Bußgelder für Datenschutzverstöße werden sich voraussichtlich grundsätzlich erhöhen.

Weitgehend unbemerkt von der Öffentlichkeit hat die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“ (DSK) bereits im Juni 2019 über ein neues Berechnungsmodell für Bußgelder diskutiert. Dieses soll ähnlich wie im Kartellrecht eine nachvollziehbare Bußgeldpraxis ermöglichen.

Zwar soll das Modell selbst – trotz expliziter Anfragen – derzeit nicht veröffentlicht werden. Eine Anwendung in der Praxis erfolgte jedoch bereits (allein zu Testzwecken wie die DSK betont). Ersten Berichten zur Folge wird das Bußgeldmodell sehr wahrscheinlich zu einer signifikanten Erhöhung der Bußgelder führen. Dieses darf angesichts der stark gestiegenen gesetzlichen Bußgeldandrohung von bis zu 4% des weltweit erzielten Vorjahresumsatzes oder € 20 Millionen nicht überraschen. Ein genauerer Blick auf die bisweilen verfügbaren Informationen lässt jedoch darauf schließen, dass Bußgelder wie die bereits verhängten € 110 Millionen gegen die Hotelkette Marriott oder die € 204 Millionen gegen die Fluglinie British Airways auch in Deutschland wahrscheinlicher werden.

Die Datenschutzkonferenz bestätigt in einer Pressemitteilung die Existenz eines entsprechenden Berechnungsmodells, gibt jedoch derzeit keine Details preis und verweist darauf, dass das Modell zur Prüfung der Praxistauglichkeit und Zielgenauigkeit in konkreten Bußgeldverfahren zunächst nur „getestet“ werde. Auf einer weiteren Konferenz im November werde hierüber weiter beraten. Dann soll auch über die Veröffentlichung des Konzepts entschieden werden.

Obwohl es noch nicht veröffentlicht ist, lässt sich das geplante Modell anhand der Begründung von bereits erlassenen Bußgeldbescheiden zumindest teilweise nachvollziehen. So werde für die Verhängung von Bußgeldern nach Art. 83 DSGVO zunächst ein wirtschaftlicher Grundwert in Form eines sogenannten „Tagesumsatzes“ berechnet. Im Anschluss solle mit Hilfe des Tagesumsatzes ein Regelbußgeldkorridor und ein Mittelwert errechnet werden. Hierzu werde zunächst der Verstoß als leicht, mittel, schwer oder sehr schwer kategorisiert. Welcher Verstoß welcher Kategorie entspreche, hänge von dessen Unrechtsgehalt ab. Auch der Verschuldensgrad des Verantwortlichen an dem Verstoß solle neben weiteren Aspekten berücksichtigt werden. Die Höhe des Bußgeldes ergibt sich anschließend aus der Multiplikation des Kategoriewertes mit dem Tagesumsatz.

Beispielsweise stelle die unverlangte Zusendung von Werbemails einen leichten Verstoß dar. Hat ein Unternehmen mit einem Jahresumsatz von € 36 Millionen mithin einen leichten Verstoß begangen, so ergibt sich hieraus zunächst ein Tagesumsatz in Höhe von € 100.000,00 (Jahresumsatz dividiert durch 360), der in der leichten Kategorie einen Regelbußgeldkorridor von € 100.000,00 bis zu € 400.000,00 (Kategoriewert 1 – 4) entspreche. Der diesbezügliche Mittelwert wäre dann € 250.000,00. Von diesem Mittelwert ausgehend wird das Bußgeld dann weiter nach oben oder unten verschoben. Ausschlaggebend sollen insbesondere die Dauer, Art, Umfang und Zweck, die Anzahl der betroffenen Personen, das Ausmaß des erlittenen Schadens sowie der Verschuldensgrad sein. Am Ende könne der Mittelwert um mehrere 100 Prozent ansteigen oder auch gesenkt werden.

Fraglich ist jedoch, ob das so geplante Bußgeldmodell tatsächlich auch den – von der DSGVO ebenfalls geforderten Grundsatz der Verhältnismäßigkeit – berücksichtigt. Verhältnismäßig bedeutet vor allem, dass Sanktionen tat- und schuldangemessen sein müssen. Diese Anforderung berücksichtigt das neue Bußgeldmodell nur teilweise, da es sich vorrangig am weltweiten Gesamtumsatz des Unternehmens orientiert. Dies bedeutet, dass umsatzstarke Unternehmen schon für einen relativ geringfügigen Verstoß ein hohes Bußgeld zu zahlen hätten. Zwar ist dies aufgrund der Abschreckungsfunktion eines Bußgeldes ansatzweise gewollt. Jedoch darf ein Bußgeld nicht allein aufgrund eines hohen Jahresumsatzes bereits im Mittelwert unverhältnismäßig zum begangenen Verstoß sein.

Folgen für die Praxis:

Auch wenn die bisweilen verfügbaren Informationen noch nicht offiziell bestätigt sind und auch nicht final zu sein scheinen, so lassen sie doch auf den Willen der Datenschutzaufsichtsbehörden schließen, das Spektrum möglicher Bußgelder auszunutzen. Die Berechnungsmethode führt auch bei mittelständischen Unternehmen bereits zu gravierenden Bußgeldrisiken, die sich scheinbar an den diesbezüglichen Maßstäben bei Kartellverstößen orientieren. Es sind berechtigte Zweifel angezeigt, ob eine solche Berechnung noch verhältnismäßig im Sinne des Art. 83 Abs. 1 DSGVO ist. In der Praxis relevant ist der Umstand, dass die Gerichte an entsprechende Leitlinien zur Bußgeldverhängung nicht gebunden sind, sondern ein eigenständiges volles Prüfrecht besitzen. Es steht somit zu erwarten, dass die Gerichte ebenfalls einen erheblichen Einfluss auf das Bußgeldmodell nehmen werden.