Crayon Blog

Neuer DSGVO Bußgeldkatalog

In GDPR

Wie kam es zu diesem Bußgeldkonzept?

Es gab in der Fachwelt schon länger Gerüchte darüber, dass die DSK, also die Konferenz der unabhängigen Datenaufsichtsbehörden des Bundes und der Länder, an einem einheitlichen Bußgeldkonzept arbeitet. Im Laufe des Jahres 2019 hat sich dann anhand der seit Mai 2018 ergangenen Bußgeldbescheide immer mehr ein einheitliches Bild der Bußgeldbemessung herausgebildet, das dann in Datenschutz-Kreisen langsam die Runde gemacht hat.

Die DSK hat nun Mitte Oktober das Konzept zum ersten Mal den Fachkreisen vorgestellt. Demnach beruht das neue Konzept der DSK unter anderem auch auf Leitlinien des Europäischen Datenschutzausschusses aus dem letzten Jahr.

Für wen gilt dieses Bußgeldkonzept?

Für alle Unternehmen im Anwendungsbereich der Datenschutzgrundverordnung (DSGVO), welche deutschen Aufsichtsbehörden unterliegen. Grenzüberschreitende Fälle sind ausgenommen. Zudem sind Gerichte bei der gerichtlichen Überprüfung von Bußgeldern, also wenn sich Bußgeldempfänger gegen einen Bescheid gerichtlich wehren, an dieses Konzept nicht gebunden.

Wie sieht das Konzept konkret aus?

Die Bußgeldbemessung geschieht in fünf Schritten: Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).

Die Größenklassen im ersten Schritt richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz des Unternehmens. Der sog. „wirtschaftliche Grundwert“ in Schritt drei ist vergleichbar mit dem Tagessatz bei der Bemessung einer Geldstrafe vor Gericht.

Im vierten und fünften Schritt fließen dann viele verschiedene Faktoren mit ein, also etwa der Verschuldensgrad bei dem Datenverstoß, die Anzahl der vorherigen Verstöße, die Kooperation des Unternehmens mit der Behörde nach dem Verstoß, Gegenmaßnahmen zur Schadensbegrenzung nach dem Verstoß, aber auch Maßnahmen bereits im Vorfeld des Verstoßes, also wie gut und wie tief sich das Unternehmen datenschutzrechtlich beraten hat lassen.

Begrenzt wird das Bußgeld dann lediglich durch den Deckel in Höhe von 4% des weltweiten Jahresumsatzes bzw. 20 Millionen Euro. 

Ist dieses Bußgeldkonzept in Stein gemeißelt, hat es Gesetzeskraft?

Nein, es hat keine Gesetzeskraft, da es durch Behörden erarbeitet wurde. Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder können jederzeit eine Aufhebung, Änderung oder Erweiterung ihres Konzepts mit Wirkung für die Zukunft beschließen. Jedoch gilt: Die deutschen Aufsichtsbehörden haben sich allesamt auf das Konzept geeinigt und müssen nun wegen verfassungsrechtlicher Vorgaben das Konzept bei jedem Bußgeldbescheid einheitlich anwenden, zumindest bis zu dem Zeitpunkt, zu dem die Aufsichtsbehörden oder die EU-Institutionen ein anderes Konzept beschließen. 

Hat sich damit der Staub im Datenschutzrecht gelegt?

Nein, im Gegenteil. Viele Einzelfragen rund um die DSGVO sind noch ungeklärt, die Bußgelder entwickeln sich deutlich nach oben, die Aufsichtsbehörden haben die inoffizielle Schonfrist nach Anwendbarkeit der DSGVO im Laufe dieses Jahres auf Fachtagungen für beendet erklärt und möchten nun proaktiver Audits durchführen. Zudem gilt: Da die Technik sich ständig weiterentwickelt, wird sich auch das Datenschutzrecht laufend anpassen müssen und deshalb zwingend im Fluss bleiben. Zudem steht schon eine weitere datenschutzrechtliche Revolution an, nämlich die ePrivacy-Verordnung, die eigentlich zusammen mit der DSGVO hätte verabschiedet werden sollen, seitdem aber im Gesetzgebungsprozess der EU feststeckt. Hier ist also größte Wachsamkeit angebracht.

Wo geht die Reise also hin?

Weitgehend unbeachtet ist bisher eine andere Entwicklung geblieben: Die DSGVO hat die Verbraucher mit neuen und klarer formulierten individuellen Rechten ausgestattet, sodass sich die Verbraucher über kurz oder lang selbstbewusster gegenüber Unternehmen verhalten werden. Dadurch kann die Investition in Datenschutz für ein Unternehmen im Wettbewerb mit anderen Marktteilnehmern ein echtes Marketinginstrument und Verkaufsargument werden, mit dem sich nach außen werben lässt. 

Wolfgang Weber - SCA Consultant, Volljurist