Die Datenschutz-Grundverordnung (DSGVO) hatte vor In-Krafttreten insbesondere wegen Ihres enormen Strafrahmens von 20 Mio. € bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes für Furore gesorgt. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 14.10.2019 ein nationales Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen veröffentlicht.

Kontrollen zur Umsetzung der DSGVO verliefen bislang zurückhaltend und damit auch die Verhängung von Sanktionen und Bußgeldern. Durch die Entwicklung des Konzepts der DSK ist anzunehmen, dass sich dies in Zukunft ändern wird. 

Der vorliegende Beitrag soll das Konzept erläutern und zeigen, wie ein mögliches Bußgeld berechnet werden kann.

Verfahren im Überblick

Das Verfahren erfolgt in 5 Schritten:

  1. Ein betroffenes Unternehmen wird entsprechend seines Vorjahresumsatzes kategorisiert.
  2. Der mittlere Jahresumsatz von Unternehmen in der entsprechenden Kategorie wird bestimmt.
  3. Hieraus wird ein wirtschaftlicher Grundwert (Tagessatz) ermittelt.
  4. Dieser Grundwert wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert.
  5. Anschließend wird der unter 4. ermittelte Wert anhand täterbezogener und sonstiger Umstände angepasst.

1. Kategorisierung des Unternehmens

Das betroffene Unternehmen wird anhand des gesamten weltweit erzielten Vorjahresumsatzes einer von vier Größenklassen zugeordnet. Diese unterteilen sich in

  • Kleinstunternehmen,
  • kleine Unternehmen,
  • mittlere Unternehmen sowie
  • Großunternehmen.

Die Jahresumsatzgrenzen der Größenklassen betragen für

  • Kleinstunternehmen max. 2 Mio. €,
  • Kleine Unternehmen 2 – 10 Mio. €,
  • Mittlere Unternehmen 10 – 50 Mio. € und
  • Großunternehmen über 50 Mio. €

Diese Kategorien werden nochmals in weitere Untergruppen eingeteilt. 

Beispielsweise unterteilt sich die Kategorie Kleinstunternehmen in 3 Untergruppen (A.I – A.III) mit folgenden Grenzen:

  • A.I: Unternehmen mit einem Jahresumsatz bis 700.000 €,
  • A.II: Unternehmen mit einem Jahresumsatz über 700.000 – 1,4 Mio. €,
  • A.III: Unternehmen mit einem Jahresumsatz über 1,4 – 2 Mio. €

2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe

Nun wird der mittlere Jahresumsatz der jeweiligen Untergruppe, in die das Unternehmen eingeordnet wurde, bestimmt. 

Dieser beträgt bspw. in der Kategorie A.II 1.050.000 €.

(1.050.000 € ist der Mittelwert von 700.000 € und 1,4 Mio €)

3. Ermittlung des wirtschaftlichen Grundwertes

Der unter 2. bestimmte mittlere Jahresumsatz wird durch 360 (Tage) geteilt und auf die Vorkommastelle gerundet. Hierdurch wird der sog. wirtschaftliche Grundwert ermittelt.

Beispiel: Für Unternehmen der Gruppe A.II beträgt der wirtschaftliche Grundwert 2.917 €

(1.050.000 € : 360 = 2.916,66 €)

4. Multiplikation des Grundwertes nach Schweregrad der Tat

Der wirtschaftliche Grundwert wird mit einem Faktor multipliziert. Dieser Faktor bestimmt sich gem. Art. 83 Abs. 2 DSGVO am Schweregrad des Tatvorwurfs (leicht, mittel, schwer, sehr schwer) und den jeweiligen Umständen des Falles.

Diese sind bspw.

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens,
  • jegliche von dem Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen,
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

Dadurch zeigt sich, dass Unternehmen, die entsprechende technische und organisatorische Maßnahmen in ihrem Unternehmen umsetzen und Datenpannen transparent behandeln, im Falle eines Verstoßes besser gestellt sind, als solche, die keine Maßnahmen zur Umsetzung getroffen haben und keine oder eine nur unzureichende Meldung einer Datenpanne bei den Aufsichtsbehörden abgesetzt haben.

