Künftig drohen nach Datenschutzverstößen deutlich höhere Bußgelder als bislang

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 25.06.2019 auf ein neues Modell zur Berechnung von Bußgeldern verständigt. Dort hat die DSK ein Bußgeldmodell festgelegt, das im Ergebnis zu sehr hohen Sanktionen führen kann. Die Datenschutzbehörden wenden dieses Modell bereits in der Praxis an. Der vorliegende Beitrag beschreibt die Hintergründe und die Einzelheiten des neuen Modells zur Berechnung von Bußgeldern durch deutsche Datenschutzbehörden. Zudem fasst er erste Erfahrungen mit dem neuen Bußgeldmodell aus der Praxis zusammen.

  1. Datenschutzbehörden einigen sich auf Modell zur Berechnung von Bußgeldern

Nach intensiven Vorarbeiten des Arbeitskreises Sanktionen der DSK haben sich die deutschen Datenschutzbehörden im Juni 2019 auf ein einheitliches Konzept zur Berechnung von Bußgeldern nach Art. 83 DSGVO verständigt. Laut einer aktuellen Meldung der JUVE zählten die Datenschutzbehörden der Länder Berlin, Niedersachsen und Baden-Württemberg zu den Treibern des neuen Bußgeldmodells. Das Ergebnis der Verständigung zwischen den deutschen Datenschutzbehörden ist in dem kürzlich veröffentlichten Protokoll der 2. Zwischenkonferenz 2019 der DSK in Mainz zusammengefasst. Das neue Bußgeldmodell wurde dort Tagesordnungspunkt 16 besprochen. Das Protokoll ist hier abrufbar und liefert einige ausgesprochen interessante Hintergrundinformationen.

Das Konzept zur Bußgeldzumessung bei Verstößen gegen die DS-GVO wurde vom Arbeitskreis Sanktionen der DSK entwickelt und im Juni von der Berliner Datenschutzbehörde vorgestellt und erläutert. Eine solche Erläuterung dürfte auch notwendig gewesen sein, denn das vorgestellte Bußgeldmodell ist durchaus komplex und umfasst eine ganze Reihe von Rechenschritten. Das Konzept wurde zudem auch der entsprechenden Arbeitsgruppe im Europäischen Datenschutzausschuss (EDSA) vorgestellt. Dort befasst sich die „Taskforce Finings“ des EDSA mit Modellen zur Sicherstellung einer EU-weit einheitlichen Bußgeldpraxis der Datenschutzbehördenvorgestellt wurde. Der Bußgeldansatz der deutschen Behörden soll in der „Taskforce Finings“ auf Interesse gestoßen sein. Denn im Gegensatz zu anderen derzeit diskutierten Modellen gewährleiste er nach Ansicht der deutschen Behörden eine systematische, transparente und nachvollziehbare Bußgeldbemessung. Es besteht somit durchaus die Möglichkeit, dass sich eine künftige europäische Bußgeldpraxis an dem von den deutschen Behörden angewendeten System orientieren wird.

Auf ihrer Sitzung im Juni hat die DSK das Konzept mehrheitlich als geeignete Grundlage für die Zumessung von Bußgeldern begrüßt. Die DSK hat den Arbeitskreis Sanktionen zudem gebeten, das Konzept unter Einbeziehung der mit der neuen Bußgeldpraxis gemachten praktischen Erfahrungen weiterzuentwickeln. Diese Entscheidung wurde mit 16 Zustimmungen und einer Enthaltung angenommen.

  1. Wie funktioniert das neue Bußgeldmodell?

Das neue Konzept zu Berechnung von Bußgeldern ist ausgesprochen komplex. In einem bereits verhängten Bescheid nehmen beispielsweise allein der Berechnungsbogen zur Bußgeldhöhe und die ergänzenden Erläuterungen einen Umfang von 24 Seiten ein. Diese Komplexität ist nicht unbedingt überraschend. Denn ein zu einfaches Modell könnte die gebotene Einzelfallgerechtigkeit und damit die in Art. 83 Abs. 1 DSGVO geforderte Verhältnismäßigkeit gegebenenfalls nicht sicherstellen.

Die Berechnungsgrundlage des neuen Bußgeldmodells ist der Umsatz des Unternehmens. Auf dieser Basis wird ein sogenannter „Tagessatz“ ermittelt, der dann mit einem je nach Schwere der Tat und der Art ihrer Begehung zu ermittelnden Faktor multipliziert wird. Dieser Wert wird dann auf der Grundlage der Bußgeldzumessungsregeln des Art. 83 Abs. 2 DSGVO noch weiter angepasst.

