Die Datenschutzbehörden des Bundes und der Länder haben jüngst ein Modell zur Bemessung von Bußgeldern nach der DSGVO veröffentlicht. Danach dürften die Bußgelder zukünftig deutlich höher ausfallen als bisher. Wir zeigen auf, worauf sich Unternehmen jetzt einstellen müssen.

1. Bislang höchstes Bußgeld wegen DSGVO-Verstoß in Deutschland

Im vergangen Monat hat die Berliner Beauftrage für Datenschutz und Informationsfreiheit das in Deutschland bis dato höchste Bußgeld seit Geltung der DSGVO verhängt. 195.407 Euro musste der niederländische Konzern Takeaway wegen Datenschutzverstößen seiner erst kürzlich erworbenen Tochter Delivery Hero zahlen. Damit ist das Team rund um die Landesdatenschutzbeauftragte Maja Smoltczyk erstmalig nach Geltung der neuen Datenschutzregelungen in sechsstellige Regionen vorgedrungen. Dies wirft die Frage auf, ob sich Unternehmen nun auf ein hartes Durchgreifen der Datenschutzbehörden einstellen müssen.

2. Wie lauteten die Vorwürfe?

Im Einzelnen wurde Delivery Hero eine umfangreiche Missachtung von Betroffenenrechten vorgehalten:

Nach Angaben der Datenschutzaufsicht hatte das Unternehmen in acht Fällen unerwünschte Werbemails an Personen verschickt, die weder Bestandskunden waren noch anderweitig in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hatten. In einem Fall seien sogar ungeachtet eines Widerspruchs des Betroffenen 15 weitere Werbemails versandt worden.

Ferner habe das Unternehmen in zehn Fällen seine Löschpflicht verletzt, indem Nutzerkonten trotz jahrelanger Inaktivität der Betroffenen im Datenbestand verblieben („Karteileichen“). Schließlich sei in fünf weiteren Fällen das Auskunftsrecht Betroffener missachtet worden.

Die Aufsichtsbehörde betonte, „jedes Unternehmen muss Anträgen von Betroffenen unverzüglich nachkommen können“. Im Fall von Delivery Hero attestierte sie „grundsätzliche strukturelle Organisationsprobleme“, wobei trotz mehrfacher Hinweise auf die Verstöße keine Abhilfe geschaffen worden sei. Da der Schutz personenbezogener Daten „bislang stiefmütterlich behandelt“ worden sei, erhofft sich die Behörde auch, dass von dem verhängten Bußgeld eine „mahnende Wirkung” ausgehe, verbunden mit einer „steigende[n] Bereitschaft zur Analyse und Aufarbeitung von Mängeln“. Damit wird letztlich der in Erwägungsgrund 152 Satz 1 DSGVO vorgesehene Gedanke aufgegriffen, „abschreckende Sanktionen“ zu verhängen.

3. Deutschland ist bislang nicht in den TOP 10 der „Hall of Shame“

Im direkten Vergleich zu anderen Ländern fallen die Bußgelder in Deutschland derzeitig noch milde aus und nimmt selbst Delivery Hero keinen Platz in der Spitzengruppe der Datenschutzsünder ein. Die Datenschutzbehörden anderer Staaten haben die Bußgeldschraube unlängst gewaltig angezogen und auch Google (50 Millionen Euro) wird alsbald vom Thron gestoßen: Wie die britische Datenschutzbehörde ICO ankündigte, stehen horrende Bußgelder gegen das Flugunternehmen British Airways und die Hotelkette Marriott aus. Die im Raum stehenden Summen belaufen sich auf über 183 bzw. 99 Millionen Britische Pfund und haben damit vernichtenden Charakter. Elisabeth Denham, die britische Datenschutzbeauftragte, fand in beiden Fällen deutliche Worte und kündigte an, im Bedarfsfall „energische Maßnahmen“ zu ergreifen, um den Schutz personenbezogener Daten zu gewährleisten. Auf diesen Zug werden zukünftig wohl auch die deutschen Behörden aufspringen. Erst im August hatte Dalia Kues, ihres Zeichens Sprecherin der Berliner Aufsichtsbehörde, gegenüber der Presse verlautbaren lassen, dass ein Bußgeld in Millionenhöhe verhängt werden soll. Weitere Einzelheiten sind bislang noch nicht bekannt. Droht nun also doch die große Bußgeldwelle?

4. Die Datenschutzbehörden nehmen Fahrt auf: Veröffentlichung eines neuen Bußgeldkonzepts

Die befürchteten drakonischen Zahlungen bei Datenschutzverstößen könnten durchaus bald Realität werden. Denn die seit einigen Monaten kursierenden Pläne des bei der Berliner Datenschutzbehörde angesiedelten AK Sanktionen, wonach auf europäischer Ebene an einer strukturierten Berechnungsmethode für die Höhe von Bußgeldern bei Verletzungen der Bestimmungen der DSGVO gefeilt wird, wurden jüngst umgesetzt. So hat die Datenschutzkonferenz (DSK) am 14.10.2019 ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht (s. a. die dazugehörige Pressemitteilung), um „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen“.

