DSK-Konzept zur Bußgeldzumessung nach Art. 83 DS-GVO

Out-Law Analysis | 22 Nov 2019 | 1:28 pm | Lesedauer: 4 Min.

Drohen bald Geldbußen in Millionenhöhe?

Konzept zur Bußgeldzumessung

Art. 83 Abs. 5 DS-GVO sieht als Sanktion für bestimmte datenschutzrechtliche Verstöße Geldbußen gegenüber Unternehmen in Höhe von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Umsatzes vor – je nachdem, welcher der Beträge höher ist. Geldbußen in Millionenhöhe sind damit nicht nur theoretisch möglich, sondern haben auch bereits in Deutschland Einzug gehalten. Die Deutsche Wohnen SE hat aufgrund schwerwiegender Verstöße gegen Art. 5 und Art. 25 DS-GVO einen Bußgeldbescheid in Höhe von 14,5 Mio. Euro erhalten (vgl. Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BerlBfDI) vom 05.11.2019); der Bescheid ist noch nicht rechtskräftig. Interessant ist unter anderem folgende Passage aus der Pressemitteilung des BerlBfDI:

"Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei ca. 28 Millionen Euro."

Um das konkrete Bußgeld von 14,5 Mio. zu berechnen, wird die BerlBfDI auf das Bußgeldkonzept der Datenschutzkonferenz des Bundes und der Länder (DSK) zurückgegriffen haben.

Die DSK hatte am 14.10.2019 für nicht-grenzüberschreitende Fälle ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen (Konzept) veröffentlicht, das die Höhe der verhängten Geldbußen in Deutschland langfristig erheblich steigern wird.

Das Konzept sieht fünf Schritte zur Bußgeldzumessung vor:

"Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.)."

Die eklatanten Unterschiede zwischen der bisherigen Praxis der Bußgeldzumessung durch die Datenschutzaufsichtsbehörden unter dem BDSG alter Fassung und des neuen Konzepts der DSK unter der DS-GVO sollen hier an einem "Alt-Fall" aus dem Jahr 2008 gezeigt werden.

Im Vergleich – Berechnungsbeispiel Lidl

Nach dem Bundesdatenschutzgesetz (BDSG) alter Fassung konnten je nach Art des Verstoßes Geldbußen in Höhe von bis zu 50.000 Euro bzw. 300.000 Euro pro Einzelfall verhängt werden. Verglichen mit den bislang in Deutschland verhängten Geldbußen dürfte insbesondere der dritte Schritt des Konzepts (Multiplizierung mit Faktor entsprechend Schwere der Tatumstände) nicht weniger als einen Paradigmenwechsel bedeuten, wie im Folgenden anhand von zwei Beispielen gezeigt werden soll:

Im Jahr 2008 wurde gegen Lidl eine Rekordgeldbu�e von 1. Ein erheblicher Teil der 35 deutschen Lidl-Vertriebsgesellschaften hatte Mitarbeiter heimlich mit Kameras und Privatdetektiven überwacht, dabei wurden Protokolle angefertigt, die selbst intime Details wie die Häufigkeit von Toilettengängen und etwaige Liebesverhältnisse wiedergaben. Zudem waren flächendeckend keine betrieblichen Datenschutzbeauftragten bestellt worden. Die Geldbuße gegen Lidl war die höchste, die bis dahin wegen Datenschutzverstößen in Deutschland verhängt worden war. Legt man allerdings den Umsatz der gesamten Unternehmensgruppe zugrunde, der im Jahr 2008 weltweit bei etwa 50 Milliarden Euro lag, stellt die Geldbuße nicht einmal 0,00003 % des Unternehmensumsatzes dar.

Wie hoch würde die Geldbuße nach dem Konzept der DSK ausfallen?

In einem ersten Schritt wäre das Unternehmen einer Größenklasse zuzuordnen. Erwägungsgrund 150 Satz 3 der DS-GVO verweist darauf, dass bei der Bußgeldbemessung auf den Unternehmensbegriff des europäischen Kartellrechts zurückzugreifen sei. Legt man aufgrund des somit ausgesprochen weiten Unternehmensbegriffs der DS-GVO hier den weltweiten Umsatz der Schwarz-Gruppe zugrunde, der global im Jahr 2007 bei knapp 50 Milliarden Euro lag, dann handelt es sich in jedem Fall um ein "Großunternehmen" der Größenklasse "D.VII" mit einem Jahresumsatz über 500 Millionen Euro. Mit Hilfe des im zweiten Schritt bestimmten mittleren Jahresumsatzes des Vorjahres wird in einem dritten Schritt der sogenannte Grundwert ermittelt, der den Ausgangpunkt der Berechnung darstellt. Bei Unternehmen mit einem Umsatz von unter 500 Millionen Euro ergibt sich dieser Grundwert aus einer Tabelle, die kleinere Unternehmen begünstigt. Bei Unternehmen mit einem Umsatz von über 500 Millionen Euro wird der Grundwert als sogenannter konkreter Tagessatz berechnet. Dabei wird der konkrete Vorjahresumsatz durch 360 (Tage) geteilt.

