DSGVO: Neues Konzept zur Bußgeldbemessung

DSGVO Neue Bußgeldbemessung

Die Datenschutzkonferenz hat ein Konzept zur Bußgeldbemessung bei Verstößen gegen die Datenschutzgrundverordnung erarbeitet. Maßstab ist insbesondere der Umsatz des betroffenen Unternehmens. 

Hintergrund

Die Datenschutzgrundverordnung sieht bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vorjahresumsatzes eines Unternehmens vor.

Die Bedingungen für die Verhängung von Bußgeldern sind in Art. 83 DSGVO aufgeführt. Die Aufsichtsbehörden haben hiernach sicherzustellen, dass die Verhängung von Bußgeldern wirksam, verhältnismäßig und abschreckend sind. Die Vorschrift legt verschiedene Kriterien für die Bemessung von Bußgeldern fest. Dies sind beispielsweise:

  • die vom Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des entstandenen Schadens für die betroffenen Personen
  • frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiteres
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde

Die konkrete Höhe des Bußgeldes wird von den Landesbeauftragten für Datenschutz im jeweiligen Einzelfall festgelegt. Die Datenschutzkonferenz (DSK) hat nunmehr die Bedingungen für die Bußgeldbemessung in einem Bußgeldkonzept näher bestimmt.

Das Konzept zur Bußgeldbemessung

Das Konzept zur Bußgeldbemessung folgt einem fünfstufigen Prüfungsmaßstab:

   1.  Größe des Unternehmens
   2.  Mittlerer Jahresumsatz der jeweiligen Größengruppe
   3.  Wirtschaftlicher Grundwert
   4.  Schwere der Tatumstände
   5.  Zusätzliche Aspekte (z. B. Kooperation des Unternehmens)

1. Kategorisierung der Unternehmen nach Größenklassen

Im ersten Schritt wird das Unternehmen einer von vier Größenklassen zugeordnet

  • Kleinstunternehmen
  • kleine Unternehmen
  • mittlere Unternehmen
  • Großunternehmen

Die Zuordnung richtet sich nach dem gesamten weltweit erzielten Vorjahresumsatz des Unternehmens. In der jeweiligen Gruppe erfolgt eine weitere Unterteilung in Untergruppen, ebenfalls anhand der erzielten Vorjahresumsätze.

Beispiel:
In die Kategorie Kleinstunternehmen werden Unternehmen mit einem weltweiten Vorjahresumsatz von bis zu 2 Millionen Euro eingestuft. Ein Unternehmen mit einem Vorjahresumsatz von bis zu 700.000 Euro wird innerhalb dieser Gruppe der Untergruppe A.I zugeordnet.

2. Bestimmung des mittleren Jahresumsatzes

Im nächsten Schritt wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, festgelegt. Diese Einordnung dient zur Vorbereitung der Ermittlung des wirtschaftlichen Grundwertes (Ziffer 3).

Beispiel:
Für ein Kleinstunternehmen, das der Kategorie A.I zugeordnet wurde (Vorjahresumsatz von bis zu 700.000) wird ein mittlerer Jahresumsatz von 350.000 € festgelegt.

3. Ermittlung des wirtschaftlichen Grundwertes

Für die Bestimmung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeteilt wurde durch 360 (Tage) geteilt. Dies dient dem Zweck, einen Tagessatz zu bestimmen.

Beispiel:
Für ein Kleinstunternehmen der Kategorie A.I beträgt ein Tagessatz 972 Euro.

4. Multiplikation des Grundwertes nach Schweregrad der Tat

Anschließend erfolgt eine Beurteilung des Schweregrades des Verstoßes in die Kategorien leicht, mittel, schwer und sehr schwer. Dabei werden anhand der von Art. 83 Abs. 2 Satz 2 DSGVO festgelegten Kriterien der Schwergrad des Tatvorwurfs und der jeweilige Faktor ermittelt, mit dem der Grundwert multipliziert wird. Die Faktoren werden in formelle (Art. 83 Abs. 4 DSGVO) und materielle (Art. 83 Abs. 5, 6 DSGVO) Verstöße unterteilt.

Formelle Verstöße sind hierbei unter anderem unzureichende technische und organisatorische Maßnahmen.

Als materielle Verstöße sind beispielsweise Verstöße im Rahmen von Auskunfts- und Löschungsverlangen von betroffenen Personen zu qualifizieren.

Beispiel:
Die unzureichende Beantwortung eines Auskunftsersuchens stellt einen materiellen Verstoß dar. Je nach Einstufung der Behörde, ob es sich hierbei um einen leichten bis sehr schweren Verstoß handelt ergibt sich ein Faktor zwischen 1 bis 12.

Qualifiziert die Behörde einen entsprechenden Verstoß eines Kleinstunternehmens der Kategorie A.I als leicht und vergibt den Faktor 2, ergibt sich ein Bußgeld in Höhe von 1944 Euro.

5. Anpassung des Grundwertes anhand aller sonstigen für und gegen das betroffene Unternehmen sprechenden Umstände

Im letzten Schritt werden alle für und gegen das betroffene Unternehmen vorliegenden Umstände herangezogen und abgewogen, soweit diese nicht bereits im Rahmen der unter Schritt 4 erfolgten Prüfung berücksichtigt wurden.

Dies sind insbesondere täterbezogene Umstände sowie Umstände wie eine lange Verfahrensdauer oder drohende Zahlungsunfähigkeit des Unternehmens.

Erste Bußgelder nach dem neuen Konzept

Im Jahr 2019 wurden bereits zwei Bußgelder in Millionenhöhe auf Basis des neuen Bußgeldkonzeptes verhängt.

So erließ die Berliner Datenschutzbeauftragte einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen das Immobilienunternehmen Deutsche Wohnen SE. Weiterhin wurde durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen den Telekommunikationsanbieter 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.555.000 Euro verhängt.

Erstellt: 16. Januar 2020