Ihre
Suche

    09.10.2019

    Datenschutzaufsichtsbehörden erarbeiten Konzept zur Bußgeldbemessung bei Verstößen gegen die DSGVO


    Ein Beschluss der Datenschutzkonferenz (DSK) vom 25. Juni 2019 und eine Pressemitteilung vom 17. September 2019 belegen, dass in Zukunft mit deutlich höheren Geldbußen bei Datenschutzverstößen zu rechnen ist. Grundlage der Bußgeldbemessung wird ein neues und komplexes Konzept mit vielfachen Berechnungen, das maßgeblich auf den Umsatz des betroffenen Unternehmens abstellt. Die Ausgestaltung ist an Kartellbußgelder angelehnt.

     

    1. Die Verhängung von Geldbußen nach der DSGVO

     

    Die Verhängung von Geldbußen bei Verstößen gegen die Vorgaben der DSGVO richtet sich nach Art. 83 DSGVO. Danach sollen die zu verhängenden Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein.

     

    Je nach den konkreten Umständen des Einzelfalls werden sie neben oder anstelle von Maßnahmen nach Art. 58 Abs. 2 DSGVO verhängt (Art. 83 Abs. 2 Satz 1 DSGVO). Art. 83 Abs. 2 Satz 2 DSGVO sieht für die Bemessung der Bußgeldhöhe eine Vielzahl von Kriterien vor. Die Höhe der Geldbuße kann bis zu EUR 20 Mio. und bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes der Unternehmensgruppe im vorangegangenen Geschäftsjahr betragen, wenn dieser Betrag höher ist (vgl. Art. 83 Abs. 4 bis 6 DSGVO).

     

    2. Neues Konzept zur Bußgeldbemessung des Arbeitskreises Sanktionen der DSK

     

    Für die konkrete Bußgeldbemessung innerhalb des von der DSGVO definierten Bußgeldrahmens wurde bereits in der 2. Zwischenkonferenz 2019 am 25. Juni 2019 in Mainz durch die Berliner Behörde als Vorsitzende des Arbeitskreises Sanktionen der DSK (AK Sanktionen) ein „Konzept zur Bußgeldzumessung bei Verstößen gegen die DSGVO“ vorgestellt und erörtert. Der Entwurf des Konzepts gewährleiste dem Sitzungsprotokoll zufolge „eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ bei Verstößen gegen die DSGVO. Aus diesem Grund sei das Konzept auch bei der Taskforce Finings des Europäischen Datenschutzausschusses (EDSA), der es bereits vorgestellt wurde, „auf Interesse gestoßen“.

     

    Nach verschiedenen Medienberichten hat die DSK am 17. September 2019 mitgeteilt, dass das Konzept noch nicht verabschiedet sei.

     

    Die Formulierungen im Protokoll zu der 2. Zwischenkonferenz 2019 deuten darauf hin, dass das Konzept zumindest teilweise bereits Anwendung findet. Denn der AK Sanktionen wurde damit beauftragt, „das Konzept unter Einbeziehung der damit gemachten praktischen Erfahrungen der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weiterzuentwickeln“. Soweit die Pressemitteilung vom 17. September 2019 ausführt, dass „die konkreten Entscheidungen in laufenden Bußgeldverfahren […] auf der Grundlage des Art. 83 DSGVO getroffen“ werden, schließt das eine Anwendung des Konzepts nicht aus. Anders wäre dies nur, wenn die DSK davon ausgeht, dass sich das Konzept nicht in den Grenzen des Art. 83 DSGVO bewegt; dann wäre es allerdings rechtswidrig.

     

    Auf der Konferenz der DSK am 6. und 7. November 2019 soll das Konzept weiter beraten und über eine Veröffentlichung entschieden werden.

     

    3. Die Bußgeldbemessung nach dem neuen Konzept

     

    Das neue Konzept ist damit derzeit offiziell noch „Verschlusssache“. Nach allem, was man bisher hört, folge die Bußgeldbemessung einer komplexen Berechnung über verschiedene Stufen. Für die betroffenen Unternehmen könne sie zu sehr hohen Geldbußen führen und deshalb massive Auswirkungen haben.

     

    Ausgangspunkt der Berechnung sei der weltweite Umsatz des betroffenen Unternehmens. Dabei würden die Datenschutzaufsichtsbehörden wohl nicht auf den Umsatz der einzelnen juristischen Person abstellen, sondern auf die Unternehmensgruppe.

     

    Aus dem Umsatz werde zunächst ein Tagessatz errechnet und darüber unter Berücksichtigung des von der Behörde ermittelten Schweregrades des Verstoßes ein Bußgeldrahmen und Mittelwert berechnet.

     

    Unter Berücksichtigung verschiedener Bewertungskriterien, wie z. B. die Dauer des Verstoßes oder die Anzahl der betroffenen Personen, werde sodann die Geldbuße innerhalb des ermittelten Bußgeldrahmens konkretisiert, in dem die Kriterien eine rechnerische Wertung erfahren.

