Aufsichtsbehörden: So hoch werden zukünftig Bußgelder bei DSGVO-Verstößen. Und: Wie Unternehmen darauf reagieren können

Photo by Paul Hanaoka on Unsplash
Dr. Thomas Helbing

Die deutschen Datenschutzaufsichtsbehörden haben am 16. Oktober 2019 ein Konzept veröffentlicht, wie sie zukünftig die Höhe von Bußgeldern bei Datenschutzverstößen durch Unternehmen bemessen wollen (Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen vom 14. Oktober 2019).

Die Bußgelder bei DSGVO-Verstößen dürften demnach zukünftig erheblich höher ausfallen.

Wie funktioniert die Bußgeldbemessung?

Vereinfacht gesagt erfolgt die Bemessung wie folgt:

  • Grundwert: Anhand des Umsatzes des Unternehmens erfolgt die Ermittlung eines Art Tagessatzes (Grundwert) anhand von Tabellen.
  • Schwere des Tatvorwurfs: Der Grundwert wird dann mit einem Faktor zwischen 1-12 multipliziert, je nach Schwere des Tatvorwurfs (leicht, mittel, schwer) und je nachdem, ob ein formeller oder materieller Verstoß vorliegt. Hierbei werden die Kriterien des Art. 83 Abs. 2 DSGVO berücksichtigt (Art und Schwer des Verstoßes, Fahrlässigkeit/Vorsatz, frühere Verstöße, Zusammenarbeit etc.).
  • Korrektur: Im letzten Schritt erfolgt eine Anpassung des so ermittelten Betrages nach unten oder oben, um noch nicht berücksichtigte Umstände zu würdigen (täterbezogene Umstände des Art. 83 Abs. 2 DSGVO und sonstige Umstände wie Verfahrensdauer oder drohende Zahlungsunfähigkeit).

Welche Beträge stehen konkret im Raum?

Nachfolgend finden Sie ein paar Beispiele für Tagessätze (Grundwerte):

  • bis 750.000 €Umsatz: € 972,-
  • 1 Mio. € Umsatz: € 2.917,-
  • 5 Mio. €Umsatz: € 9.722,-
  • 10 Mio. € Umsatz: € 24.306 ,-
  • 100 Mio. € Umsatz: € 243.056,-

Bei einem mittleren Verstoß gegen materielle Datenschutzvorschriften (z.B. Verarbeitung ohne Rechtsgrundlage) wird der Betrag mit dem Faktor 6 multipliziert. Da kommen bei einem KMU mit einstelligem Millionenumsatz schnell € 50.000,- zusammen und bei einem Freiberufler mit minimalem Umsatz immerhin € 5.000.

Selbst bei kleinsten formalen Datenschutzverletzungen (ungenügende Klausel in einem Auftragsverarbeitungsvertrag) beträgt der Faktor 1, für ein größeres Unternehmen mit z.B. 50 Mio. Jahresumsatz sind das dann gleich mal 100.000 Euro.

Zu hoffen ist dann nur noch auf eine „Korrektur“ nach unten im letzten Schritt des Bemessungsschemas.

Die Aufsichtsbehörden legen einen „funktionalen Unternehmensbegriff“ zu Grunde. Dieser orientiert sich nicht an juristischen Unternehmen, sondern an der „wirtschaftlichen Einheit“. Das Prinzip der wirtschaftlichen Einheit bedeutet, dass ein Konzern (i.S.d. §§ 15 ff. AktG), der aus mehreren rechtlich selbstständigen Tochtergesellschaften besteht, in der Regel eine wirtschaftliche Einheit und damit ein Unternehmen ist. Voraussetzung ist insoweit lediglich, dass die Muttergesellschaft bestimmenden Einfluss auf die Tochtergesellschaft ausüben kann. Dies wird nach der EuGH-Rechtsprechung vermutet, wenn die Muttergesellschaft alle oder nahezu alle Anteile an der Tochtergesellschaft hält. Einer kleinen Tochtergesellschaft mit Umsatzstarker Mutter im Ausland drohen damit sehr hohe Bußgelder, da der Umsatz der Muttergesellschaft beim Grundwert mitgerechnet wird.

Ist die Bußgeldbemessung bedenklich?

Nach meiner Einschätzung: Ja, sehr.

Maßgeblicher Faktor für die Bußgeld-Bemessung ist der Umsatz des Unternehmens. Die DSGVO nennt den Umsatz aber nicht als relevanten Faktor für die Bemessung der Höhe des Bußgelds, sondern nur im Zusammenhang mit der Obergrenze von Bußgeldern.

Für den exakt gleichen Datenschutzverstoß drohen damit Unternehmen mit unterschiedlichem Umsatz völlig unterschiedliche Bußgelder. Das ist nicht nachvollziehbar.

Auch erscheinen die Grundwerte und Faktoren zu hoch, wodurch selbst bei kleinen Verstößen hohe Strafen im Raum stehen.

Bedenklich ist auch, dass selbst bei kleinsten Verstößen der Tagessatz (Grundwert) meist als Mindeststrafe verbleibt.

Was sollten Unternehmen beachten?

Wer einen Bußgeldbescheid erhält, der dem neuen Bemessungsmodell folgt, sollte prüfen, ob er diesen gerichtlich angreift. Die starke Orientierung am Umsatz könnte einen Ermessensfehler darstellen, der den Bescheid rechtswidrig macht.

Anfragen und Ermittlungen von Aufsichtsbehörden sind mit erhöhter Aufmerksamkeit und Sorgfalt zu begegnen. Im Einzelfall, etwa wenn das Tätigwerden der Aufsicht auf eine Beschwerde zurückgeht, bietet sich vorherige Akteneinsicht an. Zudem ist zu prüfen, ob von dem Auskunftsverweigerungsrecht des § 40 Abs. 4 S. 2 BDSG Gebrauch gemacht werden kann und soll. Danach kann der Auskunftspflichtige die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen nahen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Im Hinblick auf potentiell steigende Bußgelder bietet sich zudem unter Umständen die Prüfung der Deckungssummen von D&O- und Betriebshaftpflichtversicherungen des Unternehmens sowie seiner Dienstleister (z.B. Auftragsverarbeiter) und Berater (Anwälte, Datenschutzbeauftragte) an.

Bei der Preisbemessung und der Vertragsgestaltung (Haftungsbegrenzungen für Datenschutzverletzungen und entsprechenden Freistellungsverpflichtungen) ist das potenziell gestiegene Haftungsrisiko zu berücksichtigen.

Stichwörter:
DSGVO Bußgeld
Rechtsgebiet
Datenschutzrecht