Bußgeld­zumessung: DSK-Konzept nach DSGVO veröffentlicht

Im Oktober 2019 hat die deutsche Datenschutzkonferenz (DSK) ihr Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht, an dem sich die deutschen Datenschutzbehörden bei der Festlegung ihrer Bußgeldhöhe orientieren sollen. Für Gerichte entfaltet es hingegen keine Wirkung. Sobald der Europäische Datenschutzausschuss (edpb) eigene konkrete Leitlinien zur Festsetzung von Bußgeldern erlassen hat, verliert das Konzept der DSK jedoch in Deutschland seine Gültigkeit. Wir wollen das Konzept kurz vorstellen und eine Einschätzung abgeben.

Vorstellung des Konzepts zur Bußgeldzumessung

Die Bußgeldzumessung erfolgt nach dem Konzept der DSK in fünf Schritten:

1.     Zuordnung des Unternehmens zu einer Größenklasse und Untergruppe

2.     Bestimmung des mittleren Jahresumsatzes der Untergruppe (Mittelwert der Jahresumsatzspanne)

3.     Ermittlung des wirtschaftlichen Grundwerts, Tagessatz (Mittlerer Jahresumsatz geteilt durch 360)

4.     Multiplikation dieses Werts mit einem Faktor der Tatschwere

5.     Anpassung des erhaltenen Wertes anhand sonstiger Umstände des Einzelfalls

Von der DSK werden vier Größen von Unternehmen abhängig vom Vorjahres-Jahresumsatz definiert: Kleinstunternehmen bis 2 Mio. Euro (A), kleine Unternehmen ab 2 bis 10 Mio. Euro (B), mittlere Unternehmen ab 10 bis 50 Mio. Euro (C) sowie Großunternehmen ab 50 Mio. Euro (D). Innerhalb dieser Größenklassen gibt es dann zwischen 3 und 7 Abstufungen, durch welche die Spannen des Jahresumsatzes weiter unterteilt werden. Im zweiten Schritt wird dann der Mittelwert der Spanne des Jahresumsatzes der betreffenden Untergruppe gebildet. Danach wird dieser Mittelwert durch 360 geteilt, um den wirtschaftlichen Grundwert (Tagessatz) zu ermitteln (siehe Tabelle):

DSK Bußgelder von KMU - Großunternehmen

Dieser Tagessatz bildet den Ausgangspunkt für die weitere Berechnung des Bußgeldes. Er wird anhand des Schweregrads der Tat (leicht, mittel, schwer, sehr schwer) und der Art des Verstoßes (formell, materiell) mit einem Faktor multipliziert (siehe Tabelle):

DSK-Bußgelder und der Aufteilung nach Schweregrad und Faktoren für Verstöße auf Basis der DS-GVO

Durch letztere Rechnung können die Bußgelder erheblich höher werden. Der Schweregrad der Tat und die Art des Verstoßes haben also einen entscheidenden Einfluss auf die Höhe des Bußgeldes (siehe Diagramm):

DSK-Konzept: Bußgeld-Tagessatz für KMU abhängig vom Schweregrad bei materiellen Verstößen

Zuletzt wird der resultierende Wert des Bußgeldes nach Multiplikation mit dem Faktor noch anhand der für oder gegen das Unternehmen sprechenden konkreten Umstände des Einzelfalls angepasst.


Einschätzung des DSK-Konzepts

Das Konzept der DSK zur Bußgeldzumessung gibt einen Einblick, wie die Bußgelder der Aufsichtsbehörden zustande kommen und welche Beträge auch jenseits der in der DSGVO genannten konkreten Grenzen von 10 bis 20 Mio. Euro erreicht werden können. Bis einschließlich der Ermittlung des Tagessatzes ist die Zumessung objektiv gut nachvollziehbar. Sobald der Faktor der Tatschwere hinzukommt, kann sich dieser Tagessatz aber schnell vervielfachen.

Während die Einordnung nach der Art des Verstoßes noch objektiv ist, liegt es im Ermessen der Aufsichtsbehörde, eine Einordnung des Schweregrads der Tat nach leicht, mittel, schwer und sehr schwer vorzunehmen. Die Kriterien gem. Art. 83 DSGVO sind hierzu zudem nur bedingt trennscharf und eindeutig. In Bezug auf die individuelle Zumessung wird die Berechnung des Bußgeldes undurchsichtiger und dadurch auch schlecht nachvollziehbar.

Immerhin aber bekommt man durch die Veröffentlichung des Konzeptes einen groben Überblick, auf welcher Ausgangsbasis das Bußgeld beruht. Unternehmen können sich jetzt zumindest im groben Rahmen auf mögliche Bußgelder einstellen, wobei es natürlich besser wäre, wenn es erst gar nicht zu solchen kommt. Für die Gegenüberstellung mit notwendigen Implementierungskosten, z. B. im Bereich IT-Sicherheit, kann die Kalkulation dieser Bußgeldrisiken jedoch absolut legitim sein. 

Es ist jedenfalls wichtig, schon frühzeitig die datenschutzrechtlichen Vorgaben zu beachten, Maßnahmen zu identifizieren und umzusetzen, um mögliche Bußgelder gering zu halten, und diese ggf. in einem Datenschutz-Managementsystem zu bündeln. Wir beraten Sie gerne bei der Umsetzung eines solchen Systems und unterstützen Sie auch bei Datenschutzvorfällen oder im Falle angedrohter oder verhängter Bußgelder der Aufsichtsbehörden

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.