Ein Beschluss der Datenschutzkonferenz (DSK) vom 25. Juni 2019 und eine Pressemitteilung vom 17. September 2019 belegen, dass in Zukunft mit deutlich höheren Geldbußen bei Datenschutzverstößen zu rechnen ist. Grundlage der Bußgeldbemessung wird ein neues und komplexes Konzept mit vielfachen Berechnungen, das maßgeblich auf den Umsatz des betroffenen Unternehmens abstellt. Die Ausgestaltung ist an Kartellbußgelder angelehnt.
Die Verhängung von Geldbußen bei Verstößen gegen die Vorgaben der DSGVO richtet sich nach Art. 83 DSGVO. Danach sollen die zu verhängenden Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein.
Je nach den konkreten Umständen des Einzelfalls werden sie neben oder anstelle von Maßnahmen nach Art. 58 Abs. 2 DSGVO verhängt (Art. 83 Abs. 2 Satz 1 DSGVO). Art. 83 Abs. 2 Satz 2 DSGVO sieht für die Bemessung der Bußgeldhöhe eine Vielzahl von Kriterien vor. Die Höhe der Geldbuße kann bis zu EUR 20 Mio. und bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes der Unternehmensgruppe im vorangegangenen Geschäftsjahr betragen, wenn dieser Betrag höher ist (vgl. Art. 83 Abs. 4 bis 6 DSGVO).
Für die konkrete Bußgeldbemessung innerhalb des von der DSGVO definierten Bußgeldrahmens wurde bereits in der 2. Zwischenkonferenz 2019 am 25. Juni 2019 in Mainz durch die Berliner Behörde als Vorsitzende des Arbeitskreises Sanktionen der DSK (AK Sanktionen) ein „Konzept zur Bußgeldzumessung bei Verstößen gegen die DSGVO“ vorgestellt und erörtert. Der Entwurf des Konzepts gewährleiste dem Sitzungsprotokoll zufolge „eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ bei Verstößen gegen die DSGVO. Aus diesem Grund sei das Konzept auch bei der Taskforce Finings des Europäischen Datenschutzausschusses (EDSA), der es bereits vorgestellt wurde, „auf Interesse gestoßen“.
Nach verschiedenen Medienberichten hat die DSK am 17. September 2019 mitgeteilt, dass das Konzept noch nicht verabschiedet sei.
Die Formulierungen im Protokoll zu der 2. Zwischenkonferenz 2019 deuten darauf hin, dass das Konzept zumindest teilweise bereits Anwendung findet. Denn der AK Sanktionen wurde damit beauftragt, „das Konzept unter Einbeziehung der damit gemachten praktischen Erfahrungen der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weiterzuentwickeln“. Soweit die Pressemitteilung vom 17. September 2019 ausführt, dass „die konkreten Entscheidungen in laufenden Bußgeldverfahren […] auf der Grundlage des Art. 83 DSGVO getroffen“ werden, schließt das eine Anwendung des Konzepts nicht aus. Anders wäre dies nur, wenn die DSK davon ausgeht, dass sich das Konzept nicht in den Grenzen des Art. 83 DSGVO bewegt; dann wäre es allerdings rechtswidrig.
Auf der Konferenz der DSK am 6. und 7. November 2019 soll das Konzept weiter beraten und über eine Veröffentlichung entschieden werden.
Das neue Konzept ist damit derzeit offiziell noch „Verschlusssache“. Nach allem, was man bisher hört, folge die Bußgeldbemessung einer komplexen Berechnung über verschiedene Stufen. Für die betroffenen Unternehmen könne sie zu sehr hohen Geldbußen führen und deshalb massive Auswirkungen haben.
Ausgangspunkt der Berechnung sei der weltweite Umsatz des betroffenen Unternehmens. Dabei würden die Datenschutzaufsichtsbehörden wohl nicht auf den Umsatz der einzelnen juristischen Person abstellen, sondern auf die Unternehmensgruppe.
Aus dem Umsatz werde zunächst ein Tagessatz errechnet und darüber unter Berücksichtigung des von der Behörde ermittelten Schweregrades des Verstoßes ein Bußgeldrahmen und Mittelwert berechnet.
Unter Berücksichtigung verschiedener Bewertungskriterien, wie z. B. die Dauer des Verstoßes oder die Anzahl der betroffenen Personen, werde sodann die Geldbuße innerhalb des ermittelten Bußgeldrahmens konkretisiert, in dem die Kriterien eine rechnerische Wertung erfahren.
Bei Berücksichtigung der Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO könne es anschließend zu Erhöhungen der konkreten Geldbuße von bis zu 300 Prozent, aber auch zu Senkungen von bis zu 25 Prozent kommen.
Abschließend werde unter anderem geprüft, ob sich die ermittelte Geldbuße noch im Bußgeldrahmen der DSGVO bewegt oder ob Korrekturen notwendig sind. Dabei solle es auch zu einer abschließenden Verhältnismäßigkeitsprüfung kommen.
Aufgrund des Konzepts ist in Zukunft mit deutlich höheren Geldbußen als bisher zu rechnen. In dieses Bild passt auch die „Kampfansage“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit, die in naher Zukunft eine Geldbuße in Millionenhöhe verhängen will (siehe Artikel der Süddeutsche Zeitung). Derartig hohe Bußgelder könnten für große und wirtschaftlich erfolgreiche Unternehmen in Zukunft eher die Regel als die Ausnahme sein, wenn Ausgangspunkt der Bußgeldbemessung stets der Unternehmensumsatz ist.
Gerichte sind an das Konzept zur Bußgeldbemessung jedoch nicht gebunden. Sie können in freier Verantwortung eine Bußgeldbemessung nach den gesetzlichen Regelungen vornehmen, was sich jedoch nicht immer zum Vorteil des mit einer Geldbuße belasteten Unternehmens auswirken kann, wie eine Entscheidung des OLG Düsseldorf zum Kartellrecht zeigt (OLG Düsseldorf, Urteil vom 28.02.2018 – V-4 Kart 3/17 OWi; das Urteil wurde jedoch durch den BGH aufgehoben, da es verspätet zu den Akten gebracht wurde, siehe BGH, Beschluss vom 09.07.2019 – KRB 37/19).
Diese Entwicklungen zeigen einmal mehr die Notwenigkeit wirksamer und angemessener sowie gut dokumentierter datenschutzrechtlicher Compliance-Maßnahmen. Diese wirken nicht nur im behördlichen Verfahren, sondern gerade auch in einer nachfolgenden gerichtlichen Auseinandersetzung als hocheffektives Verteidigungsmittel gegen fehlerhaft bemessene Geldbußen. Nur wirksame und angemessene Compliance-Maßnahmen können zum einen das Risiko von Verstößen gegen die Vorgaben der DSGVO wirksam minimieren, zum anderen als Minderungsgrund im Rahmen der Bußgeldbemessung wirken, wenn es trotz ergriffener Maßnahmen zu einem Verstoß kommen sollte. Compliance-Maßnahmen können sogar ein Indiz gegen Vorsatz und Fahrlässigkeit darstellen (vgl. Handel, DStR 2017, 1945 f.). Mindernd zu berücksichtigen sind aber auch Aktivitäten im Compliance-Bereich, die erst nach einem Verstoß und während des laufenden Bußgeldverfahrens ergriffen werden (vgl. BGH, Urteil vom 09.05.2017 – 1 StR 265/16, Rn. 118, abrufbar hier)
Wenn Sie Fragen zu dem Thema haben, wenden Sie sich gerne an Jörg Bielefeld, Timo Handel, Susanne Klein und Dr. Andreas Lober.