Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 14.Oktober ein Konzept zur Ermittlung von Bußgeldern nach der DSGVO veröffentlicht. Dieses ähnelt in einigen Aspekten dem bereits im Juni vorgestellten Modell der Aufsichtsbehörde Berlin (wir berichteten), bleibt in einigen Aspekten jedoch weniger fassbar.
Das Konzept der DSK soll nach eigener Aussage bis zur abschließenden Veröffentlichung von Leitlinien seitens des Europäischen Datenschutzausschusses zur Festlegung von Geldbußen herangezogen werden. Dem Konzept kann eine grobe Orientierung hinsichtlich potentieller Bußgeldmargen entnommen werden.
Der grundsätzliche Anknüpfungspunkt der Aufsichtsbehörden im Rahmen des neuen Konzeptes ist der Jahresumsatz, auf dessen Basis das fünf Schritte umfassende Verfahren zur Bußgeldberechnung beruht. Die DSK betont, dass ihrer Meinung nach der Umsatz einen geeigneten, sachgerechten und fairen Anknüpfungspunkt für die Bußgeldzumessung darstellt.
Wie soll das Verfahren zur Berechnung der Bußgelder ablaufen?
1. Bestimmung der Größenklasse
Anhand des mittleren Jahresumsatzes werden die Unternehmen in eine von vier Größenklassen eingeteilt.
- Kleinstunternehmen (Größenklasse A bis 2 Mio. € Jahresumsatz mit d Untergruppen),
- kleine Unternehmen (Größenklasse B über 2 bis 10 Mio. € Jahresumsatz mit 3 Untergruppen),
- mittlere Unternehmen (Größenklasse C über 10 bis 50 Mio. € Jahresumsatz mit 7 Untergruppen)
- und Großunternehmen (über 50 Mio. € Jahresumsatz mit 7 Untergruppen)
Die vier Größenklassen verfügen über weitere Untergruppen. Das Spektrum der Klassifikation reicht von Kleinstunternehmen der niedrigsten Stufe (A.I.) mit einem Jahresumsatz von bis zu 700.000€ bis hin zu Großkonzernen der höchsten Untergruppe (D.VII) mit einem Jahresumsatz über 500 Mio. €.
2. Ermittlung des mittleren Jahresumsatzes der Untergruppe
In einem zweiten Schritt wird der mittlere Jahresumsatz für das jeweilige Unternehmen bestimmt. Im Bußgeldkonzept werden konkrete Zahlen angeführt, die als mittlerer Jahresumsatz der Untergruppe gelten. Das Spektrum reicht hier von einem Mittelwert i.H.v. 350.000€ (niedrigste Stufe A.I) bis zu zwei bzw. vier Prozent des tatsächlichen Jahresumsatzes bei Großunternehmen mit einem Umsatz von über 500 Mio.
3. Ermittlung des wirtschaftlichen Grundwerts
Der im zweiten Schritt ermittelte mittlere Jahresumsatz wird durch 360 Tage geteilt und führt im Ergebnis zu einem Tagessatz. Hier reicht die Spanne von 972 € bei einem Kleinstunternehmen der niedrigsten Unterklasse bis hin zu Werten jenseits der 1,25 Mio. € Marke. Denn ab einem Jahresumsatz über 500 Mio. € wird der prozentuale Bußgeldrahmen von 2% bzw. 4% des jährlichen Umsatzes als Höchstgrenze zugrunde gelegt.
4. Festlegung des Multiplikators
Neben dem wirtschaftlichen Grundwert, der in den Schritten 1 – 3 berechnet wurde, wird nun, je nach Schwere des Verstoßes, ein Multiplikator zwischen 1 und 12 festgelegt. Die Kategorisierung erfolgt in formelle Verstöße gem. Art. 83 Abs. 4 und materielle Verstöße gem. Art. 83 Abs. 5,6 DSGVO anhand der Schwere der Tatumstände (leicht, mittel, schwer oder sehr schwer) als Faktor. Als Ergebnis ergibt sich ein Faktor zwischen 1-6 für formelle Verstöße und 1-12 für materielle Verstöße.
Die Kriterien zur Bestimmung des Schweregrades werden nicht offengelegt. Es fehlt an konkreten Beispielen, wann die Schwelle zum jeweils nächsten Schweregrad erreicht wird bzw. welche Kriterien zur Bestimmung des Faktors herangezogen werden.
5. Täterbezogene und weitere Umstände
Dieses Kriterium ist eine Art Puffer, um für den Einzelfall eine dem Umstand entsprechende Bußgeldhöhe festzulegen. Zwar wird hier als Grundlage Art. 83. Abs. 2 DSGVO herangezogen, jedoch bleibt es sehr schwammig hinsichtlich der weiteren Aspekte, die beispielhaft mit der Verfahrensdauer und drohender Zahlungsunfähigkeit angeführt werden. Grundsätzlich plant die DSK sich hinsichtlich der allgemeinen Bedingungen für die Verhängung von Geldbußen konkret an der DSGVO zu orientieren .
Folgende Umstände des Einzelfalles könnten gem. Art. 82 Abs. 2 DSGVO herangezogen werden: Konkreter Sachverhalt einschließlich der Anzahl der betroffenen Person und der Ausmaß des Schadens, Vorsatz oder Fahrlässigkeit sowie Maßnahmen zur Minderung des entstandenen Schadens, den Verantwortungsgrad und vorheriges Verhalten der Verantwortlichen und Auftragsverarbeiter unter Berücksichtigung der Datensicherheitsmaßnahmen.
Anwendungsbereich
Die DSK beschränkt ihr Konzept ausschließlich auf die Bußgeldzumessung für Unternehmen, die in Deutschland aktiv sind und vom Anwendungsbereich der DSGVO umfasst sind. Zudem soll die Bußgeldfestlegung nicht für Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit gelten. Das Konzept ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend.
Fazit
Die DSK veröffentlicht einen Katalog zur Kategorisierung von Unternehmen als Kleinst-, KMU- oder Großunternehmen. Dies kann zur Beurteilung von wirtschaftlichen Risiken bei Datenschutzverstößen grundsätzlich hilfreich sein. Es mangelt jedoch an transparenten Vorgaben hinsichtlich des Faktors sowie weiteren täterbezogenen Umständen. Auch ist die Bemessungsgrundlage „Jahresumsatz“ kritisch zu sehen. Denn Umsatz ist noch lange kein Gewinn.
Zwar ist es gut, eine sehr grobe Größenordnung für Bußgelder vorgeben zu können, jedoch bleibt vieles hinsichtlich der Bestimmung der Schweregrade von Verstößen und täterbezogenen und weiteren Umständen ungenau.
18. Oktober 2019 @ 15:05
Für Unternehmen wie Amazon und viele Startups die erstmal gar nicht das Ziel haben Gewinne zu erzielen sondern große Teile davon direkt reinvestieren und dadurch enorme Umsätze generieren würde eine andere Bemessungsgrundlage allerdings auch wieder keinen Sinn ergeben.