DSGVO Bußgeld Berechnung

Die Datenschutzgrundverordnung (DSGVO) sieht teilweise horrende Bußgeldzahlungen vor. Art. 83 DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder zwei bis vier Prozent des Vorjahresumsatzes eines Unternehmens vor – je nach dem, welcher Betrag höher ist. Anders als in anderen europäischen Ländern haben sich die Datenschutzbehörden in Deutschland bis vor kurzem – 9,6 Millionen Euro Bußgeld für 1&1 – bisher mit der Verhängung besonders hoher Bußgelder zurückgehalten.

Konzept nach der Datenschutzkonferenz

Das Abstimmungsgremium der deutschen Datenschutzbehörden – die Datenschutzkonferenz (DSK) – hat am 14.10.2019 ein Konzept zur Bemessung von Bußgeldern für Verstöße nach der DSGVO erarbeitet. Ziel des Konzepts sei eine “nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung”.

Einheitlicher Standard

Das Bußgeldkonzept soll bei Verstößen gegen die DSGVO zur Anwendung kommen. Eine Bindungswirkung für Datenschutzbehörden anderen Ländern ist erst einmal nicht vorgesehen. Das Konzept findet keine Anwendung auf Geldbußen, die gegen Vereine oder natürliche Personen außerhalb ihres wirtschaftlichen Tätigkeitsbereichs gerichtet sind.

Die Grundlage der Bemessung bildet ein sog. Tagessatz, welcher sich anhand des Umsatzes eines Unternehmens bemisst. Dieser Tagessatz wird sodann mit einem Faktor multipliziert, welcher anhand des situativen Kontext ermittelt wird (Schwere des Verstoßes, Art und Dauer der Begehung), und verrechnet. Insoweit soll bei der Bemessung Art. 83 II DSVGO Berücksichtigung finden, wodurch die Höhe der Geldbuße anhand von Umständen verringert/erhöht werden kann.

Damit soll ein bundesweiter Standard geschaffen werden. Insbesondere sollen Unternehmen nachvollziehen können aufgrund welcher Kriterien die konkrete Verhängung der Geldbuße erfolgt. Die DSK hat ihr Konzept auch den Datenschutzbehörden anderer Länder vorgelegt – Arbeitsgruppe der Europäischen Datenschutzbehörden (EDSA). Dort gibt es Diskussionen über europäische Standards, die vorerst aber keine Berücksichtigung finden – insoweit gilt das Konzept der DKA innerhalb Deutschlands.

Wie wird die Geldbuße konkret ermittelt?

Das erarbeitete Konzept sieht eine Unterteilung in fünf Ebenen vor:

Erste Ebene

Zunächst erfolgt eine Einteilung aufgrund des weltweit erzielten Jahresumsatzes des Unternehmens, welches es in einer vorherigen Anordnung mitteilen muss. Unterbleibt eine Mitteilung, so ist die Behörde berechtigt den Umsatz zu schätzen.

Kleinstunternehmen – Jahresumsatz bis zwei Millionen Euro

Kleine Unternehmen – Jahresumsatz über zwei – vier Millionen Euro

Mittlere Unternehmen – Jahresumsatz über 10 – 15 Millionen Euro

Große Unternehmen – Jahresumsatz über 50 Millionen Euro

Die vier großen Gruppen werden ebenfalls noch einmal in Untergruppen unterteilt. Kleinst- und Kleinunternehmen zu jeweils drei Gruppen und mittlere sowie große Unternehmen zu jeweils sieben Gruppen.

Zweite Ebene

Als nächstes wird der Jahresumsatz des Unternehmens pauschal anhand der Eingruppierung errechnet. Unternehmen, die mehr als 500 Millionen Euro Jahresumsatz haben, werden maximal mit den bereits erwähnten zwei – vier Prozent berechnet, sodass hier bereits eine konkrete Berechnung des Jahresumsatzes erfolgt.

Dritte Ebene

Anschließend wird der zuvor gebildete mittlere Jahresumsatz durch 360 Tage geteilt und gerundet – damit ist der Tagessatz ermittelt. Im Gegensatz zu Unternehmen mit mehr als 500 Millionen Euro Jahresumsatz findet hier eine pauschale Berechnung anhand der Eingruppierung statt.

Vierte Ebene

Hier wird das Ganze in den situativen Kontext eingebettet und mit einem Faktor multipliziert. Die Schwere des Verstoßes lässt sich wieder in vier Gruppen unterteilen – leicht, mittel, schwer und sehr schwer. Naturgemäß sind materielle Verstöße (Art. 83 V DSGVO, Art. 6 DSGVO) mit einem höheren Faktor versehen als formelle Verstöße (Art. 83 IV DSGVO).

