de en
Nexia Ebner Stolz

Rechtsberatung

Das neue Bußgeldkonzept der deutschen Datenschutzbehörden

Bußgelder in Mil­lio­nenhöhe im Da­ten­schutz­recht ha­ben nun auch Deutsch­land er­reicht: In Ber­lin wurde am 30.10.2019 ein Bußgeld in Höhe von Mio. 14,5 Euro verhängt. We­gen des neuen Bußgeld-Kon­zepts der deut­schen Da­ten­schutz­behörden müssen alle Un­ter­neh­men in Zu­kunft mit höheren Bußgel­dern rech­nen.

Verstöße ge­gen das Da­ten­schutz­recht können mit ei­ner Geldbuße ge­ahn­det wer­den. Bei we­sent­li­chen Verstößen sieht die Da­ten­schutz­grund­ver­ord­nung (DS­GVO) Bußgelder in Höhe von bis zu 4 % des welt­wei­ten Vor­jah­res­um­sat­zes ei­nes Un­ter­neh­mens oder bis zu Mio. 20 Euro vor. Der je­weils höhere Be­trag ist die Ober­grenze. Sol­che Verstöße um­fas­sen z. B. auch feh­lende oder un­vollständige Da­ten­schutz­erklärun­gen. Bei nur for­ma­len Verstößen liegt die Ober­grenze bei 2 % des Vor­jah­res­um­sat­zes bzw. Mio. 10 Euro. Bei­spiele für der­ar­tige Verstöße sind feh­lende Ver­ar­bei­tungs­ver­zeich­nisse oder Auf­trags­ver­ar­bei­tungs-Ver­ein­ba­run­gen.

Neues Bußgeldkonzept der deutschen Datenschutzbehörden © unsplash

Neues Bußgeld-Konzept der Datenschutzkonferenz

Die DS­GVO enthält für Geldbußen nur re­la­tiv vage Kri­te­rien, die die Da­ten­schutz­behörde bei der Fest­le­gung der kon­kre­ten Höhe der Geldbuße berück­sich­ti­gen soll. Die Da­ten­schutz­kon­fe­renz (DSK) als Dach­ver­band der deut­schen Da­ten­schutz­behörden hat da­her am 14.10.2019 ein Kon­zept zur Be­rech­nung von Geldbußen für Da­ten­schutz­verstöße veröff­ent­licht. Das Bußgeld­mo­dell gilt für alle Un­ter­neh­men, Selbstständige und Ge­wer­be­trei­bende mit Sitz in Deutsch­land, nicht aber für nicht wirt­schaft­lich tätige Ver­eine. Durch das neue Kon­zept soll die Bußgeld­zu­mes­sung nach­voll­zieh­ba­rer und ge­rech­ter wer­den.

Erster Schritt: Berücksichtigung des Umsatzes des Unternehmens

Grund­lage der Bußgeld­be­rech­nung ist der Vor­jah­res­um­satz des je­wei­li­gen Un­ter­neh­mens. Da­durch soll si­cher­ge­stellt wer­den, dass Kleinst­un­ter­neh­men so­wie kleine und mitt­lere Un­ter­neh­men (KMU) für einen ver­gleich­ba­ren Ver­stoß ge­rin­gere Bußgelder zah­len müssen als um­satz­starke Großun­ter­neh­men. Bei Un­ter­neh­mens­grup­pen soll nach Auf­fas­sung der DSK auf den ge­sam­ten Kon­zern­um­satz ab­ge­stellt wer­den.

Das Bußgeld­kon­zept un­ter­schei­det beim Um­satz von Kleinst­un­ter­neh­men, klei­nen und mitt­le­ren Un­ter­neh­men und von Großun­ter­neh­men zwi­schen meh­re­ren Größen­klas­sen. Für jede Größen­klasse wird der je­weils mitt­lere Um­satz der Größen­klasse durch 360 ge­teilt. Da­durch erhält man den durch­schnitt­li­chen Ta­ges­um­satz des Un­ter­neh­mens ei­ner Größen­klasse. Die­ser Ta­ges­um­satz ist der (wirt­schaft­li­che) Grund­wert für die Bußgeld­be­rech­nung. Diese Vor­ge­hens­weise soll of­fen­bar den Da­ten­schutz­behörden die Bußgeld­be­rech­nung er­leich­tern. Bei Un­ter­neh­men mit einem Vor­jah­res­um­satz von mehr als EUR Mio. 500 wird der Grund­wert statt­des­sen di­rekt aus dem kon­kre­ten Vor­jah­res­um­satz be­rech­net.