Im Falle von Lidl würde dies einen konkreten Tagessatz von rund 139 Millionen Euro ergeben. Dieser ist im vierten Schritt je nach Schweregrad mit einem Faktor zu multiplizieren. Dabei ist der Schweregrad des jeweiligen Datenschutzverstoßes in die Kategorien leicht, mittel, schwer oder sehr schwer einzuordnen. Zudem wird unterschieden zwischen Verstößen nach Art. 83 Abs. 4 DS-GVO und (schwerwiegenderen) Verstößen gemäß Art. 83 Abs. 5, 6 DS-GVO. Im Fall von Lidl kann von einem "sehr schweren" Verstoß ausgegangen werden.

Die Folge wäre, dass der Tagessatz mindestens mit dem Faktor 12 zu multiplizieren wäre. Aber auch bei einem nur "schweren" Verstoß wäre mindestens ein Faktor von 8 anzuwenden. Im Ergebnis würde dies zu einer Geldbuße von 1,11 bis 1,66 Milliarden Euro führen.

In einem fünften Schritt kann die Geldbuße weiteren individuellen Umständen angepasst werden. Das Ermessen der Behörden ist insoweit groß. Klar ist jedoch, dass eine Behörde unter Maßgabe der heutigen Rechtslage selbst bei wohlwollender Ermessensanwendung kaum jemals zu einer Geldbuße kommen würde, die sich auch nur annähernd auf die Höhe der damaligen Geldbuße von 1,46 Millionen Euro beläuft. Unter Zugrundelegung des DSK-Konzepts würde im gebildeten Beispielsfall die Geldbuße an die Maximalbeträge des Art. 83 Abs. 5 DS-GVO heranrücken – 4 % des weltweiten Lidl-Jahresumsatzes, umgerechnet 2 Milliarden Euro.

Unternehmensumsatz als wesentliche Bemessungsgrundlage

Die abschreckenden Höhen dieser Geldbußen kommen durch die starke Fixierung des Bemessungskonzepts auf den Umsatz des Unternehmens zustande. Gerade dies ist jedoch durch das Konzept erwünscht. So heißt es einleitend (S. 2):

"Die unabhängigen Datenschutzbehörden des Bundes und der Länder sind der Auffassung, dass […] der Umsatz eines Unternehmens eine geeignete, sachgerechte und faire Anknüpfung zur Sicherstellung der Wirksamkeit, Verhältnismäßigkeit und Abschreckung darstellt."

Dass die Geldbußen der DS-GVO bald Höhen erreichen könnten, die sonst nur aus dem Kartellrecht bekannt sind, ist dabei durchaus in der DS-GVO angelegt, welche die Obergrenze der Geldbußen in Art. 83 Abs. 4, 5, 6 DS-GVO explizit an den jeweiligen Unternehmensumsatz koppelt.

Denkbar sind nach dem DSK-Konzept Fälle, in denen aufgrund eines geringen Unternehmensumsatzes trotz eines schweren Verstoßes ein grundsätzlich geringes Bußgeld gebildet wird. Dazu folgendes Beispiel: eine Arztpraxis mit einem Vorjahresumsatz von 1 Million Euro (Kleinstunternehmen, "A.II."), mittlerer Jahresumsatz 1.050.000 Euro, Tagessatz 2.917 Euro, begeht einen schweren materiellen Datenschutzverstoß (z.B. Verarbeitung von Patientendaten ohne einschlägigen Erlaubnistatbestand). In diesem Fall wird – soweit nicht im fünften Schritt eine Erhöhung nach Ermessen der Behörde erfolgt, z.B. aufgrund der besonderen Kategorie der personenbezogenen Daten – nach dem Konzept ein Bußgeld von 23.336 bis 35.004 Euro (Faktor 8 bis 12) gebildet. Bis zur Obergrenze von 20 Millionen Euro nach Art. 83 Abs. 5 DS-GVO wird daher in vielen Fällen nach wie vor sehr viel Luft nach oben bleiben.

Fazit

Ob das Konzept der DSK in seiner derzeitigen Form Bestand findet, wird sich noch zeigen müssen. Insbesondere bleibt die Konkretisierung der Festsetzungsmethodik späteren Leitlinien des EDSA (Europäischer Datenschutzausschuss, vgl. Art. 70 DS-GVO) vorbehalten. Ungeachtet des Konzepts müssen Geldbußen nach der DS-GVO in jedem Fall "wirksam, verhältnismäßig und abschreckend" gemäß Art. 83 Abs. 1 DS-GVO sein. Unternehmen dürften ein großes Interesse daran haben, dem Thema Datenschutz-Compliance angemessene Aufmerksamkeit zu schenken und im Einzelfall gegebenenfalls gerichtlich gegen Bußgeldbescheide vorzugehen, bei denen auf der fünften Stufe des DSK-Konzepts Ermessensfehler vorliegen.