Was ändert sich durch das neue Modell der Datenschutzbehörden zur Berechnung von Bußgeldern?

Die deutschen Datenschutzbehörden haben heute ihr Modell zur Berechnung von Bußgeldern wegen Verstößen gegen die EU-Datenschutz-Grundverordnung (DSGVO) vorgestellt. Eine Pressemeldung der DSK mit Erläuterungen und Hintergründen finden Sie hier. In der Vergangenheit war die Praxis bei der Verhängung von Bußgeldern wegen Datenschutzverstößen sehr uneinheitlich. Die Datenschutzbehörden wollen das nun ändern. Sie haben ein Modell vorgestellt, das zu einer einheitlichen und vorhersehbaren Berechnung von wirksamen und abschreckenden Bußgeldern führen soll. Damit wird die Bemessung von Bußgeldern nach der DSGVO künftig auf eine neue Grundlage gestellt. Das Bußgeldmodell der Datenschutzbehörden kann gerade für größere Unternehmen und Konzerne zu sehr hohen Bußgeldern führen. Denn die Behörden berechnen die Bußgelder auf der Basis des Umsatzes der sogenannten „wirtschaftlichen Einheit“, also oftmals der Unternehmensgruppe.

Was sind die wichtigsten Folgen des Bußgeldmodells für Unternehmen?

Die Bußgelder wegen Datenschutzverstößen werden nun auch in Deutschland voraussichtlich deutlich höher als bislang ausfallen. Die britische Datenschutzbehörde ICO hatte bereits Bußgelder in Höhe von etwa EUR 200 Millionen und in einem anderen Fall von EUR 100 Millionen angekündigt. Die französische Behörde hatte zuvor bereits ein Bußgeld in Höhe von EUR 50 Millionen verhängt. Auch die Berliner Datenschutzbehörde hatte bereits angekündigt, ein Bußgeld verhängen zu wollen, das einen zweistelligen Millionenbetrag erreichen könnte. Das neue deutsche Bußgeldmodell ist darauf ausgelegt, die sehr hohen Bußgeldrahmen der DSGVO bei schweren Verstößen voll auszuschöpfen. Aber auch bei leichteren Übertretungen der DSGVO drohen großen Unternehmen schon Millionenbußgelder. Auch die Höhe drohender Bußgelder wird – jedenfalls in groben Zügen –vorhersehbarer. Das bedeutet für Vorstände, Datenschützer und Risikomanager, dass sie Bußgeldrisiken identifizieren und einkalkulieren können und müssen.

Wie funktioniert das von den Behörden vorgestellte neue Bußgeldmodell?

Das Berechnungsmodell knüpft vor allem an den Umsatz an. Die Behörden ermitteln einen sogenannten „Tagessatz“ indem sie den globalen Vorjahresumsatz durch 360 teilen. Dieser Wert wird dann je nach Schwere des Datenschutzverstoßes mit einem Faktor multipliziert, der zwischen 1 und 12 oder bei besonders schweren Verstößen auch höher liegt. Ein Faktor von 14,4 entspräche dabei der in Art. 83 vorgesehenen maximalen Geldbuße von 4 Prozent des Umsatzes. Der so von den Behörden ermittelte Wert wird dann nach einem komplexen System weiter angepasst. So sollen die Art der Tatbegehung, die Folgen und die sonstigen bußgeldrelevanten Umstände der Tat angemessen berücksichtigt werden. Weitere Details zum Berechnungsmodell und Beispielsrechnungen finden Sie hier. Ein anonymisiertes Muster einer solchen Bußgeldberechnung, die die Vorgaben der Datenschutzbehörden bereits konkret in Bezug nimmt, können Sie hier abrufen.

Was passiert, wenn eine Behörde mehrere Verstöße feststellt? Gibt es dann eine Art Rabatt?

Grundsätzlich sieht die DSGVO die Bildung ermäßigter Gesamtstrafen bei mehreren unterschiedlichen Taten nicht vor. Auch Bußgeldbescheide und Abgabeverfügungen an die Sanktions- oder Bußgeldstellen, die wir in unserer Beratungspraxis bislang bearbeitet haben, zeigen, dass die Behörden anscheinend beabsichtigen, einzeln festgestellte Verstöße individuell nach dem Berechnungsmodell zu bewerten und die Beträge dann im Anschluss ohne Abschläge zusammenzurechnen. Eine solche Addition einzelner vorgeworfener Taten kann das tatsächliche Risiko natürlich noch einmal gravierend erhöhen. Andererseits ist das rechtlich eher eine Grauzone. Daher bin ich gespannt, ob Gerichte das Zusammenzählen von einzelnen Bußgeldern ohne Abschläge letztlich als zulässig bewerten werden.

Hat das neue Modell zur Folge, dass man künftig drohende Bußgelder wegen Datenschutzverstößen im Voraus genau berechnen kann?

