Modell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bussgeldzumessung in Verfahren gegen Unternehmen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hat ein fünfstufiges Verfahren zur Berechnung von Bußgeldern gegen Unternehmen vorgestellt („Modell“), um Verstöße gegen die Datenschutzgrundverordnung („DSGVO") zu ahnden.

Die Verhängung von Bußgeldern in Deutschland war bislang wenig abschreckend. Die deutschen Aufsichtsbehörden waren in der Vergangenheit im Gegensatz zu ihren europäischen Kollegen nicht dafür bekannt, bei Datenschutzverstößen hohe Bußgelder zu verhängen. Das wird sich jetzt ändern. Das Modell gibt den deutschen Aufsichtsbehörden eine einheitliche Grundlage für die Verhängung von Bußgeldern bei Datenschutzverletzungen. Es ist so konzipiert, dass es (i) die Größe eines Unternehmens (d.h. seinen Jahresumsatz) und (ii) die Schwere der Tatumstände berücksichtigt. Durch die gezielte Verknüpfung der Bußgeldbestimmung mit dem tatsächlichen Jahresumsatz des betroffenen Unternehmens werden die Bußgelder im Vergleich zur Vergangenheit erheblich steigen. Große Unternehmen müssen dann auch bei kleineren Delikten mit höheren Bußgeldern rechnen.

1. Anwendung und Ziel des Modells

Im Rahmen der DSGVO können die nationalen Datenschutzbehörden Verstöße gegen die DSGVO mit Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten jährlichen Umsatzes eines Unternehmens ahnden. Ziel des Modells ist es, einheitliche Standards für die Festsetzung dieser Geldbußen durch deutsche Behörden zu gewährleisten. Damit soll die Wirksamkeit und Verhältnismäßigkeit einer Geldstrafe (in Bezug auf die Größe des Unternehmens und die Schwere des Verstoßes) gewährleistet und eine ausreichend abschreckende Wirkung erzielt werden.

Das Modell gilt weder für natürliche Personen, die in ihrer privaten (nicht gewerblichen) Eigenschaft handeln, noch für gemeinnützige Vereinigungen oder für grenzüberschreitende Angelegenheiten. Auch deutsche Gerichte sind daran nicht gebunden. Sobald eine endgültige europäische Richtlinie zur Berechnung von Bußgeldern vorliegt, wird diese das deutsche Modell ablösen. In der Zwischenzeit könnten aber auch die deutschen Aufsichtsbehörden das Modell ändern, erweitern oder widerrufen.

2. Die DSK

Die DSK bietet ein Forum für die 18 unabhängigen deutschen Datenschutzaufsichtsbehörden, die an einer einheitlichen Auslegung und Anwendung des nationalen und europäischen Datenschutzrechts arbeiten. Die Ergebnisse dieser Konsultationen sind zwar formell nicht verbindlich, drücken aber das Verständnis der deutschen Behörden für die einschlägigen Vorschriften aus. Die administrative Durchsetzung der DSGVO in Deutschland basiert weitgehend auf diesem Verständnis. Es ist davon auszugehen, dass die deutschen Aufsichtsbehörden dieses Modell in Zukunft ihrer Bußgeldpraxis zugrunden legen werden.

3. Berechnung der Bußgelder in fünf Schritten:

Schritt 1: Kategorisierung des betroffenen Unternehmens nach Größenklassen anhand seines jährlichen Jahresumsatz:

Schritt 2: Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe in die das betroffene Unternehmen eingeordnet wurde:

Schritt 3: Ermittlung des wirtschaftlichen Grundwertes des Unternehmens: Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde (Schritt 2), durch 360 (Tage) geteilt.

Schritt 4: Multiplikation des Grundwertes abhängig vom Schweregrad der Tat: Hierfür werden gemäß der nachstehenden Tabelle 4 unter Berücksichtigung der Umstände des Einzelfalls anhand des Kriterienkatalogs des Art. 83 Abs. 2 DSGVO der Schweregrad des Tatvorwurfs und der jeweilige Faktor ermittelt, mit dem der Grundwert multipliziert wird. Berücksichtigt werden hierbei bspw. Vorsätzlichkeit oder Fahrlässigkeit, getroffenen Maßnahmen zur Milderung der Auswirkungen des Verstoßes, aber auch die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde.

Schritt 5: Anpassung des Grundwertes anhand aller sonstigen – im vorherigen Schritt noch nicht berücksichtigten – für und gegen den Betroffenen sprechenden Umstände: Hierzu zählen z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens. Dies wird für Unternehmen das schwierigste Kriterium sein, da es von den Umständen des Einzelfalls abhängt.