     

    Bei Berücksichtigung der Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO könne es anschließend zu Erhöhungen der konkreten Geldbuße von bis zu 300 Prozent, aber auch zu Senkungen von bis zu 25 Prozent kommen.

     

    Abschließend werde unter anderem geprüft, ob sich die ermittelte Geldbuße noch im Bußgeldrahmen der DSGVO bewegt oder ob Korrekturen notwendig sind. Dabei solle es auch zu einer abschließenden Verhältnismäßigkeitsprüfung kommen.

     

    4. Folgerungen für die Praxis

     

    Aufgrund des Konzepts ist in Zukunft mit deutlich höheren Geldbußen als bisher zu rechnen. In dieses Bild passt auch die „Kampfansage“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit, die in naher Zukunft eine Geldbuße in Millionenhöhe verhängen will (siehe Artikel der Süddeutsche Zeitung). Derartig hohe Bußgelder könnten für große und wirtschaftlich erfolgreiche Unternehmen in Zukunft eher die Regel als die Ausnahme sein, wenn Ausgangspunkt der Bußgeldbemessung stets der Unternehmensumsatz ist.

     

    Top-Geldbußen nach DSGVO

     

    • EUR 50 Mio. durch die französische Aufsichtsbehörde gegen einen führenden Internetkonzern wegen Verstößen gegen die Transparenz in Bezug auf die Datenverarbeitung für personalisierte Werbung und Nutzung einer unwirksamen Einwilligungserklärung der Nutzer als rechtliche Grundlage.
    • EUR 1 Mio. durch die italienische Aufsichtsbehörde gegen ein führendes soziales Netzwerk wegen nichtautorisierter Datenübermittlung an ein Datenanalyse-Unternehmen.
    • In Deutschland hat die Berliner Aufsichtsbehörde eine Geldbuße in Höhe von EUR 195.407 gegen einen Lieferdienst verhängt, da dieser unter anderem in zehn Fällen die Nutzeraccounts früherer Kunden nicht gelöscht habe. Zudem sei es gegenüber acht ehemaligen Kunden zu ungewollter E-Mail-Werbung gekommen, wobei ein Nutzer, der einer Datennutzung widersprochen hat, 15 Werbe-E-Mails erhalten habe. Aufgrund der angezeigten Verstöße geht die Aufsichtsbehörde davon aus, dass auf Seiten des Lieferdienstes strukturelle bzw. organisatorische Probleme bestehen. Zudem seien nicht die erforderlichen Maßnahmen von Seiten des Lieferdienstes getroffen worden, um Verstöße gegen die DSGVO zu verhindern.
    • Die britische Aufsichtsbehörde hat angekündigt, Geldbußen in Höhe von GBP 183,39 Mio. gegen eine Fluggesellschaft bzw. GBP 99 Mio. gegen eine Hotelkette verhängen zu wollen. Der Fluggesellschaft wird vorgeworfen, die eigenen Webseiten, inkl. derjenigen zur Eingabe von Zahlungsinformationen, nicht ausreichend abgesichert zu haben. Die Hotelkette soll ihre Reservierungsdatenbank, inkl. der Zahlungsinformationen der Kunden, nicht ausreichend gesichert haben.

     

    Gerichte sind an das Konzept zur Bußgeldbemessung jedoch nicht gebunden. Sie können in freier Verantwortung eine Bußgeldbemessung nach den gesetzlichen Regelungen vornehmen, was sich jedoch nicht immer zum Vorteil des mit einer Geldbuße belasteten Unternehmens auswirken kann, wie eine Entscheidung des OLG Düsseldorf zum Kartellrecht zeigt (OLG Düsseldorf, Urteil vom 28.02.2018 – V-4 Kart 3/17 OWi; das Urteil wurde jedoch durch den BGH aufgehoben, da es verspätet zu den Akten gebracht wurde, siehe BGH, Beschluss vom 09.07.2019 – KRB 37/19).

     

    Diese Entwicklungen zeigen einmal mehr die Notwenigkeit wirksamer und angemessener sowie gut dokumentierter datenschutzrechtlicher Compliance-Maßnahmen. Diese wirken nicht nur im behördlichen Verfahren, sondern gerade auch in einer nachfolgenden gerichtlichen Auseinandersetzung als hocheffektives Verteidigungsmittel gegen fehlerhaft bemessene Geldbußen. Nur wirksame und angemessene Compliance-Maßnahmen können zum einen das Risiko von Verstößen gegen die Vorgaben der DSGVO wirksam minimieren, zum anderen als Minderungsgrund im Rahmen der Bußgeldbemessung wirken, wenn es trotz ergriffener Maßnahmen zu einem Verstoß kommen sollte. Compliance-Maßnahmen können sogar ein Indiz gegen Vorsatz und Fahrlässigkeit darstellen (vgl. Handel, DStR 2017, 1945 f.). Mindernd zu berücksichtigen sind aber auch Aktivitäten im Compliance-Bereich, die erst nach einem Verstoß und während des laufenden Bußgeldverfahrens ergriffen werden (vgl. BGH, Urteil vom 09.05.2017 – 1 StR 265/16, Rn. 118, abrufbar hier)

