Nachdem die Gerüchteküche in den letzten Wochen kräftig am Brodeln war, haben die deutschen Datenschutzaufsichtsbehörden am 16. Oktober 2019 offiziell ihr Modell zur Berechnung der Bußgelder bei Verstößen gegen die DSGVO veröffentlicht. Wir möchten dies zum Anlass nehmen und einige Aufsätze, die sich mit dem Thema DSGVO-Bußgelder befassen, in unserem Blog kostenlos zum Download zur Verfügung zu stellen.

After weeks of rumors and speculations, the German data protection authorities have published their model for calculating fines for GDPR infringements on 16 October 2019. We would like to take this as an opportunity to provide some articles dealing with GDPR fines for free of charge download on our blog.

Wie bereits seit längerem angekündigt, beabsichtigen die Datenschutzaufsichtsbehörden bei der Bußgeldberechnung den Unternehmensbegriff im Sinne der Artikel 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zugrunde zu legen:

„Es gilt gemäß dem Erwägungsgrund 150 der DS-GVO der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV (sog. funktionaler Unternehmensbegriff).“

(Datenschutzkonferenz, Konzept der unabhängigen Datenschutzaufsichtsbehörden, des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, S. 3)

Dieser – für das EU-Kartellrecht entwickelte – funktionelle Unternehmensbegriff knüpft nicht an das jeweils handelnde Rechtsubjekt, d.h. bei Unternehmen die jeweilige juritische Person, Personenhandelsgesellschaft etc., an, sondern stellt vielmehr auf die „wirtschaftliche Einheit“ ab. Der EuGH versteht unter der wirtschaftlichen Einheit „jede eine wirtschaftliche Tätigkeit ausübende Einheit, unabhängig von ihrer Rechtsform und Art der Finanzierung.“ Je nach Aufbau einer Unternehmensgruppe kann die wirtschaftliche Einheit den gesamten Konzern und damit den Konzernumsatz umfassen. Voraussetzung für das Bestehen einer wirtschaftlichen Einheit aus Mutter- und Tochtergesellschaften ist, dass die Muttergesellschaft einen bestimmenden Einfluss auf das Marktverhalten ihrer Tochtergesellschaften ausübt und die einzelne Tochtergesellschaft trotz eigener Rechtspersönlichkeit ihr Marktverhalten nicht autonom bestimmt, sondern im Wesentlichen Weisungen der Muttergesellschaft befolgt.

Im Rahmen der Bußgeldberechnung macht es einen gravierenden Unterschied, ob lediglich der Umsatz der konkret als datenschutzrechtlich Verantwortlicher oder Auftragsverarbeiter agierenden Konzerngesellschaft oder aber der Konzernumsatz als Ausgangswert genommen wird. Inwieweit der Unternehmensbegriff des EU-Kartellrechts tatsächlich auf die Verhängung von Bußgeldern unter der DSGVO übertragen werden kann, ist hoch umstritten und im Ergebnis aufgrund eines Verstoßes gegen den Bestimmheitsgrundsatz abzulehnen. Mehr hierzu finden Sie in

Spittka, Der Unternehmensbegriff der DSGVO

(Zitiervorschlag: Spittka, Der Unternehmensbegriff der DSGVO, in: Taeger (Hrsg.), Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, Edewecht 2018, S. 117-130).

Darüber hinaus stellt sich die Frage, ob die Datenschutzaufsichtbehörden Informationen, welche sie im Rahmen der Meldung von Datenpannen nach den Artikeln 33 und 34 DSGVO erhalten, verwenden dürfen, um Bußgelder zu verhängen. Dies scheitert jedoch bereits auf Ebene der DSGVO am verfassung- und europarechtlich verankerten Verbot der Pflicht zur Selbstbelastung („nemo tenetur se ipsum accusare“). In Deutschland werden Unternehmen zudem durch das umfassende Verwendungsverbot in § 43 Abs. 4 BDSG geschützt. Lesen Sie hierzu den Beitrag

Spittka, Si tacuisses… – nemo tenetur und die DSGVO

(Zitiervorschlag: Spittka, Si tacuisses… – nemotenetur und die DSGVO, in: Taeger (Hrsg.), Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, Edewecht 2019, S. 141-154).

Beide Beiträge veröffentlichen wir mit freundlicher Genehmigung der Deutschen Stiftung für Recht und Informatik (DSRI) und des OlWIR Verlags.

Eine aktualisierte Kurzfassung des Beitrags zur Frage, ob die Datenschutzbehörden die Meldepflicht zur Verhängung von Bußgeldern gegen die meldende Stelle verwenden dürfen, ist im Datenschutz-Berater erschienen. Auch diesen Beitrag stellen wir mit freundlicher Genehmigung der dfv Mediengruppe kostenfrei zur Verfügung:

Spittka, Der Personal Data Breach als Pflicht zur Selbstbelastung, Datenschutzberater 2019, 217-219