DSGVO-Verstöße von Unternehmen.

 Wie sich die Höhe von Bußgeldern bemisst.

Tobias Vößing

DSGVO-Verstöße von Unternehmen. Wie sich die Höhe von Bußgeldern bemisst.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ein Konzept zur Bußgeldzumessung veröffentlicht. Teil 2 der Guideline zur Vermeidung von Bußgeldern und Abwehr von Bußgeldbescheiden.

Ausgangspunkt zur Verhängung von Bußgeldern ist die Datenschutzgrundverordnung (DSGVO). Aus dieser ergeben sich aber nur die maximale Höhe des Bußgeldes und einige Anhaltspunkte, an denen sich die Behörden bei der Bemessung orientieren müssen. Die Regelung ist bisher unkonkret und weit gefasst. Für die Herstellung von Rechtssicherheit ist deshalb ein einheitliches Regelwerk dringend erforderlich.

In fünf Schritten zum Bußgeld

Mit dem Bußgeldkonzept der DSK wurde den Datenschutzbehörden der Länder ein Leitfaden an die Hand gegeben. Auf seiner Grundlage können die Behörden die Höhe der zu verhängenden Bußgelder bemessen. Das Konzept sieht fünf aufeinanderfolgende Schritte vor:

  • In Schritt 1 bis 3 wird ein sogenannter wirtschaftlicher Grundwert des betroffenen Unternehmens ermittelt und
  • anschließend in Schritt 4 mit einem Faktor für den Schweregrad des Verstoßes multipliziert.
  • Im letzten Schritt 5 wird den Behörden ein Ermessen eingeräumt. Sie können so, aufgrund besonderer Umstände, das Bußgeld erhöhen oder absenken. Bemessungsgrundlage für den Umsatz des Unternehmens bildet der weltweite Unternehmensumsatz des Vorjahres.

Die konkreten Bezugsgrößen in dem von der DSK veröffentlichen Konzept finden Sie hier.

Das Konzeptpapier schafft zunächst eine gewisse Klarheit in Bezug auf den zugrunde zu legenden Unternehmensbegriff und die Berechnung des Umsatzes. Was die Bewertung beziehungsweise den Schweregrad eines Verstoßes angeht, bleibt die DSK eher vage. Die Kategorien reichen von leicht bis mittel über schwer bis sehr schwer. Diese Kategorien werden anschließend mit einem Faktor multipliziert, der davon abhängt, ob ein formeller Verstoß nach der DSGVO oder ein materieller Verstoß vorliegt.

Der Schweregrad des Verstoßes (also leicht, mittel usw.) bemisst sich wiederum anhand des Kriterienkatalogs der DSGVO. Dieser Kriterienkatalog ist sehr weit und offen formuliert. Das zeigt ein Blick auf das erste Kriterium unter Art. 83 Abs. 2 lit. a) DSGVO: Hiernach sollen unter anderem Art, Schwere und Dauer des Verstoßes zu berücksichtigen sein.

Was heißt das für die Praxis?

Im Ergebnis bedeutet das für Unternehmen, dass auch dieses Regelwerk kein deutliches Plus an Transparenz und Rechtssicherheit schafft. Den Datenschutzbehörden bleibt weiter ein großer Ermessensspielraum für jede einzelne Entscheidung. Das hat gleichzeitig zur Folge, dass es mitunter lohnenswert sein kann, einen konfrontativen Kurs (sprich: Auseinandersetzung vor Gericht) einzuschlagen und den Bußgeldbescheid gerichtlich überprüfen zu lassen.

Wichtig ist: Das Konzept der DSK verliert seine Gültigkeit, sobald der Europäische Datenschutzausschuss seine abschließenden Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat.