Neues Konzept zur Bußgeldzumessung bei Verstößen gegen die DSGVO

Am 10. Oktober 2019 berichteten wir im Blog über das bis dato noch unveröffentlichte Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung bei Verstößen gegen die DSGVO. Nunmehr hat Datenschutzkonferenz (DSK) am 16. Oktober 2019 und damit früher als angekündigt, das Konzept veröffentlicht (hier abrufbar). Wie bereits berichtet (Datenschutzaufsichtsbehörden erarbeiten Konzept zur Bußgeldbemessung bei Verstößen gegen die DSGVO), sieht das Konzept eine komplexe Rechenformel vor, die in Zukunft zu deutlich höheren Geldbußen bei Datenschutzverstößen führen wird. Der vorliegende Beitrag gibt einen Überblick.

1. Die Verhängung von Geldbußen nach der DSGVO

Die Verhängung von Geldbußen bei Verstößen gegen die Vorgaben der DSGVO richtet sich nach Art. 83 DSGVO. Danach sollen die zu verhängenden Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein.

Je nach den konkreten Umständen des Einzelfalls werden sie neben oder anstelle von Maßnahmen nach Art. 58 Abs. 2 DSGVO verhängt (Art. 83 Abs. 2 Satz 1 DSGVO). Art. 83 Abs. 2 Satz 2 DSGVO sieht für die Bemessung der Bußgeldhöhe eine Vielzahl von Kriterien vor. Die Höhe der Geldbuße kann bis zu EUR 20 Mio. oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes der Unternehmensgruppe im vorangegangenen Geschäftsjahr betragen, wenn dieser Betrag höher ist (vgl. Art. 83 Abs. 4 bis 6 DSGVO).

Top-Geldbußen nach DSGVO

• EUR 50 Mio. durch die französische Aufsichtsbehörde gegen einen führenden Internetkonzern wegen Verstößen gegen die Transparenz in Bezug auf die Datenverarbeitung für personalisierte Werbung und Nutzung einer unwirksamen Einwilligungserklärung der Nutzer als rechtliche Grundlage.
• EUR 1 Mio. durch die italienische Aufsichtsbehörde gegen ein führendes soziales Netzwerk wegen nichtautorisierter Datenübermittlung an ein Datenanalyse-Unternehmen.
• In Deutschland hat die Berliner Aufsichtsbehörde eine Geldbuße in Höhe von EUR 195.407 gegen einen Lieferdienst verhängt, da dieser unter anderem in zehn Fällen die Nutzeraccounts früherer Kunden nicht gelöscht habe. Zudem sei es gegenüber acht ehemaligen Kunden zu ungewollter E-Mail-Werbung gekommen, wobei ein Nutzer, der einer Datennutzung widersprochen hat, 15 Werbe-E-Mails erhalten habe. Aufgrund der angezeigten Verstöße geht die Aufsichtsbehörde davon aus, dass auf Seiten des Lieferdienstes strukturelle bzw. organisatorische Probleme bestehen. Zudem seien nicht die erforderlichen Maßnahmen von Seiten des Lieferdienstes getroffen worden, um Verstöße gegen die DSGVO zu verhindern.
• Die britische Aufsichtsbehörde hat angekündigt, Geldbußen in Höhe von GBP 183,39 Mio. gegen eine Fluggesellschaft bzw. GBP 99 Mio. gegen eine Hotelkette verhängen zu wollen. Der Fluggesellschaft wird vorgeworfen, die eigenen Webseiten, inkl. derjenigen zur Eingabe von Zahlungsinformationen, nicht ausreichend abgesichert zu haben. Die Hotelkette soll ihre Reservierungsdatenbank, inkl. der Zahlungsinformationen der Kunden, nicht ausreichend gesichert haben.

2. Neues Konzept zur Bußgeldbemessung der Datenschutzkonferenz

Mit Pressemitteilung vom 16. Oktober 2019 führt die DSK aus, dass mit dem Konzept „ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden“ soll. Insbesondere sollen „Verantwortliche und Auftragsverarbeiter in die Lage“ versetzt werden, „die Entscheidungen der Aufsichtsbehörden nachzuvollziehen“. Dabei soll das Konzept nur eine vorübergehende Wirkung entfalten, nämlich solange, bis eine europäische Regelung durch den Europäischen Datenschutzausschuss (EDSA) getroffen wurde. Dem Protokoll der 2. Zwischenkonferenz 2019 am 25. Juni 2019 in Mainz zufolge wurde ein Entwurf des Konzepts bereits der Taskforce Finings des EDSA vorgestellt und sei dort „auf Interesse gestoßen“.

