BLOG -


Datenschutzaufsichtsbehörden erarbeiten Konzept zur Bußgeldbemessung bei Verstößen gegen die DSGVO

Ein Beschluss der Datenschutzkonferenz (DSK) vom 25. Juni 2019 und eine Pressemitteilung vom 17. September 2019 belegen, dass in Zukunft mit deutlich höheren Geldbußen bei Datenschutzverstößen zu rechnen ist. Grundlage der Bußgeldbemessung wird ein neues und komplexes Konzept mit vielfachen Berechnungen, das maßgeblich auf den Umsatz des betroffenen Unternehmens abstellt. Die Ausgestaltung ist an Kartellbußgelder angelehnt.

1. Die Verhängung von Geldbußen nach der DSGVO

Die Verhängung von Geldbußen bei Verstößen gegen die Vorgaben der DSGVO richtet sich nach Art. 83 DSGVO. Danach sollen die zu verhängenden Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein.

Je nach den konkreten Umständen des Einzelfalls werden sie neben oder anstelle von Maßnahmen nach Art. 58 Abs. 2 DSGVO verhängt (Art. 83 Abs. 2 Satz 1 DSGVO). Art. 83 Abs. 2 Satz 2 DSGVO sieht für die Bemessung der Bußgeldhöhe eine Vielzahl von Kriterien vor. Die Höhe der Geldbuße kann bis zu EUR 20 Mio. und bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes der Unternehmensgruppe im vorangegangenen Geschäftsjahr betragen, wenn dieser Betrag höher ist (vgl. Art. 83 Abs. 4 bis 6 DSGVO).

2. Neues Konzept zur Bußgeldbemessung des Arbeitskreises Sanktionen der DSK

Für die konkrete Bußgeldbemessung innerhalb des von der DSGVO definierten Bußgeldrahmens wurde bereits in der 2. Zwischenkonferenz 2019 am 25. Juni 2019 in Mainz durch die Berliner Behörde als Vorsitzende des Arbeitskreises Sanktionen der DSK (AK Sanktionen) ein „Konzept zur Bußgeldzumessung bei Verstößen gegen die DSGVO“ vorgestellt und erörtert. Der Entwurf des Konzepts gewährleiste dem Sitzungsprotokoll zufolge „eine systematische, transparente und nachvollziehbare Bußgeldbemessung“ bei Verstößen gegen die DSGVO. Aus diesem Grund sei das Konzept auch bei der Taskforce Finings des Europäischen Datenschutzausschusses (EDSA), der es bereits vorgestellt wurde, „auf Interesse gestoßen“.

Nach verschiedenen Medienberichten hat die DSK am 17. September 2019 mitgeteilt, dass das Konzept noch nicht verabschiedet sei.

Die Formulierungen im Protokoll zu der 2. Zwischenkonferenz 2019 deuten darauf hin, dass das Konzept zumindest teilweise bereits Anwendung findet. Denn der AK Sanktionen wurde damit beauftragt, „das Konzept unter Einbeziehung der damit gemachten praktischen Erfahrungen der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder weiterzuentwickeln“. Soweit die Pressemitteilung vom 17. September 2019 ausführt, dass „die konkreten Entscheidungen in laufenden Bußgeldverfahren […] auf der Grundlage des Art. 83 DSGVO getroffen“ werden, schließt das eine Anwendung des Konzepts nicht aus. Anders wäre dies nur, wenn die DSK davon ausgeht, dass sich das Konzept nicht in den Grenzen des Art. 83 DSGVO bewegt; dann wäre es allerdings rechtswidrig.

Auf der Konferenz der DSK am 6. und 7. November 2019 soll das Konzept weiter beraten und über eine Veröffentlichung entschieden werden.

3. Die Bußgeldbemessung nach dem neuen Konzept

Das neue Konzept ist damit derzeit offiziell noch „Verschlusssache“. Nach allem, was man bisher hört, folge die Bußgeldbemessung einer komplexen Berechnung über verschiedene Stufen. Für die betroffenen Unternehmen könne sie zu sehr hohen Geldbußen führen und deshalb massive Auswirkungen haben.