Der Grundwert für ein mittleres Unternehmen mit einem Vorjahresumsatz von Mio. 45 Euro beträgt 125.000 Euro.

Bei­spiel: Der Grund­wert für ein mitt­le­res Un­ter­neh­men mit einem Vor­jah­res­um­satz von Mio. 45 Euro beträgt 125.000 Euro.

Zweiter Schritt: Berücksichtigung der Schwere des Verstoßes

Verstöße ge­gen das Da­ten­schutz­recht wer­den un­ter­schied­lich schwer ge­wich­tet. Dies wird im neuen Bußgeld­kon­zept da­durch berück­sich­tigt, dass der Grund­wert mit einem Fak­tor mul­ti­pli­ziert wird. Je schwe­rer der Ver­stoß, desto höher der Fak­tor. Hier wird nach for­ma­len und in­halt­li­chen Verstößen dif­fe­ren­ziert:

Bei Verstößen gegen das Datenschutzrecht wird der Grundwert mit einem Faktor multipliziert, der, je nach der Schwere des Verstoßes, unterschiedlich hoch ist.

Das Bußgeld­kon­zept enthält keine Aus­sa­gen dazu, wel­che DS­GVO-Verstöße be­son­ders schwer wie­gen. Schon des­halb führt das neue Kon­zept – kurz­fris­tig be­trach­tet – nicht zu mehr Rechts­si­cher­heit.

Grundsätz­lich dürfte ein Ver­stoß umso schwe­rer sein, je

  • mehr per­so­nen­be­zo­gene Da­ten be­trof­fen sind,
  • sen­si­bler die per­so­nen­be­zo­ge­nen Da­ten sind,
  • höher der Scha­den bei den be­trof­fe­nen Per­so­nen sein kann und
  • länger der Ver­stoß an­dau­ert.
Bei­spiel: Ein Un­ter­neh­men mit einem Vor­jah­res­um­satz von Mio. 45 Euro be­geht einen mit­tel-schwe­ren, we­sent­li­chen Da­ten­schutz­ver­stoß. Das Bußgeld beträgt min­des­tens 500.000 Euro (Grund­wert 125.000 Euro mul­ti­pli­ziert mit Fak­tor 4).

Dritter Schritt: Berücksichtigung sonstiger Umstände

In einem drit­ten Schritt kann die Da­ten­schutz­behörde bei der Be­rech­nung der kon­kre­ten Geldbuße den Geld­be­trag min­dern oder bis zu den je­wei­li­gen Ober­gren­zen erhöhen. Hier­bei wird je­doch nicht der Da­ten­schutz­ver­stoß als sol­cher berück­sich­tigt, weil diese tat­be­zo­ge­nen Umstände be­reits im zwei­ten Schritt berück­sich­tigt wur­den. Viel­mehr berück­sich­tigt die Da­ten­schutz­behörde hier be­las­tende und sons­tige ent­las­tende Umstände. Es han­delt sich vor al­lem um sol­che Umstände, die in dem Un­ter­neh­men selbst begründet sind (täter­be­zo­gene Umstände).

Bei­spiele:

Bußgelderhöhende und bußgeldmindernde Umstände

Hin­weis: Das neue Bußgeld­kon­zept ist kein Bußgeld­ka­ta­log. Das kon­kret dro­hende Bußgeld für einen be­stimm­ten Ver­stoß kann auch mit dem neuen Kon­zept nicht auf den Euro ge­nau aus­ge­rech­net wer­den. Es wird je­doch zu deut­lich höheren Bußgel­dern als bis­her führen, ins­be­son­dere für um­satz­starke Un­ter­neh­men. Geldbußen we­gen Da­ten­schutz­verstößen können ge­richt­lich überprüft wer­den, wo­bei die Ge­richte nicht an das Kon­zept der DSK ge­bun­den sind. Der­zeit ist noch nicht ab­seh­bar, ob und in­wie­weit Bußgelder nach dem neuen Kon­zept vor Ge­richt Be­stand ha­ben wer­den.

nach oben