Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht

Am 14.10.2019 hat die Datenschutzkonferenz (DSK) ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht. Das 8 Seiten starke Konzept basiert auf den Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679 der Artikel-29-Datenschutzgruppe vom 03.10.2017, welches auch durch den Europäischen Datenschutzausschuss (EDSA) bestätigt wurde und enthält weitere Konkretisierungen. Für die Bemessung von Geldbußen gegen Vereine oder natürliche Personen sowie hinsichtlich der Festlegung von Geldbußen durch Gerichte findet das Konzept keine Anwendung. Gleiches gilt für grenzüberschreitende Fälle sowie für Bußgeldverfahren anderer Datenschutzaufsichtsbehörden der EU.


Hintergrund und Ziel des Konzepts
Ziel des Konzepts sei es, den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen und dabei den Anforderungen des Art. 83 DS-GVO, der vorsieht, dass die Verhängung von Geldbußen für Verstöße gegen die EU-Datenschutzgrundverordnung (DS-GVO) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein soll, gerecht zu werden.

Dieses Konzept kann als erster Schritt zu einer einheitlichen Bemessung von Bußgeldern für Datenschutzverstöße innerhalb der EU angesehen werden. Art. 70 Abs. 1 lit. k der Datenschutz-Grundverordnung sieht vor, dass eine Harmonisierung der Festsetzung von Geldbußen durch Leitlinien zu fördern ist. Es ist vornehmlich Aufgabe des der Europäischen Datenschutzausschuss, hier finale Leitlinien zu erstellen. Solange diese nicht vorliegen soll das Konzept der DSK die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden liefern und dabei garantieren, dass eine nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung erfolgt.


Die Bußgeldbemessung nach dem DSK-Konzept
Das Konzept der DSK sieht vor, die Bußgeld-Bemessung in fünf Schritten durchzuführen:
1.    Zuordnung des Unternehmen in eine bestimmte Größenklasse
2.    Bestimmung des mittleren Jahresumsatzes der jeweiligen Größenklasse-Untergruppe
3.    Ermittlung des wirtschaftlichen Grundwertes
4.    Multiplikation des Grundwertes wird mit einem von der Schwere der Tat abhängigen Faktor
5.    Anpassung des Wertes anhand täterbezogener und sonstiger, noch nicht berücksichtigter Umstände.

Im ersten Schritt erfolgt daher nach dem Konzept die Einordnung in 4 Größenklassen (A-D), die wiederum Unterklassen ((A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII) haben. Die Größeneinordnung  orientiert sich dabei hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG).
Für die Festsetzung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz, errechnet.
Danach erfolgt anhand der konkreten tatbezogenen Umstände des Einzelfalls (vgl. Art. 83 Abs. 2 Satz 2 DS-GVO) eine Einordnung des Schweregrades der Tat in leicht, mittel, schwer oder sehr schwer.
Letztlich wird der errechnete Grundwert anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese im 4. Schritt noch nicht berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DS- GVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Das Konzept ist hier als PDF downloadbar.

 

Bisherige Bußgelder in Deutschland
Die Landesdatenschutzbehörden verhängten seit Inkrafttreten der EU-Datenschutzgrundverordnung bisher mindestens 75 Bußgelder (Stand Mai 2019). Bis Ende Januar 2019 waren es noch 41 Bußgeldbescheide verteilt auf fünf Bundesländer, eine Vielzahl von weiteren Bußgeldverfahren lief dann aber bereits. Mit der „Zurückhaltung“ der Datenschutzaufsicht in der Übergangszeit nach Geltung der DS-GVO, wie sie etwa in Bayern und in Brandenburg praktiziert wurde, ist es also vorbei.

Gründe für die verhängten Bußgelder waren etwa erhebliche technisch-organisatorische Mängel sowie unzureichende interne Kontrollmechanismen von Datenverarbeitungsprozessen. Strafen in Millionenhöhe blieben aber bislang aus, die verhängten Bußgelder reichten bisher von 20.000 € über 50.000 € (Verstoß im Zusammenhang mit der Verarbeitung von Bankdaten) bis zu 80.000 € bei Verstößen im Zusammenhang mit der Verarbeitung von Gesundheitsdaten. Den Spitzenwert stellt derzeit das im August 2019 gegen Delivery Hero verhängte Bußgeld in Höhe von rund 200.000 € (überwiegend wegen Verstoßes gegen die Betroffenenrechte) dar.
Das sah im europäischen Ausland schon anders aus. Google erhielt Ende Januar 2019 in Frankreich ein Bußgeld i.H.v. 50 Millionen € für wesentliche und dauerhafte Datenschutzverletzungen wie etwa intransparente Datenschutzhinweise, Datenverarbeitung ohne Rechtsgrundlage sowie eine unwirksame Zustimmung für Tracking (Cookies). Für Facebook fiel das Bußgeld der irischen Datenschutzbehörden im Oktober 2018 mit 1,4 Milliarden € (in Aussicht gestellt) noch deutlich höher aus - die Gründe: der Umgang von Facebook mit Hackerangriff auf Konten von 50 Mio. Nutzern, kein ausreichender Schutz der Daten vorhanden. In Portugal letztlich verhängte die nationale Datenschutzbehörde CNPD im Oktober 2018 gegen das Krankenhaus Barreiro Montijo in Barreiro bei Lissabon ein Bußgeld i.H.v. 400.000 €, da dort viel zu viele Personen Zugriff auf Patientendaten hatten.  


Fazit
Es bleibt abzuwarten, welche Auswirkungen das nun vorliegende Bußgeld-Konzept auf die Festsetzung von Bußgeldern in Deutschland haben wird. Es steht allerdings durchaus zu befürchten, dass es zu einer deutlichen Anhebung der wegen Verstößen gegen die DSGVO gegen Unternehmen verhängten Bußgelder kommen wird.
Zudem dürfte gerade dass Ziel der DSK, eine faire Bußgeldpraxis zu entwickeln, verfehlt werden, da vor allem Unternehmen mit großem Umsatz gemäß der Systematik der Einordnung überproportional betroffen wären und damit im Ergebnis für gleiche Verstöße völlig unterschiedliche Bußgeld-Bemessungen  vorgenommen werden dürften.


Handlungsempfehlung
Unternehmen kann zur Vermeidung von Bußgeldern daher nur geraten werden, ihre  Datenverarbeitungsprozesse genau zu erfassen, sie einer Risikoanalyse zu unterziehen sowie Verantwortlichkeiten für die Verarbeitungsprozesse zu definieren. Idealerweise erfolgt dies im Zusammenhang mit der Einführung eines Datenschutzmanagement-Systems im Unternehmen.

 

Lesen Sie zu diesem Thema auch unseren Beitrag "Bußgeld bei Datenschutz - Verstößen" vom 16.12.2014 zur Bußgedbemessung nach altem Recht (BDSG).