Ausgangspunkt der Berechnung sei der weltweite Umsatz des betroffenen Unternehmens. Dabei würden die Datenschutzaufsichtsbehörden wohl nicht auf den Umsatz der einzelnen juristischen Person abstellen, sondern auf die Unternehmensgruppe.

Aus dem Umsatz werde zunächst ein Tagessatz errechnet und darüber unter Berücksichtigung des von der Behörde ermittelten Schweregrades des Verstoßes ein Bußgeldrahmen und Mittelwert berechnet.

Unter Berücksichtigung verschiedener Bewertungskriterien, wie z. B. die Dauer des Verstoßes oder die Anzahl der betroffenen Personen, werde sodann die Geldbuße innerhalb des ermittelten Bußgeldrahmens konkretisiert, in dem die Kriterien eine rechnerische Wertung erfahren.

Bei Berücksichtigung der Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO könne es anschließend zu Erhöhungen der konkreten Geldbuße von bis zu 300 Prozent, aber auch zu Senkungen von bis zu 25 Prozent kommen.

Abschließend werde unter anderem geprüft, ob sich die ermittelte Geldbuße noch im Bußgeldrahmen der DSGVO bewegt oder ob Korrekturen notwendig sind. Dabei solle es auch zu einer abschließenden Verhältnismäßigkeitsprüfung kommen.

4. Folgerungen für die Praxis

Aufgrund des Konzepts ist in Zukunft mit deutlich höheren Geldbußen als bisher zu rechnen. In dieses Bild passt auch die „Kampfansage“ der Berliner Beauftragten für Datenschutz und Informationsfreiheit, die in naher Zukunft eine Geldbuße in Millionenhöhe verhängen will (siehe Artikel der Süddeutsche Zeitung). Derartig hohe Bußgelder könnten für große und wirtschaftlich erfolgreiche Unternehmen in Zukunft eher die Regel als die Ausnahme sein, wenn Ausgangspunkt der Bußgeldbemessung stets der Unternehmensumsatz ist.

Top-Geldbußen nach DSGVO

  • EUR 50 Mio. durch die französische Aufsichtsbehörde gegen einen führenden Internetkonzern wegen Verstößen gegen die Transparenz in Bezug auf die Datenverarbeitung für personalisierte Werbung und Nutzung einer unwirksamen Einwilligungserklärung der Nutzer als rechtliche Grundlage.
  • EUR 1 Mio. durch die italienische Aufsichtsbehörde gegen ein führendes soziales Netzwerk wegen nichtautorisierter Datenübermittlung an ein Datenanalyse-Unternehmen.
  • In Deutschland hat die Berliner Aufsichtsbehörde eine Geldbuße in Höhe von EUR 195.407 gegen einen Lieferdienst verhängt, da dieser unter anderem in zehn Fällen die Nutzeraccounts früherer Kunden nicht gelöscht habe. Zudem sei es gegenüber acht ehemaligen Kunden zu ungewollter E-Mail-Werbung gekommen, wobei ein Nutzer, der einer Datennutzung widersprochen hat, 15 Werbe-E-Mails erhalten habe. Aufgrund der angezeigten Verstöße geht die Aufsichtsbehörde davon aus, dass auf Seiten des Lieferdienstes strukturelle bzw. organisatorische Probleme bestehen. Zudem seien nicht die erforderlichen Maßnahmen von Seiten des Lieferdienstes getroffen worden, um Verstöße gegen die DSGVO zu verhindern.
  • Die britische Aufsichtsbehörde hat angekündigt, Geldbußen in Höhe von GBP 183,39 Mio. gegen eine Fluggesellschaft bzw. GBP 99 Mio. gegen eine Hotelkette verhängen zu wollen. Der Fluggesellschaft wird vorgeworfen, die eigenen Webseiten, inkl. derjenigen zur Eingabe von Zahlungsinformationen, nicht ausreichend abgesichert zu haben. Die Hotelkette soll ihre Reservierungsdatenbank, inkl. der Zahlungsinformationen der Kunden, nicht ausreichend gesichert haben.