3. Die Bußgeldzumessung nach dem neuen Konzept

Das Konzept folgt bei der Bußgeldzumessung einer komplexen Berechnung über fünf Stufen:

1) Zuordnung des betroffenen Unternehmens zu einer Größenklasse

2) Schematische Bestimmung des mittleren Jahresumsatzes

3) Berechnung des wirtschaftlichen Grundwertes bzw. eines Tagessatzes

4) Multiplikation des Tagessatzes mit einem aus der Schwere der Tat abgeleiteten Faktor

5) Abschließende Anpassung des ermittelten Wertes anhand täterbezogener und noch nicht berücksichtigter Umstände des Einzelfalls

3.1 Zuordnung des betroffenen Unternehmens zu einer Größenklasse

Ausgangspunkt der Berechnung ist der weltweite Umsatz (nicht der regelmäßig weitaus geringere Gewinn) des betroffenen Unternehmens, wobei die Datenschutzaufsichtsbehörden nicht auf den Umsatz der einzelnen juristischen Person abstellen werden, sondern auf die Unternehmensgruppe. Die Bemessung nach dem Konzept kann deshalb im Ergebnis zu sehr hohen Geldbußen führen und massive Auswirkungen für die betroffenen Unternehmen haben.

In einem ersten Schritt sieht das Konzept zur Bußgeldzumessung eine Einstufung des betroffenen Unternehmens in eine von vier Größenklassen vor. Die Größenklassen bzw. die Einstufung in diese richtet sich nach dem weltweiten Gesamtumsatz, der im Vorjahr erzielt wurde. Die Größenklassen betreffen:

• Kleinstunternehmen (bis EUR 2. Mio. Umsatz; Größenklasse A);
• kleine Unternehmen (über EUR 2 Mio. bis 10 Mio. Umsatz; Größenklasse B);
• mittlere Unternehmen (über EUR 10 Mio. bis 50 Mio. Umsatz; Größenklasse C) und
• Großunternehmen (über EUR 50 Mio. Umsatz; Größenklasse D).

Diese Größenklassen sind in verschiedene umsatzabhängige Untergruppen unterteilt.

3.2 Schematische Bestimmung des mittleren Jahresumsatzes

Auf der zweiten Stufe der Bußgeldzumessung wird sodann in tabellarischer Weise und unter Anknüpfung an die Größenklasse ein für die konkrete Untergruppe der Größenklasse festgeschriebener mittlerer Jahresumsatz bestimmt. Bei Unternehmen mit einem jährlichen Umsatz von über EUR 500 Mio. wird der konkrete Umsatz anstelle eines Mittelwertes der Berechnung zugrunde gelegt, wobei die Höchstgeldbuße von 2 Prozent bzw. 4 Prozent zu beachten ist.

3.3 Berechnung des wirtschaftlichen Grundwertes bzw. eines Tagessatzes

Aus dem Mittelwert wird auf der dritten Stufe ein wirtschaftlicher Grundwert in Form eines Tagessatzes ermittelt, indem der Mittelwert durch 360 (Tage) dividiert wird.

3.4 Multiplikation des Tagessatzes mit einem aus der Schwere der Tat abgeleiteten Faktor

Stufe vier sieht eine Einstufung der Tat nach ihrem Schweregrad in eine von vier Stufen (leicht, mittel, schwer und sehr schwer) vor. In diesem Zusammenhang sollen die tatbezogenen Kriterien des Art. 83 Abs. 2 DSGVO und die Umstände des Einzelfalls berücksichtigt werden. Die Einstufung führt zu einem für den jeweiligen Schweregrad festgeschriebenen Faktoren-Rahmen, aus dem wiederum ein Faktor anhand der Schwere der Tat zu wählen ist. Dabei sieht das Konzept für materielle Verstöße (Art. 83 Abs. 5 und 6 DSGVO) höhere Faktoren vor als für formelle Verstöße (Art. 83 Abs. 4 DSGVO). Bei sehr schweren Verstößen sind zudem nur Mindestfaktoren von 6 bzw. 12 vorgesehen. Der konkret ermittelte Faktor wird anschließend mit dem Grundwert bzw. Tagessatz multipliziert, wobei die nach der DSGVO möglichen Höchstbeträge nicht überschritten werden dürfen. Das Ergebnis der Multiplikation stellt einen ersten Anhaltspunkt für die zu verhängende Geldbuße dar.

