the factlights News
Konzept zur datenschutzrechtlichen Bußgeldbemessung der DSK
Die Datenschutzkonferenz (DSK), das Abstimmungsgremium der deutschen Datenschutzaufsichtsbehörden, hat am 14.10.2019 ein Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen veröffentlicht. Dieses Konzept soll zu einer einheitlichen Auslegung der Bestimmungen von Art. 83 DS-GVO durch die deutschen Aufsichtsbehörden führen und eine „nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldbemessung“ garantieren.
Das von der Datenschutzkonferenz (DSK) veröffentlichte Konzept zur Bußgeldbemessung soll zu einer einheitlichen Auslegung der Bestimmungen von Art. 83 DS-GVO durch die deutschen Aufsichtsbehörden führen und eine „nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldbemessung“ garantieren.
Das Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO). Es findet insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Zudem ist das Konzept ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Außerdem entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.
Die Bußgeldfestlegung richtet sich maßgeblich nach dem Umsatz eines Unternehmens.
Die Bußgeldzumessung in Verfahren gegen Unternehmen erfolgt in fünf Schritten:
Kategorisierung der Unternehmen nach Größenklassen
Im ersten Schritt wird das Unternehmen anhand seiner Größe einer von vier Größenklassen (A-D) zugeordnet.
Die Größenklassen richten sich hierbei nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen.
Hier wird der gesamte weltweit erzielte Jahresumsatz als Richtwert herangezogen.
Ein Kleinstunternehmen (Größenklasse A) wird bei einem Jahresumsatz bis 2 Mio. € angenommen, ein kleines Unternehmen (Größenklasse B) bei einem Jahresumsatz von über 2 Mio. € bis 10 Mio. €, ein mittleres Unternehmen (Größenklasse C) bei einem Jahresumsatz von über 10 bis 50 Mio. € und ein Großunternehmen (Größenklasse D) bei einem Jahresumsatz über 50 Mio. €.
Die Größenklassen werden zur konkreteren Einordnung hierauf nochmals in Untergruppen (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII) unterteilt.
Beispiel: Ein Unternehmen mit einem Jahresumsatz über 7,5 Mio. € bis 10 Mio. € wird der Untergruppe der Kleinunternehmen (B.III.) zugeordnet.
Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
Danach wird der mittlere Jahresumsatz der jeweiligen Größenklassenuntergruppe ermittelt. Jeder Unterklasse ist ein entsprechender mittlerer Jahresumsatz zugeordnet.
Beispiel: Ein Unternehmen der Untergruppe B.III. mit einem Jahresumsatz über 7,5 Mio. € bis 10 Mio. € hat somit einen mittleren Jahresumsatz von 8,75 Mio. €.
Ermittlung des wirtschaftlichen Grundwertes
Im dritten Schritt wird der wirtschaftliche Grundwert des Unternehmens ermittelt. Um diesen zu bestimmen, wird der mittlere Jahresumsatz der Untergruppe aus Schritt 2 durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.
Beispiel: Ein Unternehmen der Untergruppe B.III hätte demnach einen wirtschaftlichen Grundwert von 24.306 €.
Multiplikation des Grundwertes nach Schweregrad der Tat
Im vierten Schritt erfolgt anhand der konkreten tatbezogenen Umstände des
Einzelfalls nach Art. 83 Abs. 2 Satz 2 DS-GVO eine Einordnung des Schweregrads der Tat in folgende Kategorien:
- Leicht
- Mittel
- Schwer
- Sehr schwer
Dabei sind die materiellen Verstöße nach Art. 83 Abs. 5, 6 DSGVO schwerwiegender als die formellen Verstöße gemäß Art. 83 Abs. 4 DSGVO.
Gemäß einer von der DSK erstellten Tabelle unter Berücksichtigung der Umstände des Einzelfalls und dem Schweregrad des Tatvorwurfs wird hiernach ein Faktor ermittelt, welcher mit dem Grundwert multipliziert wird.
Quelle: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, S. 8
Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf
Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände
m fünften und letzten Schritt wird der im vierten Schritt errechnete Betrag anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, sofern diese noch nicht im vierten Schritt berücksichtigt wurden.
Laut der DSK zählen hierzu „insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DS-GVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.“
Beispiel: So würde in unserem Beispiel eine sehr lange Verfahrensdauer begünstigend wirken, so dass der Betrag von 48.612 € z.B. auf 45.000 € reduziert werden könnte.
Ausblick
Einerseits wird durch diesen Bußgeldkatalog mehr Transparenz für Unternehmen geschaffen, da Bußgeldhöhen besser abgeschätzt werden können, andererseits wird dieses Konzept aller Voraussicht nach zu höheren Bußgeldern führen. Dies zeigt sich bereits im Bußgeld gegen die Deutsche Wohnen SE in Höhe von 14,5 Mio. € und beim Bußgeld in Höhe von 9,55 Mio. € des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH.
Um Bußgelder zu vermeiden, so rät Robert Faußner von HEUSSEN, sollten Unternehmen die Datenschutzkonformität ihrer eigenen Prozesse (ggf. mithilfe rechtlicher Beratung) stets im Blick haben. Eine Data Governance ist an dieser Stelle ebenfalls mehr als empfehlenswert. MEHR ZU HEUSSEN
News von HEUSSEN
the factlights Top-Thema
the factlights bringt Einblicke und Learnings:
- Am Puls der Zeit
the factlights 2020 hat über 1.000 Unternehmen im deutschsprachigen Raum zu ihrer Realität von Digitalisierung, Analytics und Datenarbeit befragt. Highlights, Updates und die kompletten Studienergebnisse gibt's hier. - Experten analysieren und empfehlen
Namhafte Vertreter führender Unternehmen nehmen Stellung zu aktuellen Trends, stellen Checklisten, Use Cases, Whitepaper bereit und stehen Ihnen gerne mit Empfehlungen, Tipps und Best Practices rund um die Themen der Digitalisierung und Datenarbeit zur Seite. - Studien-Ergebnisse holen
Sichern Sie sich Ihr persönliches Exemplar mit allen Ergebnissen, Einschätzungen, Branchenspecials, Extra Notes, Expert Quotes und profitieren Sie von Empfehlungen und Learnings.