemessung von Geldbußen bei Datenschutzverstößen von Unternehmen ermöglicht. Die sich daraus ergebenden höheren Strafen sollen gleichzeitig abschreckend wirken und die Umsetzung bzw. Beachtung des Datenschutzes sicherstellen. Die neue Berechnungsgrundlage ist dabei von nun an für alle deutschen Datenschutzaufsichtsbehörden verbindlich. Das Modell entfaltet allerdings keine Bindungswirkung gegenüber Gerichten und Europäischen Behörden. Es besteht jedoch die Möglichkeit, dass sich das deutsche Modell – zumindest teilweise - auch auf europäischer Ebene etablieren wird. Denn die Festlegung auf ein Berechnungsmodell oder gar die Vorstellung eines selbst entwickelten Berechnungsmodells durch das Abstimmungsgremium der europäischen Datenschutzbehörden steht noch aus. Die DSK hat aber bereits angekündigt, dass ein solches Konzept bei Inkrafttreten das nun geltende Modell verdrängen würde.

Die Berechnungsweise nach dem neuen Bußgeldmodell 

Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:

  1. Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres des Unternehmens richtet.
  2. Anschließend wird der mittleren Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen), in die das Unternehmen eingeordnet wurde, bestimmt.
  3. Auf dieser Grundlage wird der wirtschaftliche Grundwert ermittelt: die Behörden errechnen einen sog. „Tagessatz“ indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
  4. Anschließend wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
  5. Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechende täterbezogene sowie sonstige Umstände berücksichtigt werden.

Folgen des neuen Berechnungsmodells

Das neue Berechnungsmodell wurde bereits durch einzelne Behörden getestet, die konsequente, deutschlandweite Anwendung dürfte in den nächsten Monaten intensiviert werden. Gravierende Rechtsunsicherheiten können sich dabei aus dem erheblichen Spielraum der Aufsichtsbehörden bei der Bewertung der Umstände des jeweiligen Einzelfalls ergeben. So steht es weiterhin im Ermessen der Behörde, einen Verstoß einem Schweregrad zuzuordnen.

Die transparentere Bußgeldberechnung kann aber auch Vorteile für Unternehmen haben: sie können nun im Fall von Verstößen gemeinsam mit Datenschutzbeauftragten und Risikomanagern zu erwartende Bußgelder deutlich präziser als bisher bestimmen. Eine genaue Berechnung ist jedoch weiterhin nicht möglich. Auch sieht die DSGVO grundsätzlich keine Ermäßigung bei mehreren Datenschutzverstößen vor. Die Aufsichtsbehörden beabsichtigen daher, jeden Verstoß individuell zu bewerten und den Gesamtbetrag aus der Summe der einzelnen Bußgelder zu bestimmen. Das mag zunächst für die Annahme von sehr hohen Bußgeldern sprechen. Es besteht aber auch die Möglichkeit, dass der so bestimmte Betrag aufgrund der individuellen Umstände geringer ausfällt als die Gesamtsumme der für jeden einzelnen Verstoß ermittelten Bußgelder.

Worauf Unternehmen nun achten sollten

Noch mehr als bisher gilt der Grundsatz „Vorsorge statt Nachsorge“. Unternehmen sollten das neue Berechnungsmodell zum Anlass nehmen, ihre Datenschutzorganisation kritisch zu hinterfragen. Durch eine durchdachte und an der DSGVO orientierte Datenschutzorganisation können Bußgelder in Millionenhöhe am effektivsten vermieden werden.

Doch auch wenn bereits eine Untersuchung wegen eines Datenschutzvorfalls läuft und die Verhängung eines Bußgeldes konkret droht, bestehen noch Möglichkeiten, dieses zu reduzieren. Insbesondere eine umfassende und transparente Kooperation und Kommunikation mit den Aufsichtsbehörden dürfte wohlwollend aufgenommen werden und gegebenenfalls mildernd in die Berechnung einfließen. Im Ernstfall besteht zudem immer die Möglichkeit, noch gerichtlich gegen das Bußgeld vorzugehen. Dies dürfte insbesondere dann sinnvoll sein, wenn die Berechnung des Bußgelds anhand des Modells zu erheblichen finanziellen Nachteilen führt, z. B. wenn das am Umsatz bemessene Bußgeld nicht im Verhältnis zum Gewinn eines Unternehmens steht. Mangels Bindungswirkung des Modells können die Gerichte die Höhe des Bußgeldes im Verfahren jedoch selbst bestimmen und den Betrag gegebenenfalls den Umständen entsprechend anpassen.

Die Anwendung des neuen Berechnungsmodells auf deutscher Ebene sowie die Entwicklungen für ein abgestimmtes Modell auf europäischer Ebene sind jedenfalls mit Spannung zu erwarten.


Gerrit Feuerherdt
Associate
Köln


Ann Cathrin Müller
Wiss. Mitarbeiterin
Köln