de en
Nexia Ebner Stolz

Rechtsberatung

Das neue Bußgeldkonzept der deutschen Datenschutzbehörden

Bußgelder in Millionenhöhe im Datenschutzrecht haben nun auch Deutschland erreicht: In Berlin wurde am 30.10.2019 ein Bußgeld in Höhe von Mio. 14,5 Euro verhängt. Wegen des neuen Bußgeld-Konzepts der deutschen Datenschutzbehörden müssen alle Unternehmen in Zukunft mit höheren Bußgeldern rechnen.

Ver­stöße gegen das Daten­schutz­recht kön­nen mit einer Geld­buße geahn­det wer­den. Bei wesent­li­chen Ver­stö­ßen sieht die Daten­schutz­grund­ver­ord­nung (DSGVO) Buß­gel­der in Höhe von bis zu 4 % des welt­wei­ten Vor­jah­re­s­um­sat­zes eines Unter­neh­mens oder bis zu Mio. 20 Euro vor. Der jeweils höhere Betrag ist die Ober­g­renze. Sol­che Ver­stöße umfas­sen z. B. auch feh­lende oder unvoll­stän­dige Daten­schutz­er­klär­un­gen. Bei nur for­ma­len Ver­stö­ßen liegt die Ober­g­renze bei 2 % des Vor­jah­re­s­um­sat­zes bzw. Mio. 10 Euro. Bei­spiele für der­ar­tige Ver­stöße sind feh­lende Ver­ar­bei­tungs­ver­zeich­nisse oder Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­run­gen.

Neues Bußgeldkonzept der deutschen Datenschutzbehörden © unsplash

Neues Buß­geld-Kon­zept der Daten­schutz­kon­fe­renz

Die DSGVO ent­hält für Geld­bu­ßen nur rela­tiv vage Kri­te­rien, die die Daten­schutz­be­hörde bei der Fest­le­gung der kon­k­re­ten Höhe der Geld­buße berück­sich­ti­gen soll. Die Daten­schutz­kon­fe­renz (DSK) als Dach­ver­band der deut­schen Daten­schutz­be­hör­den hat daher am 14.10.2019 ein Kon­zept zur Berech­nung von Geld­bu­ßen für Daten­schutz­ver­stöße ver­öf­f­ent­licht. Das Buß­geld­mo­dell gilt für alle Unter­neh­men, Selbst­stän­dige und Gewer­be­t­rei­bende mit Sitz in Deut­sch­land, nicht aber für nicht wirt­schaft­lich tätige Ver­eine. Durch das neue Kon­zept soll die Buß­geld­zu­mes­sung nach­voll­zieh­ba­rer und gerech­ter wer­den.

Ers­ter Schritt: Berück­sich­ti­gung des Umsat­zes des Unter­neh­mens

Grund­lage der Buß­geld­be­rech­nung ist der Vor­jah­re­s­um­satz des jewei­li­gen Unter­neh­mens. Dadurch soll sicher­ge­s­tellt wer­den, dass Kleinst­un­ter­neh­men sowie kleine und mitt­lere Unter­neh­men (KMU) für einen ver­g­leich­ba­ren Ver­stoß gerin­gere Buß­gel­der zah­len müs­sen als umsatz­starke Groß­un­ter­neh­men. Bei Unter­neh­mens­grup­pen soll nach Auf­fas­sung der DSK auf den gesam­ten Kon­zern­um­satz abge­s­tellt wer­den.

Das Buß­geld­kon­zept unter­schei­det beim Umsatz von Kleinst­un­ter­neh­men, klei­nen und mitt­le­ren Unter­neh­men und von Groß­un­ter­neh­men zwi­schen meh­re­ren Grö­ß­en­klas­sen. Für jede Grö­ß­en­klasse wird der jeweils mitt­lere Umsatz der Grö­ß­en­klasse durch 360 geteilt. Dadurch erhält man den durch­schnitt­li­chen Tage­s­um­satz des Unter­neh­mens einer Grö­ß­en­klasse. Die­ser Tage­s­um­satz ist der (wirt­schaft­li­che) Grund­wert für die Buß­geld­be­rech­nung. Diese Vor­ge­hens­weise soll offen­bar den Daten­schutz­be­hör­den die Buß­geld­be­rech­nung erleich­tern. Bei Unter­neh­men mit einem Vor­jah­re­s­um­satz von mehr als EUR Mio. 500 wird der Grund­wert statt­des­sen direkt aus dem kon­k­re­ten Vor­jah­re­s­um­satz berech­net.

