Während auf europäischer Ebene bereits in der Vergangenheit Bußgelder regelmäßig in Millionenhöhe verhängt wurden, erfolgt die Sanktionierung durch die deutschen Aufsichtsbehörden bislang mit vergleichsweiser Zurückhaltung.

Am 16.10.2019 hat nun die Datenschutzkonferenz, das Gesamtgremium der deutschen Aufsichts-behörden, ihr lang erwartetes Modell zur Berechnung von Bußgeldern für Verstöße gegen daten-schutzrechtliche Vorschriften veröffentlicht. Dieses Bußgeldkonzept könnte nun auch das Ende der bisherigen Zurückhaltung der deutschen Aufsichtsbehörden einläuten.

Hierauf deuten die Äußerungen des Bundesdatenschutzbeauftragten Ulrich Kelber hin, nach denen zukünftig auch in Deutschland Bußgelder in Millionenhöhe verhängt werden. Die gegenwärtige Sanktionspraxis lässt sich als Bestätigung ebendieser Äußerungen lesen. Am 30.10.2019 und damit nur wenige Tage nach Veröffentlichung des Bußgeldkonzepts wurde bekannt, dass die Deutsche Wohnen SE aufgrund diverser datenschutzrechtlicher Verstöße mit einem Bußgeld in Höhe von 14.5000.000 Euro sanktioniert wurde.

Da Art. 83 Abs. 1 DS-GVO auf den Einzelfall abstellt verbietet sich zwar die Aufstellung eines Bußgeldkatalogs, das Bußgeldkonzept lässt jedoch in der Tat einen deutlichen Anstieg der durchschnittlich verhängten Bußgelder erwarten.

Das zu verhängende Bußgeld wird hierbei in fünf Schritten ermittelt:

1. Zuordnung zu einer Größenklasse: Das Unternehmen wird – dem Begriff der wirtschaftlichen Einheit des Kartellrechts folgend – in Abhängigkeit vom weltweit erzielten (Konzern)-Vorjahresumsatzes einer von vier Größenklassen zugeordnet. Das Risiko der Verhängung von Bußgeldern in empfindlicher Höhe ist daher für alle Unternehmen, die einem Konzern zugehörig sind, besonders hoch.

Die vier Größenklassen A-D (2 Mio. bei Kleinstunternehmen, 2-10 Mio. bei Kleinunternehmen, 10-50 Mio. bei mittleren Unternehmen, über 50 Mio. bei Großunternehmen) sind zur konkreteren Einteilung erneut in Untergruppen unterteilt.

2. Bestimmung des mittleren Jahresumsatzes der Untergruppe: Im nächsten Schritt wird auf Grundlage der im ersten Schritt ermittelten Größenklasse der mittlere Jahresumsatz der Unter-gruppe ermittelt, der das Unternehmen zugeordnet wurde. Wird ein Jahresumsatz von über 500 Mio. erzielt, wird der prozentuale Bußgeldrahmen (2% bzw. 4%) der weiteren Ermittlung des Bußgelds zugrunde gelegt. Die Ermittlung erfolgt in diesem Fall somit auf Grundlage des tatsächlich erzielten Vorjahresumsatzes.

3. Ermittlung des wirtschaftlichen Grundwertes: Im nächsten Schritt wird der wirtschaftliche Grundwert ermittelt. Dies geschieht, in dem der unter Schritt 2 ermittelte Wert durch 360 geteilt und auf diese Weise ein Tagessatz errechnet wird.

4. Multiplikation des Grundwertes nach Schweregrad der Tat: Der in Schritt 3 ermittelte Tagessatz wird in Abhängigkeit vom Schweregrad der Tat, der auf Grundlage der Kriterien des Art. 83 Abs. 2 DS-GVO zu ermitteln ist, mit dem Wert 1 – 6 (formelle Verstöße nach Art. 83 Abs. 4 DS-GVO) bzw. 1 – 12 (materielle Verstöße nach Art. 83 Abs. 5 DS-GVO) multipliziert.

5. Anpassung nach den Umständen des Einzelfalls: Im letzten Schritt wird der in Schritt 4 ermittelte Wert unter Berücksichtigung der für und gegen das betroffene Unternehmen sprechenden Umstände angepasst. Neben den bereits kraft Gesetzes zu berücksichtigenden Umständen des Einzelfalls (Art. 83 Abs. 2 DS-GVO) zählen hierzu auch eine lange Verfahrensdauer sowie eine drohende Zahlungsunfähigkeit.

