Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen vorgelegt.
Das Bußgeldkonzept kann hier als PDF abgerufen werden.
Fünf Schritte zum Bußgeld
Die Bußgeldzumessung in Verfahren wegen DSGVO-Verstößen gegen Unternehmen soll danach in fünf Schritten erfolgen:
- Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet,
- danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt,
- dann wird ein wirtschaftlicher Grundwert ermittelt,
- dieser Grundwert wird dann mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert und
- abschließend wird der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände ggf. angepasst.
Bußgeldbemessung soll systematisch, transparent und nachvollziehbar sein
Das Konzept beruht auf den Vorgaben des Artikel 83 DSGVO. Es soll den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine Bemessung von Geldbußen zur Verfügung stellen. Die Bußgeldbemessung soll dabei systematisch, transparent und nachvollziehbar sein. Das Konzept selbst soll nicht statisch bleiben, sondern ist auf stetige Fortentwicklung angelegt.
Veränderungen und Ergänzungen des Konzepts sind in der Zukunft immer möglich. Vor allem die Praxis der Aufsichtsbehörden wird sich erst nach und nach eine gewisse einheitliche Linie etablieren. Weitere Feinjustierungen werden dabei wohl nicht ausbleiben. Der Rahmen aber dürfte so bestehen bleiben. Insbesondere also die oben genannten fünf Schritte dürften sich nicht mehr verändern, sondern allenfalls die genanten Beträge und Umsatzgrenzen.
Harmonisierung Gebot der DSGVO
Nach Artikel 70 Absatz 1 Buchstabe k) DSGVO ist eine Harmonisierung der Festsetzung von Geldbußen durch Leitlinien zu fördern. Das ist damit zumindest einmal für Deutschland geschehen. Eine Europaweite Harmonisierung über den Europäischen Datenschutzausschuss (EDSA) ist angestrebt und soll folgen. Bis der EDSA aber endgültige Leitlinien für die gesamte EU erstellt hat, bietet das Bußgeldkonzept die künftige Grundlage für die Bemessung der Bußgelder durch die deutschen Aufsichtsbehörden.
Keine Bindung für Gerichte und Ausland
Wichtig: Das Konzept ist weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte. Die DSK kann lediglich die deutschen Aufsichtsbehörden binden. Wobei es sich hier genau gesagt um eine Selbstbindung der Datenschutzaufsichtsbehörden handelt, da die DSK keine rechtssetzenden Befugnisse hat.
Mein Fazit
Mit der Veröffentlichung des Bußgeldkonzepts wollen die deutschen Aufsichtsbehörden einen Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts leisten. Das Bußgeldkonzept soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen. Das ist zu begrüßen.
Das Bußgeldkonzept unterstützt außerdem mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.
Für mich als Berater und für meine Mandanten dürfte sich durch das Konzept zumindest eine bessere Vorhersehbarkeit drohender Bußgeldhöhen ergeben, was bei der Frage der Abwägung unternehmerischer Entscheidungen im Hinblick auf Kosten und Nutzen vorteilhaft ist.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man