Gerichte sind an das Konzept zur Bußgeldbemessung jedoch nicht gebunden. Sie können in freier Verantwortung eine Bußgeldbemessung nach den gesetzlichen Regelungen vornehmen, was sich jedoch nicht immer zum Vorteil des mit einer Geldbuße belasteten Unternehmens auswirken kann, wie eine Entscheidung des OLG Düsseldorf zum Kartellrecht zeigt (OLG Düsseldorf, Urteil vom 28.02.2018 – V-4 Kart 3/17 OWi; das Urteil wurde jedoch durch den BGH aufgehoben, da es verspätet zu den Akten gebracht wurde, siehe BGH, Beschluss vom 09.07.2019 – KRB 37/19).

Diese Entwicklungen zeigen einmal mehr die Notwenigkeit wirksamer und angemessener sowie gut dokumentierter datenschutzrechtlicher Compliance-Maßnahmen. Diese wirken nicht nur im behördlichen Verfahren, sondern gerade auch in einer nachfolgenden gerichtlichen Auseinandersetzung als hocheffektives Verteidigungsmittel gegen fehlerhaft bemessene Geldbußen. Nur wirksame und angemessene Compliance-Maßnahmen können zum einen das Risiko von Verstößen gegen die Vorgaben der DSGVO wirksam minimieren, zum anderen als Minderungsgrund im Rahmen der Bußgeldbemessung wirken, wenn es trotz ergriffener Maßnahmen zu einem Verstoß kommen sollte. Compliance-Maßnahmen können sogar ein Indiz gegen Vorsatz und Fahrlässigkeit darstellen (vgl. Handel, DStR 2017, 1945 f.). Mindernd zu berücksichtigen sind aber auch Aktivitäten im Compliance-Bereich, die erst nach einem Verstoß und während des laufenden Bußgeldverfahrens ergriffen werden (vgl. BGH, Urteil vom 09.05.2017 – 1 StR 265/16, Rn. 118, abrufbar hier)

Auf einen Blick

  • Nach einem neuen Konzept der Datenschutzbehörden soll es bei der Bußgeldbemessung maßgeblich auf den Umsatz des betroffenen Unternehmens ankommen.
  • Das Konzept orientiert sich an der Bußgeldbemessung bei Kartellverstößen.
  • Vor allem Großunternehmen wird dies spürbar treffen - auch bei leichten Verstößen.
  • Geldbußen in Millionenhöhe sind zu erwarten.
  • Bisherige Geldbußen gehen auf sehr unterschiedliche Verstöße zurück: Unzureichende technische oder organisatorische Vorkehrungen führten ebenso zu Geldbußen wie eine unzureichende rechtliche Absicherung von Datenflüssen.
  • Datenschutzbehörden vertreten die Meinung, dass grds. jeder DSGVO-Verstoß mit einer Geldbuße zu ahnden sei.
  • Wichtig ist daher auch der Fokus auf effektive Verteidigungsmöglichkeiten gegen behördliche Bußgeldbescheide. Eine zentrale Rolle spielt eine wirksame Compliance-Organisation.

Wenn Sie Fragen zu dem Thema haben, wenden Sie sich gerne an Jörg Bielefeld, Timo Handel, Susanne Klein und Dr. Andreas Lober.

TAGS

Datenschutz DSGVO Datenschutzrecht Datenschutzbeauftragter Datenschutzbehörden Bußgeld

Kontakt

Susanne Klein T   +49 69 756095-585 E   Susanne.Klein@advant-beiten.com
Dr. Andreas Lober T   +49 69 756095-582 E   Andreas.Lober@advant-beiten.com