Dabei soll die im Rahmen des Art. 83 DSGVO vorzunehmende Zumessung von Bußgeldern zukünftig in fünf Schritten erfolgen:

  • Schritte 1 bis 3: Ermittlung eines wirtschaftlichen Grundwertes (Tagessatzes) anhand des Unternehmensumsatzes

Die ersten drei Schritte beziehen sich auf die Bildung eines durchschnittlichen, auf das betroffene Unternehmen angepassten Tagessatzes auf Grundlage des Jahresumsatzes. Die Untergrenze bildet ein Tagessatz in Höhe von 972 € (Kleinstunternehmen mit einem Jahresumsatz bis 700.000 €). Am anderen Ende der Skala stehen Großunternehmen, wobei ab einem jährlichen Umsatz von über 500 Mio. € der prozentuale Bußgeldrahmen – je nach Verstoß – von 2 % (formelle Verstöße nach Art. 83 Abs. 5 DSGVO) beziehungsweise 4 % (materielle Verstöße nach Art. 83 Abs. 5 und 6 DSGVO) des Jahresumsatzes als Höchstgrenze zugrunde gelegt wird. Hierdurch können Tagessätze von mehr als 1,25 Mio. € (!) zustande kommen.

  • Schritt 4: Multiplikation des Grundwertes mittels eines von der Schwere der Tatumstände abhängigen Faktors

Sodann wird der Grundwert unter Berücksichtigung der konkreten tatbezogenen Umstände des Einzelfalls (leicht, mittel, schwer, sehr schwer) ausdrückt. Zu den zugrunde zulegenden Bewertungskriterien zählen beispielsweise neben der Art, Schwere und Dauer des Verstoßes auch, ob der Verstoß vorsätzlich oder fahrlässig begangen wurde, Maßnahmen zur Minderung des den Betroffenen entstandenen Schadens ergriffen wurden und wie sich die Zusammenarbeit mit der Aufsichtsbehörde ausgestaltete (vgl. im Einzelnen Art. 83 Abs. 2 DSGVO).

  • Schritt 5: Anpassung des ermittelten Wertes anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände

Zuletzt wird der in Schritt 4 errechnete Betrag nach oben oder unten angepasst. Dies geschieht anhand aller sonstigen, für und gegen das betroffene Unternehmen sprechenden und bislang unberücksichtigten Umstände, d. h. täterbezogener Umstände im Sinne des Art. 83 Abs. 2 DSGVO sowie weiterer Umstände, wie z. B. einer langen Verfahrensdauer oder einer drohenden Zahlungsunfähigkeit des Unternehmens.

Die DSK sieht in diesem Konzept einen einzelfallgerechten Weg, die „Wirksamkeit, Verhältnismäßigkeit und Abschreckung“ von Bußgeldern sicherzustellen. Ob sich der Ansatz in dieser Form aufrechterhalten lässt, wird sich im Laufe der Zeit zeigen. Denn bereits jetzt häufen sich die Stimmen, die massiv Kritik an der Berechnungsmethode üben. So wird beispielsweise angeführt, die DSGVO lege den Jahresumsatz (vgl. Art. Art. 83 Abs. 4 bis 6 DSGVO : „gesamte(r) weltweit erzielte(r) Jahresumsatzes des vorangegangenen Geschäftsjahrs) bei der Deckelung, nicht jedoch bei der Bemessung der Bußgeldhöhe zugrunde.

Hier bleibt letztlich auch abzuwarten, wie der der Europäische Datenschutzausschuss (EDSA) auf den Vorstoß der deutschen Behörden reagiert. Denn das Konzept der DSK verliert seine Gültigkeit, sobald der EDSA seine abschließenden Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat.

5. Fazit nach eineinhalb Jahren DSGVO: Notwendigkeit der Abkehr vom Feigenblatt-Prinzip

Die Datenschutzbehörden machen ernst. Wurde zur Zeit des Inkrafttretens der DSGVO die Furcht vor immensen Bußgeldforderungen bisweilen als bloße Hysterie abgetan, mahnt die aktuelle Entwicklung selbst widerspenstigste Gemüter zur Raison: Ein guter Datenschutz ist für Unternehmen nicht nur Kür, sondern Kernpflicht. Heute mehr denn je und morgen mehr denn heute. Denn tendenziell werden die Datenschutzbehörden Unternehmen zukünftig noch härter bestrafen, wenn letztere sich für die Verletzung von Datenschutzrechten Betroffener verantworten müssen.