Ferner wird zwischen formellen Verstößen (Art. 83 Abs. 4 DSGVO) und materiellen Verstößen (Art. 83 Abs. 5, 6 DSGVO) bei der Bestimmung des Faktors unterschieden.

Ein formeller Verstoß wäre bspw. ein fehlender Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO oder ein fehlendes Verzeichnis von Verarbeitungstätigkeiten Art. 30 DSGVO.

Ein materieller Verstoß besteht bei Verstößen gegen die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung oder die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22 DSGVO. Hierunter fällt beispielsweise die Pflicht den Betroffenen bei Erhebung personenbezogener Daten zu informieren (Stichwort: (fehlende) Datenschutzerklärung).

Die jeweiligen Faktoren mit denen der Grundwert multipliziert wird, hat die DSK wie folgt festgesetzt:

Schweregrad der TatFaktor für formelle VerstößeFaktor für materielle Verstöße
Leicht1 -21 – 4
Mittel2 – 4
4 – 8
Schwer4 – 68 – 12
Sehr Schwer6 <12 <

5. Anpassung anhand aller sonstigen Umstände

Der zuvor berechnete Wert wird anschließend um alle für und gegen den Betroffenen sprechenden Umstände angepasst. Hierzu zählen insbesondere sämtliche täterbezogene Umstände sowie sonstige Umstände, wie z. B. eine lange Verfahrensdauer oder eine durch die Geldbuße drohende Zahlungsunfähigkeit des Unternehmens.

6. Schon leichte Verstöße können mehrere tausend Euro betragen

Aus dem Konzept folgt, dass bereits leichte Verstöße gegen die DSGVO beträchtliche Bußgelder zur Folge haben können.

Beispiel:

Ein Unternehmen mit einem Vorjahresumsatz von 550.000 € unterfällt der Gruppe A.I.

Der wirtschaftliche Grundwert der Gruppe A.I beträgt 972 €.

Führt ein solches Unternehmen beispielsweise kein Verarbeitungsverzeichnis nach Art. 30 DSGVO, dürfte dies mindestens einen leichten-mittleren Verstoß gegen die formellen Pflichten der DSGVO darstellen. Multipliziert man den wirtschaftlichen Grundwert mit dem Faktor 2 besteht bereits ein Bußgeld von 1.944 €.

7. Ausblick und Fazit

Kontrollen zur Umsetzung der DSGVO verliefen bislang zurückhaltend und damit auch die Verhängung von Sanktionen und Bußgeldern. Durch die Entwicklung des Konzepts der DSK ist anzunehmen, dass sich dies in Zukunft ändern wird und die Aufsichtsbehörden verstärkt tätig werden. Unternehmen, die bislang keine Maßnahmen zur Umsetzung der DSGVO unternommen haben, sollten dies daher unbedingt nachholen, wenn Sie keine Bußgelder riskieren wollen.

Die DSK stellt zudem in ihrem Konzept klar, dass dieses nur gegenüber Unternehmen gilt. Es findet keine Anwendung bei Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. 

Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte. Damit bleibt abzuwarten, ob die Gerichte das vorgelegte Konzept übernehmen oder eigene Maßstäbe bei der Bemessung von Bußgeldern (im Einzelfall) anwenden werden.

Des Weiteren teilt die DSK leider nicht mit, in welchen Fällen man von einem leichten und schweren Verstoß spricht, weshalb auch hier die Einteilung von Verstößen durch die Aufsichtsbehörden abzuwarten bleibt. 

Sollten Sie Fragen zur DSGVO oder deren Umsetzung in Ihrem Unternehmen haben, stehe ich Ihnen gerne zur Verfügung.

Mit freundlichen Grüßen

Michael Krämer