EU-Datenschutzgrundverordnung: Daten­schützer testen neues Buß­geld­mo­dell

Gastbeitrag von Tim Wybitul

20.09.2019

Die Datenschutzbehörden von Bund und Ländern testen derzeit ein neues Bußgeldmodell. Führt das zu unverhältnismäßig hohen Bußgeldern bei Verstößen gegen die DSGVO?

Art. 83 der EU-Datenschutzgrundverordnung (DSGVO) sieht Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des Vorjahresumsatzes vor – je nachdem, welcher Betrag höher ist. Auf dieser Grundlage können die Behörden theoretisch sehr hohe Bußgelder verhängen. Nimmt man als Beispiel einen Umsatz von 100 Milliarden Euro, so beträgt das Maximalbußgeld für einen Datenschutzverstoß 4 Milliarden Euro.

Trotz des hohen Bußgeldrahmens haben die deutschen Datenschutzbehörden anders als etwa die Behörden in Frankreich oder Großbritannien bisher keine allzu hohen Bußgelder verhängt. Vielmehr sind die ersten DSGVO-Bußgelder in Deutschland eher niedrig ausgefallen. Das soll sich nun ändern.

Das Abstimmungsgremium der deutschen Datenschutzbehörden, die Datenschutzkonferenz (DSK) entwickelt ein Konzept zur Bußgeldbemessung, das ähnlich wie im Kartellrecht eine nachvollziehbare Bußgeldpraxis ermöglichen soll. Das neue Bußgeldmodell wird derzeit getestet. Es werde zunächst bei konkreten Bußgeldverfahren begleitend herangezogen, um es auf seine Praxistauglichkeit und Zielgenauigkeit zu testen, teilte die DSK mit.

Auch in den Erläuterungen zu bereits verhängten Bußgeldbescheiden wird schon auf die entsprechende "Festlegung der Datenschutzkonferenz (DSK) vom 25. Juni 2019" Bezug genommen. Es zeigt sich, dass auch kleinere und mittlere Unternehmen aktuell mit nennenswerten Bußgeldern rechnen müssen. So verkündete die Berliner Datenschutzbehörde , dass sie gegen einen Lieferdienst ein Bußgeld in Höhe von insgesamt 200.000 Euro verhängt hat.

Bald Bußgelder in Millionenhöhe?

Allerdings weigern sich die Behörden derzeit, das Bußgeldkonzept offenzulegen. Die DSK will das Bußgeldkonzept auf ihrer nächsten Konferenz im November weiter beraten. Dort wollen die Behörden dann auch über eine Veröffentlichung des Bußgeldkonzepts  entscheiden.

Bisher sind Details des Konzepts nicht öffentlich bekannt. So hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz eine Anfrage eines Datenschutzanwalts auf Informationszugang zu dem genannten Bußgeldkonzept kürzlich abgelehnt. Diese Ablehnung begründet die Behörde damit, dass "die Veröffentlichung des Konzepts im momentanen Entwurfsstadium einen öffentlichen Druck auf die Arbeitsgruppe Sanktionen sowie die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erzeugen würde, welcher die weitere Arbeit an dem Konzept erschwert. Zugleich würden die Verhandlungen auf europäischer Ebene erschwert."

Klar ist allerdings, dass das Konzept zu höheren Bußgeldern führt. So hatte die Berliner Behörde erst kürzlich angekündigt, bald ein Bußgeld zu verhängen, dass einen zweistelligen Millionenbetrag erreichen könnte. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber soll laut Medienberichten auf einer Konferenz zu Netzpolitik in Berlin gesagt haben, bei den Bußgeldern "werden wir auch in Deutschland welche in Millionenhöhe sehen".

So funktioniert das neue Bußgeldmodell

Obwohl die Behörden das Bußgeldkonzept nicht veröffentlichen, liegt es einigen Datenschutzanwälten deshalb vor, weil es auch in den Begründungen von bereits verhängten Bußgeldbescheiden wiedergegeben ist. Dies ermöglicht eine belastbare Analyse.

Das Konzept der deutschen Datenschutzbehörden orientiert sich stark am Umsatz des datenschutzrechtlichen Verantwortlichen. Zunächst bilden die Behörden einen sogenannten "Tagessatz", indem sie den Umsatz des Vorjahres durch 360 teilen. Dieser Tagessatz wird dann je nach Schwere des Verstoßes mit einem Faktor multipliziert. Dieser Faktor liegt in der Regel zwischen 1 und 14,4. Der Wert 14,4 für besonders schwere Verstöße ist nicht willkürlich ge-wählt. Rechnerisch entspricht er genau den in Art. 83 Abs. 5 und Abs. 6 genannten vier Prozent des Vorjahresumsatzes.

