Datenschutzaufsichtsbehörden legen gemeinsames Konzept zur Bußgeldzumessung vor

​veröffentlicht am 30. Oktober 2019

Quelle: Datenschutzkonferenz, 14.10.2019 und Pressemitteilung, 16.10.2019

Die Datenschutzbehörden der Länder haben aktuell ein gemeinsames Konzept zur Zumessung von Bußgeldern bei Datenschutzverstößen verabschiedet. Neben dem Jahresumsatz des betreffenden Unternehmens wirkt sich dabei als Faktor auch die Schwere des Verstoßes aus. Insgesamt gesehen deutet das Konzept auf eine erhebliche Verschärfung der Bußgeldpraxis hin.

Die datenschutzrechtlichen Aufsichtsbehörden werden in der DSGVO dazu verpflichtet, die Einhaltung des Datenschutzrechts bei Verstößen auch mit Hilfe von Bußgeldern durchzusetzen. Nach Art. 83 Abs. 5 DSGVO drohen Geldbußen von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des Jahresumsatzes des vorangegangenen Geschäftsjahrs u.a. bei Verstößen gegen die Grundsätze der Verarbeitung oder bei Missachtung der Betroffenenrechte. Für weniger schwere Verstöße werden in Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des Jahresumsatzes angedroht.

Eine der ersten aufsehenerregenden Bußgeldentscheidungen in dem Zusammenhang war diejenige der portugiesischen Datenschutzbehörde im Oktober 2018 über ein Bußgeld von 400.000 EUR gegenüber einem Krankenhaus. Nach anfänglicher Zurückhaltung bekundeten auch die deutschen Aufsichtsbehörden, dass sie sukzessive von einfachen Hinweisen an die Verantwortlichen mehr und mehr auch dazu übergehen werden, Bußgelder zu verhängen. Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, habe bereits einige Kliniken bei erheblichen Verstößen gewarnt, dass sie im Wiederholungsfall eines Verstoßes mit Bußgeldern zu rechnen hätten, wie das Handelsblatt im Januar 2019 geschrieben hatte.

Die Ausübung der Datenschutzaufsicht ist in Deutschland auf die Datenschutzbehörden der Bundesländer und auf den Bundesdatenschutzbeauftragten aufgeteilt. Um eine bundesweit einheitliche Anwendung der Bußgeldvorschriften bei gleichartigen Verstößen zu ermöglichen, hat sich die Datenschutzkonferenz als Gremium aller deutschen Datenschutzaufsichtsbehörden im Oktober 2019 auf ein gemeinsames Konzept zur Bußgeldzumessung bei Datenschutzverstößen verständigt.

Bussgeldermittlung in 5 Schritten

Das Konzept sieht eine Ermittlung des Bußgeldes in fünf Schritten vor. In den ersten beiden Schritten wird das Unternehmen einer Größenklasse und anschließend einer Untergruppe der betreffenden Größenklasse zugeordnet. Die Einstufung umfasst dabei insgesamt 20 Unterkategorien und reicht vom Kleinstunternehmen mit weniger als 700 TEUR Jahresumsatz bis zum Großunternehmen mit über 500 Mio. Euro Jahresumsatz.

Im dritten Schritt wird dann für das betreffende Unternehmen auf dieser Grundlage ein sogenannter „wirtschaftlicher Grundwert” im Sinne eines Tagessatzes ermittelt. Dieser geht von dem mittleren Umsatz der betreffenden Unternehmenskategorie aus. Er beträgt für die Unternehmen der kleinsten Kategorie 972 Euro. Für die Unternehmen der größten Kategorie bemisst er sich nach dem tatsächlichen individuellen Jahresumsatz.

Der wirtschaftliche Grundwert wird im vierten Schritt mit einem Faktor multipliziert. Dieser Faktor bemisst sich nach der Schwere des geahndeten Verstoßes. Der Faktor beträgt 1 für leichte formelle Verstöße gem. Art. 83 Abs. 4 DS-GVO. In der Spitze jedoch wird der zuvor ermittelte Tagessatz mit dem Faktor von mehr als 12 multipliziert, nämlich bei sehr schweren materiellen Verstößen gem. Art. 83 Abs. 5 und 6 DS-GVO.

Schließlich erfolgt als fünfter und letzter Schritt der Bußgeldbemessung ggf. die Anpassung des Wertes auf Grund ggf. zu berücksichtigender täterbezogener Umstände. Dies können die in Art. 83 Abs. 2 DS-GVO benannten Umstände wie bspw. Vorsatz oder Fahrlässigkeit sein, aber auch fallbezogene Umstände wie eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens.

Wenn also beispielsweise die zuständige Aufsichtsbehörde die getroffenen Schutzmaßnahmen eines Krankenhauses oder eines sozialwirtschaftlichen Unternehmens als insgesamt unzureichend beanstandet (beispielsweise wegen nicht ausreichender technischer Sicherungsmaßnahmen oder auch wegen einer nicht erfolgten Mitarbeiterunterweisung) und insofern einen Verstoß gegen das grundsätzliche Sicherheitsgebot nach Art. 5 Abs. 1 lit. f) DS-GVO feststellt, dürfte der (höhere) Faktor für materielle Verstöße zur Anwendung kommen, da das Bußgeld nach dem höheren Rahmen aus Art. 83 Abs. 5 zu bemessen wäre. Sofern weiterhin die Schwere der Tat als „mittel” eingestuft würde, käme also der Faktor 4 bis 8 zur Anwendung. Ein mittelgroßes Krankenhaus mit einem Jahresumsatz zwischen 100 und 200 Mio. Euro würde der Größenkategorie D.III. zugerechnet werden. Für diese Kategorie legt das Konzept zur Bußgeldzumessung einen wirtschaftlichen Grundwert von 416.667 Euro fest. Damit käme als Bußgeld eine Größenordnung zwischen ca. 1,7 Mio. Euro und 3,4 Mio. Euro in Betracht. Parallel zu den öffentlichen Aussagen mancher Datenschutzaufsichten aus den Bundesländern deutet daher auch das vorliegende Konzept zur Bußgeldzumessung auf zukünftig wesentlich empfindlichere Bußgelder bei Datenschutzverstößen hin.