3.5 Abschließende Anpassung des ermittelten Wertes

Diese wird sodann auf der fünften und letzten Stufe „anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände“ angepasst, „soweit diese noch nicht“ auf der vierten Stufe „berücksichtigt wurden“. Das Konzept stellt dabei ausdrücklich auf „eine lange Verfahrensdauer oder drohende Zahlungsunfähigkeit des Unternehmens“ als zu berücksichtigende Umstände ab. In welchem Umfang die sonstigen Umstände zu berücksichtigen sind, ergibt sich nicht aus dem Konzept.

Es ist jedoch zu konstatieren, dass diese Stufe auch zu (deutlichen) Erhöhungen des ermittelten Wertes und damit der Geldbuße führen kann. So hieß es in Branchenkreisen vor der Veröffentlichung des Konzepts, dass die errechnete Geldbuße bis zu 300 Prozent erhöht, aber nur um bis zu 25 Prozent herabgesetzt werden könne. Auf eine solche Regelung wurde nun im Rahmen des Konzeptes verzichtet.

4. Folgerungen für die Praxis

Aufgrund des Konzepts ist in Zukunft mit deutlich höheren Geldbußen als bisher zu rechnen. In dieses Bild passt auch die „Kampfansage“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit, die in naher Zukunft eine Geldbuße in Millionenhöhe verhängen will (siehe Artikel der Süddeutsche Zeitung). Derartig hohe Bußgelder könnten für große und wirtschaftlich erfolgreiche Unternehmen in Zukunft eher die Regel als die Ausnahme sein, wenn Ausgangspunkt der Bußgeldbemessung stets der weltweite Unternehmensumsatz ist.

• Die Folgen – ein Rechenbeispiel
  
  Die gravierenden Folgen verdeutlicht vor allem ein kleines Rechenbeispiel, dem ein Unternehmen mit einem Jahresumsatz in Höhe von EUR 425 Mio. zugrunde liegt.
  
  Auf der ersten Stufe ist dieses Unternehmen als Großunternehmen der Untergruppe D.VI (Jahresumsatz über EUR 400 Mio. bis 500 Mio.) zu qualifizieren. Daraus ergibt sich auf der zweiten Stufe ein mittlerer Jahresumsatz von EUR 450 Mio., der auf der dritten Stufe zu einem Tagessatz in Höhe von EUR 1,25 Mio. führt.
  
  Dieser Grundwert bleibt auf der vierten Stufe die Untergrenze der Geldbuße und zwar auch bei einem nur leichten Verstoß. Grund dafür ist, dass die Berechnung keinen kleineren Faktor als 1 vorsieht, mit dem der Tagessatz multipliziert werden kann, so dass eine Herabsenkung der Geldbuße jedenfalls auf dieser Stufe ausgeschlossen ist. Bei einem schweren formellen Verstoß bewegt sich der multiplizierte Grundwert in einem Bereich von dem 4 bis 6-fachen des Tagessatzes, bei einem schweren materiellen Verstoß sogar dem 8 bis 12-fachen. Bei einem sehr schweren Verstoß ist als Höchstgrenze der Geldbuße der Höchstbetrag von 2 Prozent bzw. 4 Prozent des Jahresumsatzes einschlägig.
  
  Ein leichter materieller Verstoß, z. B. gegen das Recht auf unverzügliche Löschung (Art. 17, 83 Abs. 5 lit. b DSGVO), kann für das Unternehmen im Beispiel auf Stufe 4 zu einer Geldbuße von EUR 1,25 Mio. bis 5 Mio. führen.
  
  Inwieweit dieser Betrag auf der fünften Stufe angepasst wird und dabei die Grenzen Über- oder Unterschritten werden, bleibt offen und ist vom konkreten Einzelfall abhängig.

