Vom Datenschutzverstoß zur konkreten Bußgeldhöhe
DSK veröffentlicht neues Konzept zur Berechnung
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im Oktober 2019 ein einheitliches Bußgeldkonzept veröffentlicht. Damit setzen die deutschen Aufsichtsbehörden einen Standard für die Verhängung von Bußgeldern für Datenschutzverstöße in Unternehmen. Dieses Konzept soll nach den Angaben der Behörden ab sofort angewandt werden, bis der Europäische Datenschutzausschuss (EDSA) europaweite Leitlinien zur Festsetzung von Geldbußen erlässt.
Konzept zur Berechnung der Bußgelder
Das Konzept der Aufsichtsbehörden sieht im Wesentlichen drei Schritte vor.
Zur Vergrößerung bitte hier klicken.
1. Berechnung eines Tagessatzes
Bei Unternehmen mit einem Umsatz größer als 500 Mio. € wird zunächst ein Tagessatz berechnet, indem der Vorjahresumsatz des betreffenden Unternehmens durch 360 geteilt wird. Bei Unternehmen mit einem Umsatz kleiner als 500 Mio. € findet keine konkrete Berechnung des Tagessatzes statt. Vielmehr werden diese Unternehmen nach ihrem jeweiligen Umsatz in Größenklassen bzw. den jeweiligen Untergruppen eingeteilt, und der Tagessatz anhand des mittleren Umsatzes der zugehörigen Unternehmensgruppe berechnet.
Tagessätze der Größenklassen
| Größenklasse | Umsatz | Tagessatz |
|---|---|---|
|
Kleinstunternehmen
(3 Untergruppen) |
Bis 2 Mio. € | 972 bis 4.722 € |
| Kleine Unternehmen (3 Untergruppen) |
2 bis 10 Mio. € | 9.722 bis 24.306 € |
| Mittlere Unternehmen (7 Untergruppen) |
10 bis 50 Mio. € | 31.250 bis 125.000 € |
| Großunternehmen (6 Untergruppen) |
50 bis 500 Mio. € | 173.611 bis 1,25 Mio. € |
2. Multiplikation anhand des Schweregrades des Verstoßes
Der zuvor ermittelte Tagessatz wird nun mit einem Faktor multipliziert. Im Hinblick auf die unterschiedlichen Höchstbeträge werden dabei unterschiedliche Faktoren verwendet: bei „formellen“ Verstößen gegen die DS-GVO (vgl. Art. 83 Abs. 4 DS-GVO) ein Faktor von 1 bis mindestens 6 und bei „materiellen“ Verstößen (vgl. Art. 83 Abs. 5, 6 DS-GVO) ein Faktor von 1 bis mindestens 12. Die Faktoren werden nach der Schwere der Tat ermittelt (leicht, mittel, schwer und sehr schwer), wobei die Bewertung der Schwere anhand konkreter tatbezogener Umstände erfolgt (vgl. den Kriterienkatalog in Art. 83 Abs. 2 DS-GVO).Übersicht der Multiplikatoren
| Schweregrad | „Formelle“ Verstöße | „Materielle“ Verstöße |
|---|---|---|
| Leicht | 1 bis 2 | 1 bis 4 |
| Mittel | 2 bis 4 | 4 bis 8 |
| Schwer | 4 bis 6 | 8 bis 12 |
| Sehr Schwer | Größer 6 | Größer 12 |
3. Individuelle Anpassung
Der Betrag wird im Hinblick auf sonstige erschwerende oder mildernde Faktoren angepasst. Dies betrifft vor allem sämtliche täterbezogenen Umstände und andere Umstände gem. Art. 83 Abs. 2 DS-GVO, wie z.B. die Dauer des Verfahrens.
Fazit
Mit dem im Konzept dargestellten Verfahren soll eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung garantiert werden. Ob dieses Ziel erreicht wird, bleibt abzuwarten. Kritisch anzumerken ist insofern, dass die Vorgaben des Konzepts zu den Kriterien für die Bestimmung des Schweregrades sehr vage bleiben. Auch fehlen Beispiele für die in Schritten 2 und 3 angedeutete Differenzierung zwischen tat- und täterbezogenen Umständen. Das Berechnungskonzept wird deshalb durch konkrete Fälle in der Praxis weiter verdeutlicht werden müssen, um drohende Bußgelder verlässlicher einschätzen zu können.
Wahrscheinlich ist es, dass die Bußgelder sich unter dem behördlichen Konzept erhöhen werden, da die Behörden vermutlich in der Praxis dazu tendieren werden, als Mindestbetrag des Bußgelds den in Schritt 1 errechneten Tagessatz anzulegen. Auch werden die Aufsichtsbehörden mit Blick auf tendenziell höhere Bußgelder in anderen Mitgliedstaaten der EU wohl dazu neigen, ihre Bußgeldpraxis „nach oben“ anzupassen.
Ausblick:
Die sehr abstrakt gehaltenen Kriterien des Konzeptes sind nun durch Entscheidungen der Aufsichtsbehörden mit Leben zu füllen. Abzuwarten ist, wie sich der Europäische Datenschutzausschuss positionieren wird.