Nein, auf den Euro genau kann man drohende Bußgelder auch mit dem Bußgeldmodell der deutschen Datenschutzbehörden nicht berechnen. Dafür haben die Behörden zu große Spielräume dabei, wie sie die Umstände und die Folgen eines Datenschutzverstoßes einschätzen beziehungsweise bewerten. Aber das neue Bußgeldmodell gibt einen Korridor vor, in dem sich die Bußgelder für konkret festgestellte Datenschutzverstöße künftig bewegen werden. Insofern können Risikomanager zusammen mit erfahrenen Datenschutzrechtlern künftig mögliche DSGVO-Bußgelder auf der Grundlage des von den Behörden vorgestellten Modells schon einigermaßen präzise vorhersagen. Hier kann man ja auch unterschiedliche Szenarien rechnen, etwa einen „best case“, einen „worst case“ und einen „Normalfall“.

Besteht dann nicht das Risiko, dass Unternehmen mögliche Bußgelder künftig einfach “einpreisen” und im Rahmen einer wirtschaftlichen Gesamtbetrachtung überlegen, ob sie sich an die Vorgaben des Datenschutzes halten oder nicht?

Nein, das halte ich für sehr unwahrscheinlich. Zum einen würde ein solches Vorgehen schon nach den Kriterien des neuen Bußgeldmodells zu einer drastischen Erhöhung des zu verhängenden Bußgelds führen. Denn hier würden die Behörden voraussichtlich eine besonders schwere Form einer vorsätzlichen Tatbegehung annehmen. Zum anderen führt die umsatzbasierte Berechnung des Bußgelds gerade bei großen Unternehmen oder Konzernen zu sehr hohen Beträgen, die ein Vorstand oder ein Aufsichtsrat allein ihrer Höhe wegen keinesfalls einfach einpreisen kann. Nach Art. 83 DSGVO sollen die Bußgelder bei Datenschutzverstößen “wirksam, abschreckend und verhältnismäßig” sein. Jedenfalls die ersten beiden Anforderungen erfüllt das von den Datenschutzbehörden vorgestellte Berechnungsmodell meines Erachtens vollauf.

Ist denn für die Festlegung des Bußgelds der Umsatz des einzelnen Unternehmens oder der des Konzerns maßgeblich?

In ihren bisherigen Richtlinien haben sowohl die deutschen als auch die europäischen Datenschutzbehörden klargestellt, dass sie beabsichtigen, Bußgelder auf der Grundlage der “wirtschaftlichen Einheit” festzulegen. Das würde in der Regel zu einer Berechnung auf der Grundlage des Konzernumsatzes führen. Aus rechtlicher Sicht halte ich diese Vorgehensweise aber für problematisch. Denn auch wenn die Erwägungsgründe für eine Festlegung von Bußgeldern auf der Basis des Konzernumsatzes sprechen, nimmt Art. 83 DSGVO auf den Umsatz des Unternehmens und nicht des Konzerns Bezug. Insofern hat man hier einige Anhaltspunkte für eine Verteidigung gegen überhöhte Bußgelder. Weitere Einzelheiten zu dieser Frage finden Sie hier.

Die deutschen Behörden haben am 16. Oktober 2019 ihr Bußgeldmodell vorgestellt, wie geht es nun weiter?

In Deutschland ist das neue Bußgeldmodell erst einmal verbindlich anzuwenden. Das neue Datenschutzmodell ist aber nur für deutsche Aufsichtsbehörden verbindlich. Weder Gerichte noch andere EU-Behörden sind an die Vorgaben des Berechnungsmodells gebunden. Allerdings stimmen sich die Behörden auch auf EU-Ebene intensiv miteinander ab, um ein gemeinsames Bußgeldmodell anzuwenden.

Was bedeutet das vorgestellte Bußgeldmodell für Unternehmen, die auch in anderen EU-Staaten tätig sind?

Die deutschen Behörden hatten schon in ihrer bisherigen Kommunikation darauf hingewiesen, dass sie ihr Modell gerne auch auf europäischer Ebene etablieren möchten. Die Behörden sind ja gehalten, auch bei den Bußgeldern EU-weit einheitliche Konzepte anzuwenden. Wenn der Europäische Datenschutzausschuss, also das Abstimmungsgremium der EU-Datenschutzbehörden, das deutsche Konzept übernehmen sollte, müssten sich Unternehmen EU-weit auf hohe Bußgelder einstellen. Das führt dann zu einer gegenüber der bisherigen Vollstreckungspraxis der Datenschutzbehörden wohl deutlich härteren Gangart.

Welche Folgen hat das Bußgeldmodell für das Risikomanagement in Bezug auf den Datenschutz?

