Seit dem Inkrafttreten der Datenschutz-Grundverordnung dürfte das Thema Datenschutz – insbesondere auch aufgrund der möglichen hohen Bußgelder – an Bedeutung gewonnen haben, da Verstöße mit bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes geahndet werden können. Da diese Regelung jedoch lediglich einen Interpretationsspielraum zulassen dürfte und die Aufsichtsbehörden bislang unabhängig über die Höhe der Bußgelder entschieden hatten, soll nun ein Konzept für die Bußgeldberechnung Transparenz für die Unternehmen bieten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat hierzu im letzten Jahr ein „Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen“ veröffentlicht, welches eine nachvollziehbare Bußgeldberechnung erzielen soll.
Anwendungsbereich des Konzepts zur Berechnung der Bußgelder
Zuallererst: Das Konzept beschränkt sich laut der DSK ausschließlich auf die Bußgeldberechnung für Unternehmen, welche in Deutschland wirtschaftlich tätig und vom Anwendungsbereich der DSGVO umfasst sind. Damit ist das Konzept weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Des Weiteren sind Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit hiervon zusätzlich ausgeschlossen.
Das Konzept soll den Behörden eine erste Richtung „an die Hand geben“. Die DSK betont jedoch auch, dass die Vorgehensweise einer späteren Konkretisierung des europäischen Datenschutzausschusses (EDSA) durch entsprechende Leitlinien vorbehalten sei. Die grundsätzliche Basis für das Konzept zur Berechnung der Bußgelder ist der Jahresumsatz des Unternehmens, welcher – innerhalb des erarbeiteten Verfahrens – die Grundlage für die Bußgeldzumessung sein soll. Nach Meinung der DSK sei der Jahresumsatz ein geeigneter, sachgerechter und fairer Anknüpfungspunkt für die Berechnung der Bußgelder. Die Berechnung der Bußgelder erfolgt nach dem Konzept in fünf Schritten.
1. Kategorisierung der Unternehmen nach Größenklassen
Im ersten Schritt wird das Unternehmen, anhand des mittleren Jahresumsatzes, in eine von vier Größenklassen (A bis D) eingeteilt. Hierbei unterscheidet die DSK zwischen folgenden Klassen:
- Größenklasse A (untergliedert in 3 Untergruppen) sind Kleinstunternehmen zugeordnet, welche einen Jahresumsatz bis zu 2 Millionen Euro generieren.
- Größenklasse B (untergliedert in 3 Untergruppen) sind kleine Unternehmen zugeordnet, welche einen Jahresumsatz über 2 Millionen bis 10 Millionen Euro erwirtschaften.
- Größenklasse C (untergliedert in 7 Untergruppen) sind alle Unternehmen zugeordnet, welche über 10 Millionen Euro bis 50 Millionen Euro Jahresumsatz erzielen.
- Größenklasse D (untergliedert in 7 Untergruppen) sind alle Unternehmen mit einem Jahresumsatz über 50 Millionen Euro zugeordnet.
Jede Größenklasse untergliedert sich in weitere Untergruppen, wonach in der Zuordnung zwischen der kleinsten Gruppe A.I – von bis zu 700.000 Euro Jahresumsatz – bis zur höchsten Untergruppe D.VII – von über 500 Millionen Euro Jahresumsatz – unterschieden werden kann.
2. Bestimmung des mittleren Jahresumsatzes
Im zweiten Schritt wird darauf aufbauend der mittlere Jahresumsatz der Untergruppe bestimmt. Dieser Schritt, so die DSK, dient der Veranschaulichung der darauf aufbauenden Ermittlung des wirtschaftlichen Grundwertes. Anhand der vorher generierten Größenklassen findet in den Untergruppen eine weitere Zuordnung statt. Die DSK sieht hierfür konkrete Zahlen vor, welche der einzelnen Untergruppe zugeordnet sind. Im Umfang unterscheidet man hier von einem Mittelwert in Höhe von 350.000 Euro der kleinsten Gruppe A.I bis zur Höhe des konkreten Jahresumsatzes des Unternehmens in der größten Gruppe D.VII.
3. Ermittlung des wirtschaftlichen Grundwertes
Anschließend wird im dritten Schritt der wirtschaftliche Grundwert ermittelt. Hierfür wird der im zweiten Schritt bestimmte mittlere Jahresumsatz durch 360 Tage geteilt und führt im Endergebnis zu einem Tagessatz. Anhand dieses Tagessatzes findet eine weitere Zuordnung in die einzelnen Größenklassen samt Untergruppen statt. Hierbei reicht das Spektrum von 972 Euro der kleinsten Klasse A.I bis hin zu 1,25 Millionen Euro der zweitgrößten Klasse D.VI. Sollte das Unternehmen in die größte Klasse „D.VII“ fallen, ist eine Berechnung des wirtschaftlichen Grundwertes überflüssig, da der prozentuale Bußgeldrahmen von zwei bis vier Prozent des jährlichen Umsatzes zur Berechnung herangezogen wird.
