Nachdem auch in Deutschland zunehmend höhere Bußgelder verhängt wurden, diskutieren die Datenschutzbehörden nunmehr ein nachvollziehbares Modell zur Bemessung der Bußgeldhöhe. Teilweise wird dieses Modell auch schon eingesetzt, wie erste darauf verweisende Bescheide deutlich machen.

Anders als die frühere Gesetzgebung zum Datenschutz sieht die DSGVO empfindliche Sanktionsmöglichkeiten bei Datenschutzverstößen vor. Nach Art. 83 DSGVO können die Datenschutzbehörden Bußgelder von bis zu 20 Mio Euro oder von bis zu 4 % des Vorjahresumsatzes–je nachdem, welche Betrag höher ist–verhängen. Die Verordnung sieht selbst aber keine detaillierten Regelungen vor, wie ein Bußgeld im Einzelfall innerhalb dieser Bandbreiten zu bemessen ist. Dieser Mangel soll mit dem bisher unveröffentlichten Modell beseitigt werden.

Konkret sieht der Entwurf vor, den Vorjahresumsatz eines Unternehmens als Grundlage für die Berechnung zu nehmen. Dieser Wert wird durch 360 geteilt, um zu einem Tagessatz zu kommen. Der Tagessatz wird dann – abhängig von der Schwere des Verstoßes – mit einem Faktor zwischen 1 und 14,4 multipliziert, um das Basis-Bußgeld zu berechnen. Die Zahl 14,4 ist kein Zufall: sie spiegelt nach Rückrechnung die zuvor erwähnten 4 % wider. Diese Vorgehensweise hat jedoch zur Folge, dass selbst ein Verstoß “mittlerer Schwere” und damit ein Faktor von 7,2 zu einem Basis-Bußgeld von 2 % des Vorjahresumsatzes führt.

Auf das Basis-Bußgeld werden sodann Auf- und Zuschläge berechnet, mit denen die Art und Weise des Verstoßes, seiner Folgen und weitere Umstände gewürdigt werden. Beachtenswert ist jedoch, dass hier wesentlich mehr Umstände für Zuschläge als für Abschläge berücksichtigt werden.

Mit dem vorgeschlagenen Modell ergeben sich aus unserer Sicht handfeste Konflikte mit den Vorgaben der DSGVO. Diese sieht nämlich vor, dass Bußgelder nicht nur wirksam und abschreckend sondern eben auch verhältnismäßig sein müssen. Und besagter Art. 83 DSGVO enthält auch eine Liste von Umständen, die “in jedem Einzellfall” von den Datenschutzbehörden “gebührend berücksichtigt” werden müssen. Dazu gehören:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
  • Einhaltung früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Eine pauschale Festlegung auf Basis des Vorjahresumsatzes gibt die DSGVO indes nicht her, erst recht nicht mit einem Faktor, der allein den ersten Punkt dieser Liste reflektiert. Mit der DSGVO soll die Durchsetzung der Datenschutzregeln anhand eines risikoorientierten Maßstabs geprüft werden, der akzeptiert, dass Verstöße auch bei bester Umsetzung aller angemessenen und gebotenen Maßnahmen durch die Verantwortlichen geschehen können. Diese können dann nicht nur deswegen hoch bestraft werden, weil der Verantwortliche viel Umsatz macht.

Bisher ist das Berechnungsmodell nicht veröffentlicht und damit einer öffentlichen Diskussion nur bedingt zugänglich. Mit einer Veröffentlichung ist nach Aussage der Datenschutzkonferenz im November zu rechnen. Wir bleiben dran!

0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.