Gerichte sind an das Konzept zur Bußgeldbemessung jedoch nicht gebunden. Sie können in freier Verantwortung eine Bußgeldbemessung nach den gesetzlichen Regelungen vornehmen, was sich jedoch nicht immer zum Vorteil des mit einer Geldbuße belasteten Unternehmens auswirken kann, wie eine Entscheidung des OLG Düsseldorf zum Kartellrecht zeigt (OLG Düsseldorf, Urteil vom 28.02.2018 – V-4 Kart 3/17 OWi; das Urteil wurde jedoch durch den BGH aufgehoben, da es verspätet zu den Akten gebracht wurde, siehe BGH, Beschluss vom 09.07.2019 – KRB 37/19).

Diese Entwicklungen zeigen einmal mehr die Notwenigkeit wirksamer und angemessener sowie gut dokumentierter datenschutzrechtlicher Compliance-Maßnahmen. Diese wirken nicht nur im behördlichen Verfahren, sondern gerade auch in einer nachfolgenden gerichtlichen Auseinandersetzung als hocheffektives Verteidigungsmittel gegen fehlerhaft bemessene Geldbußen. Nur wirksame und angemessene Compliance-Maßnahmen können zum einen das Risiko von Verstößen gegen die Vorgaben der DSGVO wirksam minimieren, zum anderen als Minderungsgrund im Rahmen der Bußgeldbemessung wirken, wenn es trotz ergriffener Maßnahmen zu einem Verstoß kommen sollte. Compliance-Maßnahmen können sogar ein Indiz gegen Vorsatz und Fahrlässigkeit darstellen (vgl. Handel, DStR 2017, 1945 f.). Mindernd zu berücksichtigen sind aber auch Aktivitäten im Compliance-Bereich, die erst nach einem Verstoß und während des laufenden Bußgeldverfahrens ergriffen werden (vgl. BGH, Urteil vom 09.05.2017 – 1 StR 265/16, Rn. 118, abrufbar hier).

5. Blick über den Tellerrand: Null Toleranz bei Non-Comliance

Vergleicht man die dargestellten Überlegungen zu einer harten und teuren Sanktionierungspraxis bei DSGVO-Verstößen mit weiteren aktuellen Entwicklungen im Compliance-Bereich, lässt sich ein eindeutiger Trend zu harten Sanktionen und einer behördlichen „Null-Toleranz-Strategie“ ausmachen. Denn nicht nur im Datenschutzrecht, sondern auch in anderen Bereichen soll Non-Compliance viel teurer werden. Bei Straftaten (z. B. Korruption, Steuerhinterziehung, Schwarzarbeit, Betrug, Umweltdelikten etc.), die aus einem Unternehmen heraus begangen werden, sollen Geldsanktionen in Höhe von bis zu 10 Prozent des durchschnittlichen Jahresumsatzes gegen Unternehmen verhängt werden können. Dies sieht der aktuelle Entwurf eines Verbandssanktionengesetzes (VerSanG-E) vor. Lesen Sie hierzu mehr in unserem Blog (Verbandssanktionengesetz: Klimawandel bei Unternehmenssanktionen).

Auf einen Blick

• Nach einem neuen Konzept der Datenschutzbehörden kommt es bei der Bußgeldbemessung maßgeblich auf den weltweiten Umsatz des betroffenen Unternehmens an.
• Das Konzept orientiert sich an der Bußgeldbemessung bei Kartellverstößen.
• Vor allem Großunternehmen wird dies spürbar treffen - auch bei leichten Verstößen.
• Geldbußen in Millionenhöhe sind zu erwarten.
• Bisherige Geldbußen gehen auf sehr unterschiedliche Verstöße zurück: Unzureichende technische oder organisatorische Vorkehrungen führten ebenso zu Geldbußen wie eine unzureichende rechtliche Absicherung von Datenflüssen.
• Datenschutzbehörden vertreten die Meinung, dass grundsätzlich jeder DSGVO-Verstoß mit einer Geldbuße zu ahnden sei.
• Wichtig ist daher auch der Fokus auf effektive Verteidigungsmöglichkeiten gegen behördliche Bußgeldbescheide. Eine zentrale Rolle spielt eine wirksame Compliance-Organisation.

Wenn Sie Fragen zu dem Thema haben, wenden Sie sich gerne an Jörg Bielefeld, Timo Handel, Susanne Klein und Dr. Andreas Lober.