4. Festlegung des Multiplikators
Nachdem der wirtschaftliche Grundwert ermittelt wurde, wird in Schritt vier – je nach Schwere des Verstoßes – ein Multiplikator zwischen 1 und 12 festgelegt. Hierbei differenziert die DSK einerseits zwischen den Stufen „Leicht, Mittel, Schwer und Sehr schwer“ sowie ob es sich andererseits um einen formellen, gemäß Art. 83 Abs. 4 DSGVO, oder gar materiellen, gemäß Art. 83 Abs. 5,6 DSGVO, Verstoß handelt. Für formelle Verstöße ergibt sich ein Faktor von 1-6 und für materielle Verstöße ein Faktor von 1-12.
In diesem Zusammenhang ist es für Unternehmen leider nicht direkt ersichtlich bzw. schwer nachvollziehbar, anhand welcher Kriterien die Bestimmung des Schweregrades und eine Einordnung zu den verschiedenen Faktoren stattfindet. Es dürfte an konkreten Beispielen fehlen, wann die Schwelle zum nächsten Faktor bereits erreicht wird.
5. Täterbezogene sowie sonstige Umstände
Der fünfte und letzte Schritt dient den Aufsichtsbehörden als eine Art „Puffer“, da hier eine Anpassung des Grundwertes anhand aller sonstigen für oder gegen den Betroffenen Umstände ermöglicht wird. Die Bußgeldhöhe kann insofern für den Einzelfall an den Umstand angepasst werden, womit die DSK Bezug auf Art. 83 Abs. 2 DSGVO nimmt. Nach Art. 83 Abs. 2 DSGVO können folgende Umstände im Einzelfall herangezogen werden:
„a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikel 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) Etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.“
Zukünftig teurere Bußgelder?
Schaut man sich das Konzept zur Bußgeldzumessung nun genauer an, dürften Bußgelder künftig präziser berechnet werden können. In diesem Zusammenhang dürften jedoch Strafen auch höher ausfallen, da bei einem leichten Verstoß bereits mit einem Faktor von 1 bis 4 gerechnet wird. Hat ein Unternehmen beispielsweise einen Jahresumsatz von 90 Milliarden Euro, würde der Tagessatz 250 Millionen Euro betragen. Wird dieser nun mit dem Faktor 1 bzw. 4 multipliziert, so würde das Bußgeld zwischen 250 Millionen und 1 Milliarde Euro betragen. Bislang hielten sich die deutschen Datenschutzbehörden, insbesondere im direkten Vergleich zu den Behörden der europäischen Nachbarn, bzgl. der Höhe der Bußgelder noch zurück, da die Strafen eher „gering“ ausgefallen sind. Dies soll sich jedoch zukünftig ändern. In diesem Zusammenhang erklärte der Bundesdatenschutzbeauftragte Ulrich Kelber:
„Die Zurückhaltung der Datenschutzbehörden wird natürlich auch immer weniger werden. […] es werde bald auch in Deutschland Bußgelder in „Millionenhöhe geben.“
Die DSK betont jedoch in diesem Zuge, dass das Konzept weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend sei und auch Gerichte bei ihrer Beurteilung bzw. Festlegung von Geldbußen nicht an das Konzept gebunden seien. Es bleibt also abzuwarten, wie sich die zukünftigen Bußgeldhöhen entwickeln werden.
Fazit
Zusammenfassend dürfte das entwickelte Konzept zur Bußgeldberechnung der DSK Kleinst- bis Großunternehmen eine erste „Richtschnur“ an die Hand geben, um wirtschaftliche Risiken bei Datenschutzverstößen besser beurteilen zu können. Für eine vollumfängliche Transparenz dürfte es momentan an Beispielen fehlen, weshalb es abzuwarten bleibt, wie in dem ein oder anderen Verfahren entschieden wird. Es sollte jedoch berücksichtigt werden, dass eine Berechnung bzw. Beurteilung der Bußgelder den Aufsichtsbehörden vorbehalten bleibt und ggf. nach Einzelfall entschieden wird.
In der Summe dürfte Unternehmen daran gelegen sein, den Erhalt eines Bußgeldbescheids tunlichst zu vermeiden. Der Datenschutz sollte daher im alltäglichen Geschäftsbetrieb stets beachtet und Prozesse anhand der Vorgaben der DSGVO fortlaufend optimiert werden. Ihr Datenschutzbeauftragter hilft Ihnen sicher bei der Optimierung der Prozesse weiter.
