Am 16. Oktober 2019 hat die Datenschutzkonferenz (das gemeinsame Organ der Datenschutzaufsichtsbehörden in Deutschland) ein Konzept zur Bemessung von Bußgeldern wegen Verletzungen der EU Datenschutz-Grundverordnung (DSGVO) veröffentlicht. Bei einer strikten Anwendung dieses neuen Modells droht künftig in Deutschland ein enormer Anstieg der Bußgeldhöhen.

Berechnung des Tagessatzes

Das nun veröffentlichte Bußgeldbemessungskonzept erfolgt in fünf Schritten. Dabei wird in den ersten beiden Schritten das Unternehmen zunächst kategorisiert und anschließend der mittlere Jahresumsatz der festgestellten Unternehmenskategorie bestimmt. Anschließend wird ein wirtschaftlicher Grundwert errechnet, indem dieser mittlere Jahresumsatz durch 360 geteilt wird. Auf diese Weise errechnen die Aufsichtsbehörden eine Art Tagessatz.

Beispiel: Ein Unternehmen mit einem Jahresumsatz zwischen € 100 Mio. und € 200 Mio. wird als Großunternehmen der Untergruppe III eingeteilt. Der mittlere Jahresumsatz der Unternehmen in dieser Gruppe beläuft sich auf € 150 Mio. Daraus errechnen die Aufsichtsbehörden anschließend einen Tagessatz in Höhe von € 416.667.

Multiplikation des Grundwerts im Einzelfall

Den errechneten Tagessatz nehmen die Aufsichtsbehörden als Grundwert und multiplizieren ihn je nach Schweregrad des Datenschutzverstoßes. Dieser wird anhand der Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO als leicht, mittel, schwer oder sehr schwer bewertet. Zusätzlich differenzieren die Aufsichtsbehörden zwischen formellen Verstößen nach Art. 83 Abs. 4 DSGVO und materiellen Verstößen nach Art. 83 Abs. 5 und 6 DSGVO. Je nach Schweregrad des Verstoßes wird der Tagessatz mit einem anderen Multiplikator erhöht. Bei leichten formellen Verstößen liegt dieser zwischen 1 und 2, bei schweren materiellen Verstößen hingegen bei 8 bis 12.

Beispiel: Dem im obigen Beispielfall dargestellte Unternehmen mit einem Tagessatz in Höhe von € 416.667 droht für einen schweren Verstoß (Kategorie 3 von 4) materieller Datenschutzbestimmungen ein Bußgeld zwischen € 3.333.336 und € 5.000.004.

Bestimmung des Schweregrades

In dem von der Datenschutzkonferenz veröffentlichten Konzept finden sich keine Hinweise darauf, welche Faktoren bei der Bemessung des Schweregrades eine Rolle spielen und wie diese gewichtet werden.

Aus uns vorliegenden ersten Bescheiden der Aufsichtsbehörden auf Grundlage des Modells wird jedoch ersichtlich, dass die Aufsichtsbehörden hier mit einem festgelegten Modell arbeiten. Neben der Dauer des Verstoßes, der Art der Verarbeitung, der Zahl der betroffenen Personen und dem Ausmaß des erlittenen Schadens spielen dabei insbesondere die folgenden Faktoren eine Rolle:

• Verschuldensgrad (unterteilt in geringe Fahrlässigkeit, normale Fahrlässigkeit, direkter Vorsatz und Absicht)
   
• Maßnahmen zur Schadensminderung (unterteilt in: Maßnahmen haben Schäden ausgeschlossen, adäquate Maßnahmen und nicht ausreichende Maßnahmen)
   
• Grad der Verantwortung in Bezug auf die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten
   
• Einschlägige frühere Verstöße
   
• Zusammenarbeit mit der Aufsichtsbehörde
   
• Betroffene Kategorien personenbezogener Daten
   
• Bekanntwerden des Verstoßes (es wird als positiv für den Verantwortlichen gewertet, wenn dieser den Verstoß selbst mitteilt; wenn die Aufsichtsbehörde erst durch eine Beschwerde von dem Verstoß erfährt, wertet sie das negativ für den Verantwortlichen)
   
• Einhaltung der angeordneten Maßnahmen
   
• Einhaltung von Verhaltensregeln und Zertifizierungsverfahren

Beispiel: Eine unrechtmäßige Videoüberwachung am Arbeitsplatz über einen längeren Zeitraum bedeutet regelmäßig einen „sehr schweren“ Datenschutzverstoß. Wenn das Unternehmen jedoch den Fehler selbstständig der Aufsichtsbehörde meldet, keine früheren gleichgelagerten Verstöße begangen hat und mit der Aufsichtsbehörde vorbildlich zusammenarbeitet und deren Maßnahmen umgehend umsetzt, kann der Verstoß gegebenenfalls auf die Kategorie „schwer“ gesenkt werden.

Abschließende Angemessenheitsprüfung

Nach der beschriebenen Bestimmung der Bußgeldhöhe prüfen die Aufsichtsbehörden das Bußgeld abschließend auf seine Angemessenheit. Dabei berücksichtigen die Behörden insbesondere auch täterbezogene Umstände sowie beispielsweise eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens. Bei einem sehr schweren Verstoß kürzen die Aufsichtsbehörden das Bußgeld in diesem Schritt zudem auf die in Art. 82 DSGVO festgelegten Höchstgrenzen von € 20 Mio. oder 4 % des Jahresumsatzes, je nachdem, was höher ist.

Fazit und Handlungsempfehlung

Falls die Aufsichtsbehörden das veröffentlichte Konzept zur Bußgeldberechnung konsequent anwenden, drohen Unternehmen künftig deutlich höhere Bußgelder für Datenschutzverstöße. Angesichts des zugrunde gelegten Tagessatzes werden Datenschutzbußgelder für größere Unternehmen künftig regelmäßig im sechs- bis siebenstelligen Bereich ausfallen. Es bleibt natürlich offen, ob derartig hohe Datenschutzbußgelder vor den Gerichten Bestand haben werden.

Im Fall eines Datenschutzverstoßes ist für Unternehmen entscheidend, dass sie durch ihre Reaktion den später festgestellten Schweregrad des Verstoßes stark beeinflussen können. So rechnen die Aufsichtsbehörden den Unternehmen eine selbstständige Meldung nach Art. 33 DSGVO genauso positiv an wie eine umfassende Zusammenarbeit mit der Aufsichtsbehörde und adäquate Maßnahmen zur Schadensminimierung. Mit einer schnellen und kompetenten Reaktion auf Datenschutzverstöße können Unternehmen somit viel Geld sparen. Unternehmen sollten daher bereits im Vorfeld klare Prozesse für mögliche Datenschutzverstöße festlegen und ihren Mitarbeitern gegenüber kommunizieren, um eine solche Reaktion sicherzustellen.

Nicht zuletzt gilt natürlich weiterhin: Der beste Schutz gegen drohende Datenschutzbußgelder ist eine möglichst umfassende Umsetzung der Anforderungen der DSGVO.