Formelle Verstöße

Formelle Verstöße umfassen hierbei die Vorschriften der Art. 8, 11, 25 bis 39, 42 und 43 DS-GVO. Materielle Verstöße sind Zuwiderhandlungen gegen Art. 5, 6, 7, 9, 12 bis 22, 44 bis 49 DS-GVO, Verstöße gegen Vorschriften des nationalen Datenschutzrechts, die im Rahmen von Öffnungsklauseln erlassen wurden (z.B. § 26 BDSG), Art. 58 Abs. 1, Abs. 2 DS-GVO.

Die nach Art. 83 Abs. 2 DS-GVO zu berücksichtigenden Umstände zur Beurteilung des Schweregrades der Tat sowie zur Anpassung an den Einzelfall umfassen folgende Punkte:

1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

3. jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

4. Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

5. etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

6. Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

7. Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

8. Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

9. Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

10. Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

11. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Einfluss hat das Unternehmen hierbei fast aus-schließlich auf die Nummern 1, 2, 3, 6.

Das Bußgeldkonzept erlaubt aufgrund seiner Transparenz und Nachvollziehbarkeit eine zumindest näherungsweise Bewertung der bestehenden datenschutzrechtlichen Risiken des Unternehmens.

Es leistet damit einen Beitrag zur verbesserten Priorisierung bestehender Risiken und damit, die Ermittlung der Eintrittswahrscheinlichkeit des jeweiligen Risikos vorausgesetzt, auch zum verbesserten Risikomanagement. Die obenstehend benannten Punkte erlauben dabei eine (teilweise) Behandlung der Risiken. Durch ein Datenschutzmanagementsystem und eine Sensibilisierung der Mitarbeiter lassen sich etwa Verstöße schneller aufdecken und rascher beenden, wodurch sich die Zahl der von einem Verstoß betroffenen Personen begrenzen und der erlittene Schaden begrenzen lässt (Nummer 1).

Über die Nutzung rechtlicher Grauzonen sollte sich das Unternehmen bewusst sein und plausible Begründungen für Abweichungen von Stellungnahmen der Aufsichtsbehörden vorhalten. Hierdurch kann sich der Vorsatz des Vorsatzes aushebeln, zumindest jedoch abschwächen lassen (Nummer 2).

Durch Etablierung und Bekanntgabe eines Datenschutz- und Informationssicherheitsteams mit Zugang zur Geschäftsführung können Schadensfälle rasch aufgeklärt und Maßnahmen zur Schadensbegrenzung eingeleitet werden (Nummer 3).

Im Fall der aufsichtsbehördlichen Prüfung kann durch Kooperation mit der Aufsichtsbehörde eine weitere Reduktion des Bußgelds erreicht werden (Nummer 6). Sollte es daher zu einer Überprüfung durch die zuständige Aufsichtsbehörde kommen, sind Unternehmen gut beraten, mit der Aufsichtsbehörde zusammenzuwirken. Eine effektive Zusammenarbeit mit der Aufsichtsbehörde setzt hierbei die klare Definition von Rollen und Verantwortlichkeiten für den Fall der aufsichtsbehördlichen Prüfung voraus. Die Etablierung und Bekanntgabe eines Datenschutzteams sowie eines geeigneten Datenschutzmanagementsystems sind daher auch insoweit von Bedeutung.

In Summe ist festzustellen, dass sich mit der Vorstellung des Bußgeldmodells das Risiko empfindlicher Sanktionen im Bereich Datenschutz deutlich erhöht hat. Dies gilt insbesondere in Konzernsachverhalten, da hier das Risiko der Verhängung von Bußgeldern in empfindlicher Höhe besonders groß ist.

Unternehmen, die die Vorgaben der DS-GVO daher bislang nicht vollständig umgesetzt haben, sind gut beraten die Umsetzung zu forcieren. Hierbei sollte besonderes Augenmerk auf die Schulung und Sensibilisierung der Mitarbeiter, die Etablierung eines Datenschutzmanagementsystems und die Etablierung und Bekanntgabe eines Datenschutz- und Informationssicherheitsteams unter Einbindung der Geschäftsführung gelegt werden.

Autor: JW