III. Die Berechnung von Bußgeldern im Einzelnen

Das eigentliche Bußgeldmodell besteht aus einer Vielzahl von Rechenschritten und Einwertungen, die im Folgenden kurz zusammengefasst werden. Dabei werden aus Gründen der Übersichtlichkeit und der Verständlichkeit bewusst nicht jede Einzelheit und jede Rechenoperation im Detail dargestellt.

  1. Umsatzbasierte Ermittlung des „Tagessatzes“

Zunächst ermitteln die Behörden bei der Verhängung von Bußgeldern nach Art. 83 DSGVO einen wirtschaftlichen Grundwert für die weitere Berechnung, den sogenannten „Tagessatz“. Diesen Grundwert legen die Behörden fest, indem Sie den Umsatz des Verantwortlichen durch 360 teilen.

Betroffene Unternehmen werden in einer vorherigen Anhörung grundsätzlich aufgefordert, ihren weltweiten Umsatz des Vorjahres mitzuteilen. Machen sie keine Angaben, können die Behörden den Umsatz auch schätzen.

Für Konzerne stellt sich hierbei die Frage, ob die Behörden bei dieser Berechnung den Umsatz der einzelnen betroffenen Konzerngesellschaft zu Grunde legen oder den der gesamten Gruppe. Die Erläuterungen der Behörden zu bislang vorliegenden Bußgeldbescheiden beantworten diese Frage nicht. Dort heißt es, dass das Bußgeld auf der Grundlage des „weltweiten Unternehmensumsatzes“ berechnet wird. Allerdings hat sich die DSK bereits in der Vergangenheit recht klar zu dieser Frage positioniert. So schreiben die Datenschutzbehörden auf Seite 2 ihres „Kurzpapiers Nr. 2 Aufsichtsbefugnisse/Sanktionen“ hierzu Folgendes:

Wie der Begriff „Unternehmen“ im Zusammenhang mit dem Bußgeldverfahren zu verstehen ist, ist Erwägungsgrund (ErwGr.) 150 der DS-GVO zu entnehmen. Danach gilt der aus dem Kartellrecht entlehnte weite, funktionale Unternehmensbegriff nach Art. 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV). Dies hat zur Folge, dass Mutter- und Tochtergesellschaften als wirtschaftliche Einheit betrachtet werden, so dass bei der Bemessung des Bußgeldes der Gesamtumsatz Unternehmensgruppe zu Grunde gelegt wird.

Es darf zwar mit guten Gründen bezweifelt werden, dass es rechtlich zulässig ist, eine derart weitgreifende und folgenschwere Ausweitung des Haftungsmaßstabs allein auf einen Erwägungsgrund zu stützen. Denn eine so massive Veränderung des Wortlauts des in Art. 83 DSGVO verwendeten Begriffs des Unternehmens hätte in der Vorschrift selbst und nicht lediglich in einem Erwägungsgrund geregelt werden müssen (vgl. Faust/Spittka/Wybitul, ZD 2016, 120 ff.). Es bleibt allerdings in Anbetracht der klaren Position der DSK abzuwarten, wie sich Gerichte in künftigen Bußgeldverfahren zu dieser Frage positionieren werden.

Beispiel: Eine Unternehmensgruppe hat im Vorjahr einen Umsatz von EUR 90 Milliarden erwirtschaftet. Hieraus ergibt sich ein wirtschaftlicher Grundwert von EUR 250 Millionen. Die Behörden multiplizieren diesen sogenannten „Tagessatz“ dann mit den im Folgenden dargestellten weiteren Faktoren, um das konkret zu verhängende Bußgeld zu ermitteln. Bei einem leichten Verstoß ohne zusätzliche bußgeldschärfende oder bußgeldmildernde Umstände läge der Regelbußgeldkorridor dann bei EUR 250 Millionen bis zu 1 Milliarde EUR, bei einem schweren Verstoß würden hingegen Bußgelder von 2 bis 3 Milliarden EUR drohen.

  1. Festlegung von Regelbußgeldkorridoren und des Mittelwerts

Für die Bewertung des konkret von der Behörde festgestellten einzelnen Verstoßes wird dann zunächst die Ausgangsschweregrad der Tat ermittelt. Auf der Basis der so ermittelten Schwere des konkreten Verstoßes legen die Behörden dann sogenannte Regelbußgeldkorridore fest. Vereinfacht gesagt multiplizieren die Behörden bei diesem Schritt den wirtschaftlichen Grundwert mit einem Faktor, der zwischen 1 bis 14,4 liegen kann. In besonders schweren Fällen kann der Multiplikationsfaktor 14,4 sogar noch überschritten werden. Konkret sieht das Berechnungsmodell der DSK die folgenden fünf Kategorien und daraus resultierenden Berechnungsfaktoren vor:

  • Leichter Verstoß: Faktor 1 bis 4,
  • Mittlerer Verstoß: Faktor 4 bis 8,
  • Schwerer Verstoß: Faktor 8 bis 12,
  • Sehr schwerer Verstoß mit Höchstfaktor: Faktor 12 bis 14,4,
  • Sehr schwerer Verstoß ohne Höchstfaktor: Faktor ab 12.

