Der DSGVO-Bußgeldkatalog kommt!

Das Berechnungsmodell für Bußgelder aus der Feder der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) wird voraussichtlich noch im Oktober 2019 vorgestellt.

Es scheint getrieben von dem Gedanken eines „Aufschließens“ der bislang sehr moderaten Bußgeldpraxis deutscher Behörden im Gegensatz zu der in anderen EU-Ländern wie bspw. Frankreich, Portugal und Polen. So prognostizierte der Bundesdatenschutzbeauftrage mit Blick auf den Bußgeldkatalog, die Zurückhaltung der Datenschutzbehörden werde natürlich auch immer weniger werden und es werde demnächst auch in Deutschland „Bußgelder in Millionenhöhe“ geben. Und die Berliner Datenschutzbeauftragte hatte gleichsam in Vorausschau auf die neuen Regeln angekündigt, in einem konkret anhängigen Verfahren ein Bußgeld zu verhängen, das einen „zweistelligen Millionenbetrag“ erreichen könne.

Werkzeug hierfür wird das neue DSK-Modell sein. Es beruht auf einem mehrstufigen Verfahren und dürfte in etwa wie folgt ausgestaltet sein:

Ausgangsberechnungsgrundlage ist der Umsatz des „Unternehmens“, wobei der europäische funktionale Unternehmensbegriff nach Ansicht der Datenschutzbehörden entsprechend auch für die innergemeinschaftliche Bußgeldpraxis gelten soll. Hiernach wäre dann nicht „lediglich“ auf den Umsatz der einzelnen betroffenen Konzerngesellschaft sondern auf den weltweiten Unternehmensgruppenumsatz abzustellen.

Der Vorjahresumsatz dient hierbei als „Einstieg“ für die Berechnungsarithmetik; wird nicht freiwillig beauskunftet, kann die Behörde schätzen. Auf dieser Berechnungsbasis wird im zweiten Schritt ein „Tagessatz“ ermittelt, indem der Gesamtjahresumsatz durch 360 geteilt wird. Der so ermittelte Tagessatz wird sodann – je nach Schwere der Tat und Art der Begehung – mit einem „Korridorfaktor“ (1 – 4 für leichte Verstöße, 4 – 8 für mittlere Verstöße und 8 – 12 für schwere Verstöße) geahndet. Bei sehr schweren Verstößen mit Höchstfaktor kann die Behörde bis an die Bemessungsgrenze von 14,4 gehen. (Der Höchstsatz  entspricht rechnerisch den in Art. 83 Abs. 5 und Abs. 6 genannten 4 % des Vorjahresumsatzes.)

Der so errechnete Wert wird schlussendlich auf der Grundlage der Bußgeldzumessungsregeln des Art. 83 DS-GVO noch weiter auf die Umstände des Einzelfalles angepasst.

Bei der Umsatzbemessung zur Tagessatzermittlung wird es dem Vernehmen nach für Unternehmen mit weniger als 500 Millionen Euro Vorjahresumsatz Gruppen bzw. Größenklassen (z.B. Umsatz 700 TEUR – 1.4 Mio EUR) geben.

Was die Anpassungen nach allgemeinem Unrechtsgehalt und Schweregrad anbelangt, so lassen sich den verschiedenen Arbeitspapieren der Datenschutzbehörden Musterbeispiele zu Bewertungsgruppen entnehmen, die bspw. bei einer unbefugten heimlichen Überwachung von Beschäftigten von einem schweren Verstoß ausgehen.

Hiervon ausgehend wird sodann am konkreten Verstoß die Schwere der Tat ermittelt anhand der Kriterien Dauer, Art, Umfang und Zweck der rechtswidrigen Verarbeitung, Anzahl der betroffenen Personen und Ausmaß des erlittenen Schadens. Zur „Dauer des Verstoßes“ dürfte auch die über die zulässigen Aufbewahrungsfristen hinausgehende Abspeicherung von personenbezogenen Daten zählen.

Bei der Bestimmung der Tatschwere wird ferner auf den Datenerhebungs- und Verarbeitungszweck abgestellt. In die Kategorie „besondere Schwere“ soll hier die unzulässige Verarbeitung zur Überwachung im Sinne einer Leistungs- und Verhaltenskontrolle fallen.

Auch das Maß des (Mit-)Verschuldens stellt ein zwingendes Bußgeldzumessungskriterium dar. In diese Rubrik fallen unter anderem einerseits (schärfend) die Kenntnis vergleichbarer früherer Verstöße, das Zuwiderhandeln gegen behördliche Maßnahmen und die vom Verstoß betroffenen Datenkategorien, andererseits (mildernd) die Einleitung von Maßnahmen zur Schadensminderung, die Kooperation mit den Aufsichtsbehörden etc.

Gedeckelt werden die so errechneten Bußgelder durch die Obergrenzen des Art. 83 DS-GVO von 2 bzw. 4 % des jeweiligen Jahresumsatzes.