Wie bereits angesprochen, kann die Höhe drohender Bußgeldrisiken auf der Basis des neuen Modells nun deutlich präziser als bislang berechnet werden. Bei festgestellten Schwachstellen in Bezug auf die Umsetzung der DSGVO lassen sich die resultierenden Bußgeldrisiken daher recht genau bestimmen. Hier spielt dann unter anderem die Eintrittswahrscheinlichkeit noch eine erhebliche Rolle. Bei Risiken wegen DSGVO-Verstößen könnte man da auch von einer Aufdeckungswahrscheinlichkeit sprechen, die natürlich von einer Reihe von Faktoren abhängt – etwa ob Kunden oder Mitarbeiter die jeweilige Schwachstelle beim Datenschutz kennen, ob es entsprechende Beschwerden bei der Behörde oder zivilrechtliche Klagen gibt und Vieles mehr. Spätestens wenn eine Behörde ein Prüf- oder Ermittlungsverfahren einleitet, kann die Situation unangenehm werden.

Wie können Datenschutzjuristen im Unternehmen und Datenschutzbeauftragte auf das Bußgeldmodell der deutschen Behörden reagieren?

Vor allem sollten sie ihr Management und ihre Risikomanager über die veränderte Sachlage informieren. Kaum ein Datenschützer wird sich später vorhalten lassen wollen, er habe die intern relevanten Stellen nicht hinreichend über mögliche Bußgeldrisiken unterrichtet.

Welche Folgen hat das Berechnungsmodell der Datenschutzbehörden für Vorstände und Geschäftsführer?

Für Vorstände bringt das neue Bußgeldmodell neue Anforderungen mit sich. Denn durch das Modell lassen sich Bußgeldrisiken bei Schwachstellen im Datenschutz genauer als bislang berechnen. In der Vergangenheit war es kaum möglich, die Höhe drohender Datenschutzbußgelder auch nur ansatzweise präzise vorherzusagen. Diese Risiken lassen sich nun deutlich genauer prognostizieren. Daher müssen Vorstände auch dafür Sorge tragen, dass das Risikomanagement eingebunden wird, um Bußgeldrisiken bei möglichen Verstößen gegen die DSGVO zu identifizieren und zu bewerten. Je nach der Höhe zu erwartender Bußgelder und der Eintrittswahrscheinlichkeit solcher Risiken müssen Unternehmen gegebenenfalls auch Rückstellungen bilden oder sogar Anleger nach den Vorgaben des Wertpapierhandelsrechts informieren.

Kann man sich rechtlich gegen die Verhängung hoher Bußgelder wehren?

Ja. Oftmals kann eine gerichtliche Überprüfung von verhängten Bußgeldern durchaus zweckmäßig sein. Gerade bei hohen Bußgeldern. Denn viele rechtliche Fragen bei der Verhängung von Sanktionen nach Art. 83 DSGVO sind noch weitgehend ungeklärt. Und die Erfahrung zeigt, dass es auch nicht ausgeschlossen ist, dass die Behörden formell das eine oder andere nicht ganz richtig machen, was ein Gericht später beanstanden könnte. Noch besser ist es natürlich, vor der Verhängung eines möglichen Bußgelds mit der Behörde eine einvernehmliche und für alle Seiten akzeptable Lösung zu finden. Einen weiterführenden Beitrag hierzu finden Sie hier.

Sind Gerichte an die Festlegungen der Datenschutzbehörden gebunden?

Nein. Wenn ein Amts- oder Landgericht über eine mögliche Ordnungswidrigkeit nach Art. 83 DSGVO entscheidet, setzen die Richter ein mögliches Bußgeld selbst fest. Sie sind dabei weder an das Bußgeldmodell noch an ein von der Behörde zuvor verhängtes Bußgeld gebunden. Die Behörden schreiben selbst, dass Gerichte nicht an das Modell gebunden sind.

Wie sollten Unternehmen auf das neue Bußgeldmodell reagieren?

Zunächst sollten Wirtschaftsunternehmen zusehen, dass sie Lücken bei der Umsetzung der DSGVO möglichst rasch und vollständig schließen. Bei der Bewertung einzelner bereits identifizierter Schwachstellen kann das neue Bußgeldmodell sehr hilfreich sein. Zudem sind Unternehmen gut beraten, sich auf eine effektive Verteidigung in möglichen Prüf- oder Ermittlungsverfahren der Datenschutzbehörden zu verteidigen. Hier sind entsprechende Ablauf- und Notfallpläne sowie die vorherige Festlegung einzelner Aufgabenbereiche und Zuständigkeiten hilfreich. Weitere Informationen zur Vorbereitung auf eine effektive Verteidigung gegen DSGVO-Bußgelder finden Sie hier. Gerne unterstützen wir Sie auch bei der Erstellung entsprechender Verteidigungshandbücher oder sonstiger Maßnahmen zum Schutz Ihres Unternehmens.