Der Grundwert für ein mittleres Unternehmen mit einem Vorjahresumsatz von Mio. 45 Euro beträgt 125.000 Euro.

Bei­spiel: Der Grund­wert für ein mitt­le­res Unter­neh­men mit einem Vor­jah­re­s­um­satz von Mio. 45 Euro beträgt 125.000 Euro.

Zwei­ter Schritt: Berück­sich­ti­gung der Schwere des Ver­sto­ßes

Ver­stöße gegen das Daten­schutz­recht wer­den unter­schied­lich schwer gewich­tet. Dies wird im neuen Buß­geld­kon­zept dadurch berück­sich­tigt, dass der Grund­wert mit einem Fak­tor mul­ti­p­li­ziert wird. Je schwe­rer der Ver­stoß, desto höher der Fak­tor. Hier wird nach for­ma­len und inhalt­li­chen Ver­stö­ßen dif­fe­ren­ziert:

Bei Verstößen gegen das Datenschutzrecht wird der Grundwert mit einem Faktor multipliziert, der, je nach der Schwere des Verstoßes, unterschiedlich hoch ist.

Das Buß­geld­kon­zept ent­hält keine Aus­sa­gen dazu, wel­che DSGVO-Ver­stöße beson­ders schwer wie­gen. Schon des­halb führt das neue Kon­zept – kurz­fris­tig betrach­tet – nicht zu mehr Rechts­si­cher­heit.

Grund­sätz­lich dürfte ein Ver­stoß umso schwe­rer sein, je

  • mehr per­so­nen­be­zo­gene Daten betrof­fen sind,
  • sen­si­b­ler die per­so­nen­be­zo­ge­nen Daten sind,
  • höher der Scha­den bei den betrof­fe­nen Per­so­nen sein kann und
  • län­ger der Ver­stoß andau­ert.

Bei­spiel: Ein Unter­neh­men mit einem Vor­jah­re­s­um­satz von Mio. 45 Euro begeht einen mit­tel-schwe­ren, wesent­li­chen Daten­schutz­ver­stoß. Das Buß­geld beträgt min­des­tens 500.000 Euro (Grund­wert 125.000 Euro mul­ti­p­li­ziert mit Fak­tor 4).

Drit­ter Schritt: Berück­sich­ti­gung sons­ti­ger Umstände

In einem drit­ten Schritt kann die Daten­schutz­be­hörde bei der Berech­nung der kon­k­re­ten Geld­buße den Geld­be­trag min­dern oder bis zu den jewei­li­gen Ober­g­ren­zen erhöhen. Hier­bei wird jedoch nicht der Daten­schutz­ver­stoß als sol­cher berück­sich­tigt, weil diese tat­be­zo­ge­nen Umstände bereits im zwei­ten Schritt berück­sich­tigt wur­den. Viel­mehr berück­sich­tigt die Daten­schutz­be­hörde hier belas­tende und sons­tige ent­las­tende Umstände. Es han­delt sich vor allem um sol­che Umstände, die in dem Unter­neh­men selbst begrün­det sind (täter­be­zo­gene Umstände).

Bei­spiele:

Bußgelderhöhende und bußgeldmindernde Umstände

Hin­weis: Das neue Buß­geld­kon­zept ist kein Buß­geld­ka­ta­log. Das kon­k­ret dro­hende Buß­geld für einen bestimm­ten Ver­stoß kann auch mit dem neuen Kon­zept nicht auf den Euro genau aus­ge­rech­net wer­den. Es wird jedoch zu deut­lich höhe­ren Buß­gel­dern als bis­her füh­ren, ins­be­son­dere für umsatz­starke Unter­neh­men. Geld­bu­ßen wegen Daten­schutz­ver­stö­ßen kön­nen gericht­lich über­prüft wer­den, wobei die Gerichte nicht an das Kon­zept der DSK gebun­den sind. Der­zeit ist noch nicht abseh­bar, ob und inwie­weit Buß­gel­der nach dem neuen Kon­zept vor Gericht Bestand haben wer­den.

nach oben