Die Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) hat ihr Konzept zur Bußgeldzumessung bei Verstößen gegen die DSGVO durch Unternehmen veröffentlicht. Dessen Ziel ist es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen.
Bis der Europäische Ausschuss Datenschutzausschuss endgültige Leitlinien erstellt hat, soll das Konzept die Grundlage für die Bußgeldzumessung der deutschen Aufsichtsbehörden bieten.
Die DSK betont, dass der Umsatz eines Unternehmens für die Bemessung der Höhe eines Bußgeldes entscheidend sein solle.
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder sind der Auffassung, dass in einem modernen Unternehmenssanktionsrecht mit erheblichen maximalen Bußgeldbeträgen, das sich zugleich an eine Vielfalt unterschiedlich großer Unternehmen richtet, der Umsatz eines Unternehmens eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstellt.
Der Anwendungsbereich des Bußgeldkonzepts umfasst die
Bußgeldzumessung in DSGVO-Verfahren gegen Unternehmen. Auf Vereine oder
natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit findet es keine
Anwendung. Das Konzept ist für grenzüberschreitende Fälle und für andere
europäische Datenschutzbehörden ebenso wenig bindend wie für die Festlegung von
Geldbußen durch die Gerichte.
Die Bußgeldzumessung soll in fünf Schritten erfolgen, um eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzurechnung zu garantieren:
Die Größenklassen richten sich nach dem gesamten weltweit
erzielten Vorjahresumsatz der Unternehmen und sind in Kleinstunternehmen (bis 2
Mio. € Jahresumsatz), kleine (2 bis 10 Mio. € Jahresumsatz) und mittlere (10
bis 50 Mio. € Jahresumsatz) Unternehmen sowie Großunternehmen (über 50 Mio. € Jahresumsatz)
unterteilt.
Anschließend soll der mittlere Jahresumsatz der jeweiligen
Untergruppe ermittelt werden. Dieser orientiert sich an der zuvor erfolgten
Einordnung in entsprechende Untergruppen.
Im dritten Schritt wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und auf diese Wiese ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.
Die Einordnung der Schwere des Verstoßes soll in die Kategorien „leicht“, „mittel“, „schwer“ oder „sehr schwer“ erfolgen. Unterschieden werden soll nach formellen und materiellen Verstößen. Dann wird der Tagessatz mit einem von der Schwere der Tatumstände abhängigen Faktor multipliziert.
Nach Art. 83 Abs. 4 DSGVO handelt es sich bei formellen Verstößen z.B. um Verstöße gegen technische und organisatorische Maßnahmen, gegen das Verzeichnis der Verarbeitungstätigkeiten oder gegen Meldepflichten bei Datenpannen. Zu den materiellen Verstößen zählen nach Art. 83 Abs. 5, 6 DSGVO bspw. solche gegen die Grundsätze für die Verarbeitung personenbezogener Daten, gegen die Bedingungen für die Einwilligung oder gegen die Betroffenenrechte.
Der ermittelte Betrag kann dann im letzten Schritt anhand
aller für und gegen den Betroffenen sprechenden Umstände angepasst werden,
soweit diese noch nicht berücksichtigt wurden:
Hierzu zählen insbesondere sämtliche täterbezogenen Umstände
(vgl. Kriterienkatalog des Art. 83 Abs. 2 DSGVO) sowie sonstige Umstände, wie z.B.
eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des
Unternehmens.
Das Bußgeld-Konzept der DSK lässt eine deutliche Anhebung der DSGVO-Bußgelder befürchten. Bisher waren die deutschen Behörden noch eher zurückhaltend bei der Verhängung. Mit der Frage, ob die von der DSK vorgeschlagenen Geldbußen angemessen und verhältnismäßig sind, werden sich wohl die Gerichte beschäftigen müssen.