Logo Heussen
  • Home
  • Über Uns
  • Expertise
  • Team
  • Aktuelles
  • Karriere
  • Kontakt
  • LinkedIn

Home Aktuelles News

IT/Datenschutz

Konzept zur datenschutzrechtlichen Bußgeldzumessung der DSK

Die Datenschutzkonferenz (DSK), das Abstimmungsgremium der deutschen Datenschutzaufsichtsbehörden, hat am 14.10.2019 ein Konzept zur Bußgeldbemessung in Verfahren gegen Unternehmen veröffentlicht.

Dieses Konzept soll zu einer einheitlichen Auslegung der Bestimmungen von Art. 83 DS-GVO durch die deutschen Aufsichtsbehörden führen und eine „nachvollziehbare, transparente und einzelfallgerechte Form der Bußgeldbemessung“ garantieren.

Das Konzept betrifft die Bußgeldzumessung in Verfahren gegen Unternehmen im Anwendungsbereich der Datenschutz-Grundverordnung (DS-GVO). Es findet insbesondere keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit. Zudem ist das Konzept ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Außerdem entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.

Die Bußgeldfestlegung richtet sich maßgeblich nach dem Umsatz eines Unternehmens.

Die Bußgeldzumessung in Verfahren gegen Unternehmen erfolgt in fünf Schritten.

Die fünf Schritte

Schritt 1: Kategorisierung der Unternehmen nach Größenklassen

Im ersten Schritt wird das Unternehmen anhand seiner Größe einer von vier Größenklassen (A-D) zugeordnet.

Die Größenklassen richten sich hierbei nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4 bis 6 DS-GVO) und sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen.

Hier wird der gesamte weltweit erzielte Jahresumsatz als Richtwert herangezogen.

Ein Kleinstunternehmen (Größenklasse A) wird bei einem Jahresumsatz bis 2 Mio. € angenommen, ein kleines Unternehmen (Größenklasse B) bei einem Jahresumsatz von über 2 Mio. € bis 10 Mio. €, ein mittleres Unternehmen (Größenklasse C) bei einem Jahresumsatz von über 10 bis 50 Mio. € und ein Großunternehmen (Größenklasse D) bei einem Jahresumsatz über 50 Mio. €.

Die Größenklassen werden zur konkreteren Einordnung hierauf nochmals in Untergruppen (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII) unterteilt.

Beispiel: Ein Unternehmen mit einem Jahresumsatz über 7,5 Mio. € bis 10 Mio. € wird der Untergruppe der Kleinunternehmen (B.III.) zugeordnet.

Schritt 2: Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse

Danach wird der mittlere Jahresumsatz der jeweiligen Größenklassenuntergruppe ermittelt. Jeder Unterklasse ist ein entsprechender mittlerer Jahresumsatz zugeordnet.

Beispiel: Ein Unternehmen der Untergruppe B.III. mit einem Jahresumsatz über 7,5 Mio. € bis 10 Mio. € hat somit einen mittleren Jahresumsatz von 8,75 Mio. €.

Schritt 3: Ermittlung des wirtschaftlichen Grundwertes

Im dritten Schritt wird der wirtschaftliche Grundwert des Unternehmens ermittelt. Um diesen zu bestimmen, wird der mittlere Jahresumsatz der Untergruppe aus Schritt 2 durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet.

Beispiel: Ein Unternehmen der Untergruppe B.III hätte demnach einen wirtschaftlichen Grundwert von 24.306 €.

Schritt 4: Multiplikation des Grundwertes nach Schweregrad der Tat

Im vierten Schritt erfolgt anhand der konkreten tatbezogenen Umstände des
Einzelfalls nach Art. 83 Abs. 2 Satz 2 DS-GVO eine Einordnung des Schweregrads der Tat in folgende Kategorien:

  • Leicht
  • Mittel
  • Schwer
  • Sehr schwer

Dabei sind die materiellen Verstöße nach Art. 83 Abs. 5, 6 DSGVO schwerwiegender als die formellen Verstöße gemäß Art. 83 Abs. 4 DSGVO.

Gemäß einer von der DSK erstellten Tabelle unter Berücksichtigung der Umstände des Einzelfalls und dem Schweregrad des Tatvorwurfs wird hiernach ein Faktor ermittelt, welcher mit dem Grundwert multipliziert wird.

Quelle: Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, S. 8

Abrufbar unter: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf

Beispiel: Ein Unternehmen der Untergruppe B.III mit einem wirtschaftlichen Grundwert von 24.306 € hätte einen mittelschweren formellen Verstoß begangen, welcher mit einem Faktor 2 bewertet werden würde. Dies ergäbe ein vorläufiges Bußgeld von 48.612 €.

Schritt 5: Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände

Im fünften und letzten Schritt wird der im vierten Schritt errechnete Betrag anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, sofern diese noch nicht im vierten Schritt berücksichtigt wurden.

Laut der DSK zählen hierzu „insbesondere sämtliche täterbezogenen Umstände (vgl. Kriterienkatalog des Art. 83 Abs. 2 DS-GVO) sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.“

Beispiel: So würde in unserem Beispiel eine sehr lange Verfahrensdauer begünstigend wirken, so dass der Betrag von 48.612 € z.B. auf 45.000 € reduziert werden könnte.

Ausblick

Einerseits wird durch diesen Bußgeldkatalog mehr Transparenz für Unternehmen geschaffen, da Bußgeldhöhen besser abgeschätzt werden können, andererseits wird dieses Konzept aller Voraussicht nach zu höheren Bußgeldern führen. Dies zeigt sich bereits im Bußgeld gegen die Deutsche Wohnen SE in Höhe von 14,5 Mio. € und beim Bußgeld in Höhe von 9,55 Mio. € des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) gegen die 1&1 Telecom GmbH.

Um Bußgelder zu vermeiden, sollten Unternehmen die Datenschutzkonformität ihrer eigenen Prozesse (ggf. mithilfe rechtlicher Beratung) stets im Blick haben.

 

Ihr zuständiger Ansprechpartner ist Robert Faußner, M.A.

 

Aktuelles

Autor

Faussner Kreis

Ihr Ansprechpartner

Robert Faußner, M.A. T +49 89 290 97 161 robert.faussner@heussen-law.de