In den Erläuterungen zu den von den deutschen Behörden verhängten Bußgeldbescheiden finden sich teilweise durchaus hilfreiche Hinweise zur Einordnung der Ausgangsschwere eines Verstoßes. Diese Hinweise zeigen, welche Faktoren sich nach Auffassung der DSK als bußgeldschärfend oder als bußgeldmindernd auswirken sollen.

Ein wesentlicher Faktor für die Festlegung des Ausgangsschweregrads eines Datenschutzverstoßes soll zunächst die Einordnung in Art. 83 Abs. 4, Abs. 5 oder Abs. 6 DSGVO sein. Entscheidend soll aber letztlich der „Unrechtsgehalt“ der jeweiligen Tat sein, so dass es auch möglich sein soll, dass der Schweregrad „manuell festgesetzt“ wird. So soll etwa eine unverlangt zugesandte Werbe-Email als leichte Übertretung gewertet werden und die unbefugte Überwachung von Beschäftigten dagegen als schwerer Verstoß.

Bei Unternehmen mit mehr als EUR 500 Mio. Jahresumsatz entsprechen die Faktoren 7,2 und 14,4 im Übrigen nach den Aussagen der DSK zugleich den in Art. 83 Abs. 4 und Abs. 5 DSGVO festgelegten Obergrenzen von 2 Prozent oder 4 Prozent des Jahresumsatzes. Diese Werte dürfen auch bei der Anwendung des neuen Bußgeldmodells nicht überschritten werden.

Aus den in diesem Rechenschritt zunächst gebildeten Regelbußgeldkorridor ermitteln die Behörden dann einen Mittelwert, der die Grundlage der weiteren Bußgeldbemessung wird.

Beispiel: Bei dem in der vorherigen Beispielsrechnung genannten Unternehmen mit EUR 90 Milliarden Jahresumsatz stellt die Behörde einen leichten Verstoß fest. Der Regelbußgeldkorridor liegt daher beim Faktor 1 bis 4. Die Behörde multipliziert diese Werte dann mit dem „Tagessatz“ von EUR 250 Millionen. Dies ergibt einen Regelbußgeldkorridor von EUR 250 Millionen bis EUR 1 Milliarde. Hieraus ergibt sich ein Mittelwert von EUR 625 Millionen.

  1. Einordnung des konkreten Verstoßes

Im Anschluss an die Feststellung der Ausgangsschwere des Verstoßes wird diese Tatschwere anhand der Art der Tatbegehung und ihrer Folgen nach den nachstehenden Kriterien modifiziert:

  • Dauer des Verstoßes,
  • Art, Umfang und Zweck der betreffenden rechtswidrigen Verarbeitung,
  • Anzahl der von der Verarbeitung betroffenen Personen und das
  • Ausmaß des von den Personen erlittenen Schadens.

Die Behörden weisen jedem dieser Kriterien nun einen Punktwert von 0 bis 4 zu und bilden hieraus eine Gesamtsumme. „Senkende Umstände“ werden mit 0 Punkten bewertet, „eher senkende“ mit 1 Punkt, „gleichbleibende“ mit 2 Punkten, „eher erhöhende“ mit 3 Punkten und „erhöhende Umstände“ mit 4 Punkten.

Die Dauer eines Verstoßes kann etwa dann bußgelderhöhend wirken, wenn beispielsweise eine unrechtmäßige Videoüberwachung über Jahre hinweg vorgenommen wird. Auch die Speicherdauer der erhobenen Daten kann sich hier auswirken.

Die Behörden berücksichtigen auch die Art, den Umfang und den Zweck der betreffenden Verarbeitung. Beispielsweise soll eine unzulässige Verarbeitung zu Zwecken der Leistungs- und Verhaltenskontrolle verstärkt zu missbilligen sein und daher eher erhöhend wirken.

Die Behörden addieren die im Rahmen dieser Einordnung des konkreten Verstoßes vergebenen Punkte. Dies ergibt einen Wert zwischen 0 und 16. Dieser Wert wird dann in eine Tabelle eingetragen, um so mögliche weitere Erhöhungen oder Senkungen des bereits ermittelten Mittelwerts festzustellen.