     

    Auf einen Blick

     

    • Nach einem neuen Konzept der Datenschutzbehörden soll es bei der Bußgeldbemessung maßgeblich auf den Umsatz des betroffenen Unternehmens ankommen.
    • Das Konzept orientiert sich an der Bußgeldbemessung bei Kartellverstößen.
    • Vor allem Großunternehmen wird dies spürbar treffen - auch bei leichten Verstößen.
    • Geldbußen in Millionenhöhe sind zu erwarten.
    • Bisherige Geldbußen gehen auf sehr unterschiedliche Verstöße zurück: Unzureichende technische oder organisatorische Vorkehrungen führten ebenso zu Geldbußen wie eine unzureichende rechtliche Absicherung von Datenflüssen.
    • Datenschutzbehörden vertreten die Meinung, dass grds. jeder DSGVO-Verstoß mit einer Geldbuße zu ahnden sei.
    • Wichtig ist daher auch der Fokus auf effektive Verteidigungsmöglichkeiten gegen behördliche Bußgeldbescheide. Eine zentrale Rolle spielt eine wirksame Compliance-Organisation.

     

    Wenn Sie Fragen zu dem Thema haben, wenden Sie sich gerne an Jörg Bielefeld, Timo Handel, Susanne Klein und Dr. Andreas Lober.

     

    Korruptionsbekämpfung: Einführung des § 10…
    1. Einführung Seit dem 18. Juni 2024 ist die "unzulässige Interessenwahrnehmung…
    Weiterlesen
    Best Lawyers 2025: 76 Juristinnen und Juristen von ADVANT Beiten als beste Anwältinnen und Anwälte für Deutschla…
    Oliver Korte erhält „Lawyer of the Year Award“.Alexander Braun, Christian Burmeister, Moritz Jenne, Tassilo Klesen, Markus Schönherr und Max Stanko als „Ones to watch“ gelistet. Die besten Juristinnen und…
    Weiterlesen
    Schweigsame Hinweisgeber? Auswirkungen des Hinweisgeberschutzgesetzes auf Vertraulichkeitsvereinbarungen
    Seit der Einführung des Hinweisgeberschutzgesetzes wird allerorts die Einrichtung von Meldekanälen diskutiert. Weitgehend unter dem Radar blieb bisher eine Norm am Ende des neuen Gesetzes, die beträchtlich…
    Weiterlesen
    Verstärkung in Hamburg: Martin Seevers wechselt mit Team von EY Law zu ADVANT Beiten
    Hamburg, 1. März 2024 – Die internationale Wirtschaftskanzlei ADVANT Beiten stärkt ihren Hamburger Standort im Bereich Steuer- und Wirtschaftsstrafrecht mit einem dreiköpfigen Team von Ernst & Young Law. M…
    Weiterlesen
    Haftung von Geschäftsleitern für Unternehmensgeldbußen: ja, nein, jein?
    „Vorstände und Geschäftsführer haften nicht für Kartellgeldbußen, die gegen das Unternehmen festgesetzt werden. Auch nicht, wenn sie ihre Pflichten verletzt haben. Zu diesem für Geschäftsleiter und D&O-Ver…
    Weiterlesen
    ADVANT Beiten mit Rang 13 starker Aufsteiger im Kanzleimonitor 2023-2024
    Das Deutsche Institut für Rechtsabteilungen & Unternehmensjuristen (diruj) hat in der elften Auflage seinen "Kanzleimonitor" veröffentlicht. An der repräsentativen Studie nahmen leitende Juristen – General…
    Weiterlesen
    Artikel 5: Hinweisgeberschutzgesetz
    Das neue Hinweisgeberschutzgesetz (HinSchG) ist beschlossen und tritt voraussich…
    Weiterlesen
    Zur Prüfung von künstlicher Intelligenz (KI) nach IDW PS 861
    IDW PS 861, veröffentlicht am 10. März 2023 Die rasante technologische Entwicklung führt dazu, dass Unternehmen immer häufiger KI einsetzen. Dessen Potential wird aktuell kontrovers diskutiert, wie am B…
    Weiterlesen
    ADVANT Beiten gewinnt Equity Partner für die Bereiche Compliance und Wirtschaftsstrafrecht in Düsseldorf
    Düsseldorf, 9. Januar 2023 – Die internationale Wirtschaftskanzlei ADVANT Beiten hat zum Jahreswechsel 2022/23 ihren Standort Düsseldorf weiter ausgebaut und Dr. Jochen Pörtge für die Bereiche Compliance u…
    Weiterlesen