Bußgeldberechnung

Die Datenschutzkonferenz (DSK), also der Zusammenschluss der Datenschutz-Aufsichtsbehörden, hat die Berechnung von Bußgeldern für Datenschutzverstöße vereinheitlicht und stellte im Oktober 2019 ein Bußgeldkonzept vor.

Die DSK will eine

nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldzumessung erreichen.

Aus der Pressemitteilung (siehe unten)

Wie werden Bußgelder für Datenschutzverstöße berechnet?

Grundlage ist einerseits der Umsatz des Unternehmens, andererseits die Schwere des Verstoßes, außerdem die Frage nach Vorsatz/Fahrlässigkeit, der Grad der Verantwortung, etwaige frühere Verstöße u.a. (alle aufgelistet in Artikel 83, Abs 2 DSGVO)

Im Detail

Vor diesem Hintergrund wird das Bußgeld in Verfahren gegen Unternehmen in fünf Schritten bemessen:

  • „Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.),
  • danach wird der mittlere Jahresumsatz derjeweiligen Untergruppe der Größenklasse bestimmt(2.),
  • dann ein wirtschaftlicher Grundwert ermittelt (3.),
  • dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.)und
  • abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).“

(Aus dem Konzept der DSK vom 14.10.2019)

Dabei soll das Unternehmen zwar spürbar bestraft werden, aber auch nicht wegen eines Datenschutzverstoßes in die Insolvenz abrutschen.

Die DSK formuliert es so:

Der unter 4. errechnete Betrag wird anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht unter 4. berücksichtigt wurden. Hierzu zählen insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DS-GVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

(aus dem Konzept… s.o.)

Kann man Strafen vorab einkalkulieren?

Eine centgenaue Berechnung von Bußgeldern ist trotz dieser detaillierten Informationen nicht möglich, weil hinsichtich der Bewertung einzelner Kriterien ein Ermessensspielraum besteht. Es lassen sich im Laufe der Zeit von erfahrenen und gut informierten Fachleuten höchstens Ober- und Untergrenzen grob abschätzen.

Was ist, wenn mehrere Verstöße vorliegen?

Gesamtstrafen im Sinne eines „Mengenrabatts“ sind nicht vorgesehen. Jeder Verstoß wird für sich behandelt und das Bußgeld festgelegt. Diese Frage ist allerdings noch nicht höchstrichterlich geklärt. Das bedeutet: Kann sich irgendwann noch ändern.

Wo gilt das Bußgeldmodell?

Es gilt verbindlich für deutsche Aufsichtsbehörden. Deutsche Gerichte und EU-Behörden sind daran nicht gebunden. Allerdings sind die EU-Behörden bestrebt, einheitlich vorzugehen und stimmen sich ab. Der Europäische Datenschutzausschuss (wo sich die Datenschutzbehörden der EU abstimmen) kann das deutsche Konzept in der Zukunft noch verbindlich für alle EU-Mitgliedsstaaten übernehmen.

Welche Folgen lassen sich für Unternehmen absehen?

Schwachstellen im Datenschutz lassen sich nun berechnen. Anders formuliert: Wer im Datenschutz untätig ist, kann absehen, in welcher Höhe Risiken bestehen und ggfs. Rücklagen bilden.

Große Unternehmen müssten dann nach dem Wertpapierhandelsrecht ihre Anleger über ein bestehendes Risiko informieren.

Ausdrückliches Ziel der Datenschutzgesetze ist es jedoch, dass Datenschutz billiger sein soll als mögliche Bußgelder. So gesehen ist jede Investition in wirkungsvolle Datenschutzmaßnahmen ein guter Schutz gegen das Risiko, hohe Bußgelder zahlen zu müssen.

Wenn’s passiert ist: Gibt es Rechtmittel gegen Bußgeldbescheide der Daten­schutz­behörden?

Ja. Betroffene Firmen können sich wehren. Die Bewertung der Gerichte kann anders ausfallen als die der Behörden.

Vorteilhafter dürfte es für die betroffene Firma jedoch sein, zu kooperieren und beanstandete Misstände zu beheben – denn das muss trotz Zahlung eines Bußgeldes sowieso geschehen.

Was ist jetzt zu tun?

Allererste Unternehmenspflicht ist es, Lücken im Datenschutz zu schließen, und zwar zügig und vollständig. Dazu gehört es auch, Not- und Ablaufpläne für Datenpannen aufzustellen. Datenpannen können Unternehmen jeder Größe treffen.

Links

Pressemitteilung: Konzept der Datenschutzkonferenz zur Zumessung von Geldbußen

Artikel der Rechtsanwälte Latham & Watkins/Latham Germany „zum neuen Bußgeldmodell“

Schema der Bußgeldberechnung

Ergänzung 6.11.2019:
Deutsche Wohnen soll 14,5 Mio Bußgeld zahlen

Bußgeldberechnung