Fünfte Ebene

Schlussendlich kann der nun ermittelte Faktor durch weitere Umstände modifiziert werden (Art. 83 II DSGVO). Ebenso wird darauf geachtet, dass die Höchstgrenze dabei nicht überschritten wird.

Beispiele

Ein Krankenhausbetreiber mit einem Vorjahresumsatz von 1,3 Millionen Euro fiele damit unter die Gruppe der Kleinstunternehmen mit einem Jahresumsatz bis 2 Millionen Euro und innerhalb dieser Gruppe in die Untergruppe II für Unternehmen mit einem Jahresumsatz über 700.000 bis 1,4 Millionen Euro. Der mittlere Jahresumsatz des Betreibers würde dann 1.050.000 Euro betragen, der Tagessatz 2.917 Euro. Geraten nun wegen nicht ausreichender technischer und organisatorischer Maßnahmen sensible Patientendaten ins Netz, würde dies einen zwar formellen (vgl. Art. 83 Abs. 4 DSGVO), aber wohl sehr schweren Verstoß darstellen, der daher mindestens mit dem Faktor 6 beziffert werden würde. Außerdem kämen möglicherweise erschwerende Umstände hinzu, etwa, weil die Daten über einen langen Zeitraum unentdeckt im Netz standen und es sich um besonders sensible Daten handelt, sodass sich der Faktor nochmal erhöhen würde. Ginge man dann von einem Faktor von 10 aus, würde die zuständige Datenschutzbehörde gegen den Krankenhausbetreiber ein Bußgeld in Höhe von 22.917 Euro verhängen.

Ganz anders sähe es beispielsweise für ein Rüstungsbauunternehmen mit einem Vorjahresumsatz von 300 Millionen Euro aus, dass E-Mail-Adressen zu Werbezwecken verwendet. Als Großunternehmen mit einem Jahresumsatz über 50 Millionen Euro fiele dieses Unternehmen in die Untergruppe IV (Jahresumsatz über 200 – 300 Millionen Euro), was einen mittleren Jahresumsatz von 250 Millionen Euro ergäbe und damit einen Tagessatz von 694.444 Euro. Hier läge zudem ein materieller Verstoß gegen die Grundsätze der Verarbeitung vor – das Unternehmen hätte vorher Einwilligungen für den Versand der Werbemails einholen müssen – wenn auch ein leichter. Ginge die Behörde somit von einem Faktor 4 aus, ohne zusätzliche Erschwerungsgründe anzunehmen, erhielte das Rüstungsbauunternehmen einen Bußgeldbescheid in Höhe von ca.  2.7 Millionen Euro

Führt das Konzept zu höheren Bußgeldern?

Man kann ganz sicher davon ausgehen, dass Bußgelder in Millionen-Höhe auch in Deutschland zu erwarten sind. Dies zeigt nicht zuletzt das Beispiel von 1&1, die mit einer Geldbuße von 9,6 Millionen Euro belastet wurden.

Grundsatz der Verhältnismäßigkeit

Als letztes Korrektiv solcher immensen Bußgelder sieht Art. 83 I DSGVO vor, dass Bußgelder “in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein sollen. Das Konzept des DKA orientiert sich in erster Linie an den Jahresumsätzen von Unternehmen. Lediglich der Faktor, mit dem multipliziert wird, wird durch den situativen Kontext oder andere Umstände modifiziert. Folglich kann bereits die erste Einteilung in eine Gruppe eine immense Geldbuße mit sich ziehen. Insbesondere werden die Umstände der Tat und der Verantwortung des Unternehmens nicht berücksichtigt, sodass es lediglich darauf ankäme, ob ein Verstoß vorliege oder nicht.

Minimale Verstöße können für große Unternehmen bereits hohe Geldbußen bedeuten. Somit wird der Datenschutz für Unternehmen immer wichtiger.

2 Thoughts to “Die Berechnung von Bußgeldern nach der DSGVO”

  1. […] dem Bußgeldkonzept der Datenschutzkonferenz (dazu näher: hier)  wird das Bußgeld maßgeblich nach dem Umsatz eines Unternehmens nach Art des […]

  2. […] auf den Unternehmensumsatz problematisch. Einen solchen Ansatz hat der BfDI in Anlehnung an das Bußgeldkonzept der Datenschutzkonferenz vom 19.10.2019 bei der Bußgeldbemessung verfolgt. Eine solche Bemessungsmethode mag bei […]

Leave a Comment