Beispiel: Bewertet die Behörde alle in diesem Abschnitt genannten Kriterien als „gleichbleibend“, so wird sie viermal die Punktzahl 2 vergeben. Ein Blick in die von der DSK vorgegebene Tabelle zeigt, dass es bei einem Gesamtpunktwert von 8 weder zu Erhöhungen noch zu Senkungen kommt. Bei unserem Beispielsunternehmen bleibt es also beim bereits festgestellten Mittelwert von EUR 625 Millionen.

Etwas komplizierter wird es bei höheren oder niedrigeren Punktzahlen. Bei 0 bis 5 Punkten soll die Behörde den zuvor ermittelten Schweregrad senken, bei 6 bis 10 Punkten bleibt er unverändert, bei 11 bis 16 Punkten erhöht die Behörde sie ihn. Innerhalb dieser Korridore kann der dann neu festzulegende Mittelwert für die höhere oder niedrigere Kategorie weiterhin je nach Punktzahl um bis zu 70 Prozent erhöht werden. Bei leichten Verstößen ist eine Verringerung des Schweregrads nicht mehr möglich. Bei einer Bewertung des Verstoßes mit durchweg senkenden Kriterien und einer Gesamtbewertung von 0 Punkten kommt sogar eine Verwarnung an Stelle eines Bußgelds in Betracht. Ebenso kommt bei sehr schweren Verstößen eine Erhöhung des konkret zu verhängenden Bußgelds um bis zu 100 Prozent in Betracht.

  1. Prozentuale Veränderungen nach Art. 83 Abs. 2 DSGVO

In einem weiteren Arbeitsschritt bewerten die Behörden die sonstigen relevanten Bußgeldzumessungskriterien des Art. 83 Abs. 2 DSGVO. Dies betrifft das Verschulden, also Vorsatz oder Fahrlässigkeit, die Einleitung von Maßnahmen zur Schadensminderung, den Grad der Verantwortung, das Vorliegen etwaiger einschlägiger früherer Verstöße, die Zusammenarbeit mit der Aufsichtsbehörde, die Kategorien der im Rahmen des Verstoßes verarbeiteten personenbezogenen Daten, die Art des Bekanntwerden des Verstoßes, die Einhaltung etwaiger zuvor von der Behörde angeordneter Maßnahmen und gegebenenfalls die Einhaltung von genehmigten Verfahrensregeln oder Zertifizierungen. Hier können bei jedem der genannten Kriterien zur Bußgeldbemessung noch einmal Erhöhungen von bis zu 300 Prozent oder Senkungen von bis zu 25 Prozent hinzukommen.

Beispiel: Bei dem in unseren bisherigen Beispielen herangezogenen Unternehmen handelte es sich um einen Verstoß mit bedingtem Vorsatz (+25 Prozent). Das Unternehmen hat so effektive Maßnahmen zur Schadensminderung eingeleitet, dass konkrete Schäden der von dem Verstoß betroffenen Personen ausgeschlossen sind (-25 Prozent). Der Verantwortungsgrad war normal, das Unternehmen hatte ordentliche technische und organisatorische Maßnahmen implementiert (0 Prozent). Leider handelte es sich bei dem festgestellten leichten Verstoß nicht um einen Einzelfall. Es war zuvor zu drei ähnlichen Vorfällen gekommen (+300 Prozent). Die Zusammenarbeit mit der Aufsichtsbehörde übertraf das zu erwartende Maß hingegen deutlich (-25 Prozent). Es waren keine sensiblen personenbezogenen Daten betroffen (0 Prozent) und das betroffene Unternehmen hatte der Aufsichtsbehörde den Verstoß selbst mitgeteilt (-25 Prozent). Andere Kriterien nach Art. 83 Abs. 3 DSGVO sind nicht einschlägig.

Auf der Basis der vorstehend ermittelten Kriterien stellt die Behörde fest, dass eine Erhöhung des zuvor ermittelten Betrags von EUR 625 Millionen um 250 Prozent geboten ist. Dies ergibt einen Betrag von etwas über EUR 1,5 Milliarden.