Für einen "durchschnittlichen" Verstoß dieser Art fällt also bereits in dieser Berechnungsphase bei umsatzstarken Unternehmen ein Bußgeld in Höhe von knapp zwei Prozent des Umsatzes an. Der so ermittelte Wert wird dann anhand der Art und Weise der Tatbegehung, ihrer Folgen und weiterer relevanter Umstände weiter erhöht oder vermindert. Allerdings zeigt sich bei genauer Prüfung des Modells, dass sich der zuvor ermittelte Grundbetrag mit einiger Wahrscheinlichkeit noch weiter erhöht.

Bußgelder müssen verhältnismäßig sein

Einerseits müssen die von den Behörden nach Art. 83 Abs. 1 DSGVO verhängten Bußgelder zum einen „wirksam und abschreckend“ sein. Andererseits fordert Art. 83 Abs. 1 DSGVO aber auch, dass die Bußgelder "verhältnismäßig" sein müssen.

In Bezug auf die geforderte Verhältnismäßigkeit kann man hingegen bei dem neuen Modell einige Zweifel haben. Denn verhältnismäßig bedeutet vor allem, dass Sanktionen tat- und schuldangemessen sein müssen. Diese Anforderung berücksichtigt das neue Bußgeldmodell nur teilweise. Denn die Höhe künftiger Bußgelder hängt ganz wesentlich vom Umsatz des Unternehmens beziehungsweise des Konzerns ab. Und genau hier liegt eine Schwachstelle des Modells.

Zwar sehen Art. 83 Abs. 4 bis Abs. 6 DSGVO vor, dass die Obergrenzen für die maximal zu verhängenden Bußgelder auf der Basis des globalen Vorjahresumsatzes festgelegt werden. Bei großen Unternehmen mit mehr als 500 Millionen Euro Umsatz orientiert sich der Bußgeldrahmen damit am Umsatz. Die in der DSGVO genannten vier Prozent des Umsatzes können dann die ansonsten geltende Obergrenze von 20 Millionen Euro noch deutlich übersteigen.

Blick ins Kartellrecht

Die flexible Regelung des Art. 83 DSGVO zum Bußgeldrahmen stammt aus dem Kartellrecht. Sie soll vor allem verhindern, dass umsatzstarke Konzerne oder Unternehmen Bußgelder „einpreisen“ könnten, die Behörden auf der Basis starrer Maximalbeträge verhängen. Dies ist nachvollziehbar – so können die Datenschutzbehörden auch bei großen Marktteilnehmern wirksame und abschreckende Bußgelder verhängen.

Man darf aber mit guten Argumenten bezweifeln, dass die Behörden das im Einzelfall konkret zu verhängende Bußgeld stets auf der Grundlage des Umsatzes bemessen dürfen. Das wird bei einem Blick ins Kartellrecht deutlich. Auch hier ziehen die Behörden für den Bußgeldrahmen den gesamten Umsatz einer wirtschaftlichen Einheit heran – also für das maximal mögliche Bußgeld.

Konkrete Bußgelder bemessen sie im Einzelfall aber auf der Basis des sogenannten "befangenen Umsatzes", vereinfacht gesagt also nach dem Umsatz, der mit Produkten oder Leistungen erzielt wurde, deren Absatz durch den Kartellverstoß begünstigt wurde. Erzielt ein Unternehmen durch Datenschutzverstöße tatsächlich Umsätze oder spart Ausgaben, mag dies im Rahmen der Bußgeldzumessung relevant sein. In allen anderen Fällen kann eine umsatzbezogene Bußgeldbemessung unverhältnismäßig sein.

Es spricht vieles dafür, dass sich deutsche Gerichte künftig intensiv mit dem neuen Bußgeld-modell befassen werden.

Der Autor Tim Wybitul ist Partner bei Latham & Watkins in Frankfurt und berät Unternehmen zum Datenschutz.

Zitiervorschlag

EU-Datenschutzgrundverordnung: . In: Legal Tribune Online, 20.09.2019 , https://www.lto.de/persistent/a_id/37751 (abgerufen am: 24.11.2024 )

Infos zum Zitiervorschlag
Jetzt Pushnachrichten aktivieren

Pushverwaltung

Sie haben die Pushnachrichten abonniert.
Durch zusätzliche Filter können Sie Ihr Pushabo einschränken.

Filter öffnen
Rubriken
oder
Rechtsgebiete
Abbestellen