Nachdem unsere europäischen Nachbar-(Aufsichtsbehörde)n in den letzten Monaten mit diversen sehr hohen Bußgeldern – zum Teil im zweistelligen Millionenbereich – auf sich bzw. auf eklatante Datenschutz-Verstöße aufmerksam gemacht haben, wollen jetzt offensichtlich auch die deutschen Aufsichtsbehörden nicht mehr dahinter zurückstehen. Auf der letzten Datenschutzkonferenz (DSK- im Juni 2019) stellte die Aufsichtsbehörde Berlin ein Berechnungsmodell vor, welches „eine systematische, transparente und nachvollziehbare Bußgeldbemessung gewährleiste“. Bemessungskriterien hierfür sollen Berichten nach die folgenden sein:
- der weltweite Unternehmensumsatz des Vorjahres, aus dem sich ein Tagessatz
- dieser wird multipliziert mit einem Faktor, der abhängig vom Schweregrad des Verstoßes ist, etwa Faktor 1 bis 4 bei einem leichten Verstoß, bis hin zu einem Faktor zwischen 12 bis 14,4 bei einem sehr schweren Verstoß. Der Schweregrad wiederum ist das Ergebnis eines Punktesystems, das senkend, gleichbleibend oder erhöhend wirkt. Maßgeblich für die Punktzahl ist unter anderem die Dauer des Verstoßes, die Zahl der betroffenen Personen und das Ausmaß des erlittenen Schadens.
- Das Modell berücksichtigt außerdem – jeweils schematisch – den Verschuldungsgrad. Handelt es sich um eine geringe oder unbewusste Fahrlässigkeit, vermindert sich die Summe um 25 Prozent. Bei normaler Fahrlässigkeit bleibt sie gleich, sie erhöht sich um 25 oder sogar 50 Prozent bei Vorsatz oder Absicht.
- Hat sich das Unternehmen bereits in der Vergangenheit bei der Behörde etwas zuschulden kommen lassen, schlägt sich das ebenfalls nieder: Ein erneuter Verstoß bringt einen Aufschlag von 50 Prozent, zwei einen Aufschlag von 150 Prozent und drei oder mehr Verstöße einen Aufschlag um 300 Prozent.
Berücksichtigt werden können außerdem weitere Faktoren, beispielsweise wie die Behörde die Zusammenarbeit mit ihr beurteilt oder auch welche Maßnahmen das Unternehmen bereits ergriffen hat, um den Schaden zu mindern. Die DSK „begrüßte“ das Konzept und beschloss, dieses weiterzuentwickeln.
Seit Dienstag gibt es erste offizielle Meldungen der DSK dazu. Demnach ist das Modell noch nicht verabschiedet worden, werde aber bei konkreten Bußgeldverfahren begleitend herangezogen, um seine Praxistauglichkeit und Zielgenauigkeit zu testen. Die konkreten Entscheidungen in laufenden Bußgeldverfahren würden aber auf der Grundlage des Art. 83 DS-GVO getroffen. Auf Nachfrage von JUVE bestätigte die Niedersächsische Datenschutzaufsichtsbehörde, dass sie mit dem Modell arbeite, offenlegen wolle sie es jedoch nicht. Die aktuelle Pressemitteilung der DSK bestätigt auch die Aussagen des Bundesdatenschutzbeauftragten vom vergangenen Wochenende wonach die deutschen Aufsichtsbehörden an einem gemeinsamen Vorschlag auf europäischer Ebene arbeiteten.
Ein Rechenbeispiel (Mittelstand in Deutschland, Zahlen fiktiv):
Umsatz: 10 Millionen – Tagessatz ca. 27.800,- Euro
Schweregrad: 2
Fahrlässigkeit: normal (Faktor: 0)
Erstverstoß – Faktor 0
Bußgeld: 55.600 Euro
Jeder kann sich anhand dieser in der Tat relativ transparenten Rechnung – strittige Faktoren sind natürlich der Grad der Fahrlässigkeit und der „Schweregrad“ – zumindest ausrechnen, in welcher Größenordnung Bußgelder möglich sind. Wir werden im Rahmen unserer Beratung ja oft nach möglichen Bußgeldhöhen gefragt und konnten dort bisher nur auf bereits bekannte Fälle zurückgreifen. Nun ließe sich auf der o.g. Berechnungsgrundlage eine vermutlich präzisere Vorhersage treffen.
Das Modell trägt einerseits sicherlich zu mehr Transparenz und Vorhersagbarkeit bei. Andererseits muss man sich allerdings fragen, ob es wirklich sinnvoll und gerecht ist, Bußgelder vom Umsatz abhängig zu machen. Umsatz ist nicht Gewinn. Und – ja, obwohl es der Ansatz der DSGVO ist, hat dieser jedoch unstreitig, die großen Internet-Player im Blick, bei denen hoher Umsatz in der Regel auch hohen Gewinn bedeutet. Und gerade hier setzt ja auch das „Bestrafungselement“ von Bußgeld an: Unternehmen sollen nicht auf Kosten der Verbraucher bzw. Betroffenen – datenschutzrechtswidrig – hohe Gewinne machen bzw. diese dann eben teilweise auch wieder abgeben
Insgesamt ist das o.g. Berechnungsmodell zu kurz gedacht und der Einzelfall, den die Behörden unserer Erfahrung nach bisher immer ganz gut im Blick hatten, droht verloren zu gehen. So nehmen sich die Aufsichtsbehörden die Chance mit Augenmaß individuell und einzelfallbezogen zu handeln. Darüber hinaus besteht die Gefahr, dass sie ihre Beratungsfunktion ein Stück weit aus den Augen verlieren können.
19. September 2019 @ 16:48
Wer ein wenig spielen will: es gibt Bussgeldrechner im Netz, z.B. bei Werning.com oder unter simplyprivacy.de/simulation.htm
19. September 2019 @ 11:28
Bemessung nach Umsatz mag in Einzelfällen nicht fair sein, aber sinnvoll.
Würde nur nach Gewinn berechnet werden, dann haben wir das Problem, dass durch Tricksereien der Gewinn gegen Null gerechnet werden kann. Zudem ist die Gewinnberechnung nicht weltweit einheitlich.
Bußgelder sollen eine abschreckende Wirkung haben und zu einem DSGVO-konformen Verhalten erziehen. Wer seinen Gewinn künstlich gegen Null rechnet, dem geht die Buße dann auch am Hintern vorbei. Auf Deutsch gesagt, wenn das Bußgeld gegen Null geht, weil der Gewinn gegen Null gerechnet ist, warum soll sich der Verantwortliche Gedanken zur Umsetzung der gesetzlichen Vorgaben machen. Es kann ihm dann ja egal sein.
Daher ist der Umsatz als Bemessungsgrundlage richtige gewählt.