Es ist gegenwärtig einer der spannendsten Fragen im Datenschutzrecht: Wie hoch fallen Bußgelder aus, wenn die Datenschutzbehörden einen Datenschutzverstoß feststellen. Bislang gab es keine festen Kriterien. Fast unbemerkt von der Öffentlichkeit haben sich die deutschen Datenschutzbehörden allerdings kürzlich auf, ein einheitliches und transparentes Berechnungskonzept geeinigt. Dieses wird nun in der Praxis erprobt.
Auf der 2. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK genannt) vom 25.6.2019 hatte der Arbeitskreis Sanktionen („AK Sanktionen“) ein Konzept zur Bußgeldbemessung vorgestellt. Das Konzept wurde mit 16 Stimmen bei einer Enthaltung angenommen. Wie die DSK in ihrer Pressemitteilung vom 17.9.2019 mitteilt, soll damit „eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ gewährleistet werden. Bei Bußgeldverfahren wegen Datenschutzverstößen nach Art. 83 DSGVO wird das Konzept nun „auf seine Praxistauglichkeit und Zielgenauigkeit“ getestet. Parallel soll der AK Sanktionen das Konzept unter Einbeziehung der damit gemachten praktischen Erfahrungen der Datenschutzaufsichtsbehörden weiterentwickeln. Es soll von der DSK am 6./7.11.2019 weiter beraten werden. Möglicherweise wird es dann veröffentlicht.
Das Berechnungsverfahren ist ausgesprochen komplex, denn es soll trotz fester Kriterien zu einem im Einzelfall gerechten Ergebnis führen.
1. Im Ausgangspunkt erfolgt die Bußgeldbemessung nach Tagessätzen. Die Höhe des Tagessatzes eines Unternehmens wird berechnet, indem dessen Jahresumsatz durch 360 geteilt und so auf den einzelnen Tag herunter gerechnet wird. Unklar ist bislang noch, ob die Datenschutzbehörden hierbei wirklich nur auf das Einzelunternehmen oder den Gesamtkonzern abstellen. Letzteres ist zu befürchten.
2. Der sich so ergebende Betrag wird mit einem Faktor multipliziert, der von der Schwere des Verstoßes abhängt. Der Faktor wird innerhalb eines Korridors von 1 bis 14,4 Punkten festgelegt. Ein Faktor von 14,4 ergäbe 4 Prozent des Jahresumsatzes und wäre die gesetzlich vorgesehene Höchstgrenze der Bußgeldbemessung (Art. 83 Abs. 5 DSGVO). Die Schwere des Verstoßes wird anhand der Dauer des Verstoßes, der Zahl der betroffenen Personen und des Ausmaßes des erlittenen Schadens bestimmt.
3. Der Faktor wird dann nach zahlreichen und komplexen Kriterien modifiziert. Auf dieser Ebene kommen z.B. folgende Kriterien zur Anwendung:
- Bei einem vorsätzlichen oder absichtlichen Verstoß erhöht sich das Bußgeld um 25 bis 50 Prozent.
- Wurde der Verstoß mit „normaler“ Fahrlässigkeit begangen, erfolgt keine Veränderung. Beruht der Verstoß hingegen nur auf geringer und unbewusster Fahrlässigkeit, reduziert sich das Bußgeld um 25 Prozent.
- Hatte sich das Unternehmen bereits in der Vergangenheit einen Verstoß zuschulden kommen lassen, erhöht sich das Bußgeld um 50 Prozent. Gab es bereits zwei Verstöße, erfolgt eine Erhöhung um 150 Prozent. Ab dem vierten Verstoß ist eine Erhöhung um 300 Prozent vorgesehen.
- Hat das Unternehmen rechtzeitig effektive Maßnahmen zur Schadensminderung ergriffen, so dass Schäden für die Betroffenen ausscheiden, mindert sich das Bußgeld um 25 Prozent.
- Teilt das Unternehmen den Verstoß der Aufsichtsbehörde selbst mit, mindert sich das Bußgeld ebenfalls um 25 Prozent.
In der Gesamtschau führt dieses Konzept zu deutlich höheren Bußgeldbeträgen als bislang üblich. Vor allem werden Datenschutzbehörden unter einem einheitlichen und feststehenden Konzept deutlich häufiger Bußgelder verhängen, als dies bislang der Fall war. Nach wie vor gelten die Datenschutzbehörden zwar als überlastet. Mittelfristig ist allerdings zu erwarten, dass sich die Datenschutzbehörden besser ausstatten und eine effektive Sanktionierungspraxis etablieren. Schon jetzt erfolgt ein Personalaufbau bei den Behörden.
Nach Art. 70 Abs. 1 Buchst. k) DSGVO sollen die Bußen auf europäischer Ebene harmonisiert werden. Die DSK will ihr Konzept in die Verhandlung zur Schaffung der europäischen Leitlinien einbringen.