  1. Abschließende Bußgeldzumessung

In einem abschließenden Schritt prüft die Behörde, ob noch weitere erschwerende oder mildernde Umstände vorliegen, die eine weitere Anpassung des bislang ermittelten Bußgelds nahelegen. Zudem stellt die Behörde sicher, dass das verhängte Bußgeld die in Art. 83 Abs. 4 bis Abs. 6 DSGVO genannten Höchstbeträge von 2 oder 4 Prozent des Umsatzes beziehungsweise von EUR 10 oder 20 Millionen nicht überschreitet. Abschließend prüft die Behörde, ob die errechnete Geldbuße wirksam und abschreckend ist. Diese Frage soll insbesondere dann zu verneinen sein, wenn der Betrag der Geldbuße in der öffentlichen Wahrnehmung als zu niedrig für die Unternehmensgröße angesehen würde.

Zudem muss die berechnete Geldbuße verhältnismäßig und insgesamt tat- und schuldangemessen sein. Hierdurch will die DSK ausweislich der Erläuterungen zur Bußgeldberechnung vermeiden, dass „die Geldbuße außer Verhältnis zur Tat stünde.“ Bei den ausgesprochen hohen Bußgeldbeträgen, die sich bei der Anwendung des neuen Bußgeldmodells ergeben können, dürfte gerade dieser Aspekt eine wichtige Verteidigungslinie für Unternehmen in kommenden Bußgeldverfahren werden.

  1. Bewertung und Ausblick

Erste Erfahrungen zeigen, dass die Anwendung des Modells zu deutlich höheren Bußgeldern führt als sie deutsche Behörden bislang seit der Geltung der DSGVO verhängt haben. Dementsprechend hat die Berliner Datenschutzbehörde erst kürzlich angekündigt, zweistellige Millionenbußgelder zu verhängen.

Die weitgehend lineare Berechnungsmethode führt gerade für Unternehmen und Konzerne mit hohen Umsätzen zu gravierenden Bußgeldrisiken. Die deutschen Datenschutzbehörden könnten auf der Grundlage des neuen Bußgeldmodells künftig noch höhere Sanktionen verhängen als dies bislang bereits bei Kartellverstößen der Fall ist. Dort sind zwar Geldbußen von bis zu 10 Prozent des konzernweiten Umsatzes des Vorjahres möglich. Die Berechnung des Bundeskartellamtes knüpft aber auch nach den neuen Leitlinien nicht an den gesamten Umsatz einer wirtschaftlichen Einheit an. Sondern an den befangenen Umsatz, den die Unternehmensgruppe mit den von dem Kartellverstoß betroffenen Produkten erzielt hat. Insgesamt orientiert sich das Bußgeldmodell der Datenschutzbehörden offenbar stark an den Bußgeldleitlinien des Bundeskartellamtes. Allerdings hat das zuständige OLG Düsseldorf zu den Bußgeldleitlinien des Bundeskartellamtes geurteilt, dass diese für Gerichte nicht bindend sind. Vielmehr entscheiden die Gerichte selbständig, wie sie den gesetzlichen Bußgeldrahmen ausschöpfen. Sehr wahrscheinlich kann man in bisherigen Kartellverfahren gesammelte Erfahrungen künftig auch in Bußgeldverfahren nach Art. 83 DSGVO nutzen.

Vielleicht gibt es noch eine weitere Parallele zwischen Kartellrecht und der DSGVO. Seitdem die EU-Kommission und das Bundeskartellamt ihre ersten Bußgeldleitlinien eingeführt haben, sind die Bußgelder in Kartellverfahren empfindlich gestiegen.

Es ist fraglich, ob nach dem neuen Bußgeldmodell der DSGVO verhängte Sanktionen tatsächlich noch verhältnismäßig im Sinne von Art. 83 Abs. 1 DSGVO sind. Dieser Umstand, aber auch die weiteren Details der hier beschriebenen Berechnungsmethode bieten durchaus einige Möglichkeiten für eine erfolgreiche Unternehmensverteidigung in künftigen Bußgeldverfahren. Zudem könnte es für die Datenschutzbehörden auch nicht ganz einfach werden, Gerichte in Ordnungswidrigkeitenverfahren davon zu überzeugen, dass sie mit einem derart komplexen und schwer nachvollziehbaren Modell tatsächlich schuld- und tatangemessene Bußgelder ermittelt haben.

In Anbetracht des zu erwartenden Anstiegs der Höhe künftiger Geldbußen wegen DSGVO-Verstößen sind Unternehmen gut beraten, ihre bestehenden Datenschutzstrukturen und -prozesse daraufhin zu prüfen, inwiefern sie geeignet sind Bußgelder zu vermeiden oder zu verringern. Gerade große Unternehmen oder solche, die viele oder sensible Daten verarbeiten, sollten sich professionell auf den Ernstfall vorbereiten und eine effektive Unternehmensverteidigung bereits im Vorfeld planen.