Wie errechnet sich das Bußgeld im Datenschutzrecht?

Wie errechnet sich das Bußgeld im Datenschutzrecht?
18.03.2020

Wie errechnet sich das Bußgeld im Datenschutzrecht?

Die Höhe der in Aussicht gestellten und verhängten Bußgelder bereitet Sorgen, ist aber auch manchmal nicht leicht nachzuvollziehen. Die Datenschutzkonferenz hat im Oktober 2019 ein Bußgeldkonzept veröffentlicht und dort die Kriterien der Bußgeldberechnung benannt.

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden der Länder und des Bundes. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Das im Folgenden kurz dargestellte Bußgeldkonzept der Datenschutzkonferenz soll eine transparente, nachvollziehbare und einzelfallgerechte Bußgeldzumessung garantieren. Es ist aber für die Gerichte nicht bindend. Es verliert zudem seine Gültigkeit, wenn die EDSA, die Europäische Datenschutzbehörde Leitlinien zur Methodik der Festsetzung von Geldbußen erlässt.

Das Bußgeld wird in fünf Schritten ermittelt.

Stufe 1: Größenklasse

Das Unternehmen wird in eine Größenklasse eingeordnet. Es gibt vier Größenklassen: Kleinstunternehmen (bis 2 Millionen EUR Umsatz), kleine Unternehmen (2 bis 10 Millionen EUR Umsatz), mittlere Unternehmen (10 bis 50 Millionen EUR Umsatz) und Großunternehmen (über 50 Millionen EUR Umsatz). Die Größenklassen werden anhand des gesamten weltweiten Umsatzes des Vorjahres ermittelt. Innerhalb der Größenklassen gibt es Untergruppen, wiederum gestaffelt nach dem Jahresumsatz. So gibt es bei den Kleinstunternehmen die Untergruppen A.I (bis 700.000 EUR), A.II (700.000 bis 1,4 Millionen EUR) und A.III (1,4 bis 2 Millionen EUR).

Stufe 2: Mittlerer Jahresumsatz der Größenklasse

Für jede Untergruppe innerhalb der Größenklasse wird der mittlere Jahresumsatz bestimmt. Dies sind bei den Kleinstunternehmen in der Untergruppe A.I 350.000 EUR, A.II 1.050.000 EUR und A.III 1,7 Millionen EUR.

Stufe 3: Wirtschaftlicher Grundwert

Der unter Stufe 2 ermittelte Wert wird durch 360 Tage geteilt, so ergibt sich ein Tagessatz von 972 EUR für A.I, 2.917 EUR für A.II und 4.722 EUR für A.III.

Stufe 4: Schwere des Tatbestands

Die Anzahl der Tagessätze bestimmt sich nach der Schwere des Vorwurfs. Leichte Taten werden mit 1-2 Tagessätzen bemessen, mittlere mit 2-4, schwere mit 4-6 und sehr schwere mit mehr als sechs Tagessätzen. Dies gilt aber nur für formelle Verstöße gemäß Art. 83 Abs. 4 DSGVO (wie z.B. einen Verstoß gegen die Bestellpflicht eines Datenschutzbeauftragten oder den fehlenden Abschluss von Verträgen mit Auftragsverarbeitern oder gemeinsam Verantwortlichen). Für materielle Verstöße gemäß Art. 83 Abs. 5 und 6 DSGVO verdoppelt sich die Anzahl der Tagessätze. Dies sind Verstöße gegen Art. 5 DSGVO (Rechenschaftspflicht) oder Art. 6 DSGVO (Rechtmäßigkeit). Wenn also Daten ohne Rechtsgrundlage verarbeitet werden, liegt ein materieller Verstoß vor, der zu höheren Bußgeldern führt.

Stufe 5: Berücksichtigung weiterer Umstände

Das so ermittelte Bußgeld wird noch angepasst. Zu berücksichtigen sind hier die Maßnahmen zur Schadensbeseitigung, Verfahrensdauer, eine drohende Zahlungsunfähigkeit, Zusammenarbeit mit der Behörde und ähnliches.

Problematisch ist nach wie vor, dass es zumindest bislang nur wenig Anhaltspunkte dafür gibt, wann Behörden einen leichten oder schweren Verstoß annehmen. Insoweit wird die Unsicherheit über die Höhe der Bußgelder weiter anhalten.

Nachfolgend sollen zwei Beispiele erläutern, wie sich das Bußgeld errechnen kann:

Bsp. 1 Fiktiv

Die WEG-Verwaltung hat keinen Vertrag nach Art. 26 DSGVO mit der Gemeinschaft geschlossen. Nach dem Urteil des AG Mannheim vom 11.9.2019 sind Gemeinschaft der Wohnungseigentümer und WEG-Verwalter gemeinsam Verantwortliche für die Datenverarbeitung im Sinne der DSGVO. Nach Art. 26 DSGVO ist hierüber ein Vertrag zu schließen (ein Muster finden Sie hier). Wenn ein solcher Vertrag nicht geschlossen wird, ist der Bußgeldtatbestand des Art. 83 DSGVO erfüllt.

Aus Kreisen der Datenschutzbehörden war zu hören, dass derartige Verstöße zunächst mit Verwarnungen geahndet werden. Bei leichten Verstößen führt der erste Verstoß (wohl noch) nicht zu einem Bußgeld. Sollten sich dies aber wiederholen oder die WEG-Verwaltung auch weiterhin keinen Vertrag abschließen, wäre dieses Verhalten bußgeldbewährt.

Angenommen der WEG-Verwalter macht einen Jahresumsatz von 850.000 €. Dann ist er in die Untergruppe A.II einzuordnen. Der Tagessatz beläuft sich dann auf 2.917 €. Für den leichten Verstoß und eine gute Zusammenarbeit mit der Behörde – und wenn kein anderer Verstoß erkennbar ist – könnte die Behörde ein Bußgeld von 2.500 € errechnen.

Bsp. 2 Deutsche Wohnen

Bei der Deutschen Wohnen wurden (ausweislich der Pressemitteilung der Berliner Datenschutzbehörde) Datenfriedhöfe gefunden. Das Archivsystem sah keine Löschungsmöglichkeit der Daten der Mieter vor. Dazu gehörten auch Daten aus den Selbstauskünften, wie Lohnbescheinigungen und Kontoauszüge. Diese Daten wurden jahrelang gespeichert und nicht gelöscht. Die Deutsche Wohnen ließ dazu mitteilen, dass diese Daten nicht missbräuchlich verwendet wurden und auch nicht von unbefugten ausgespäht wurden. Die Berliner Datenschutzbeauftragte verhängte gegen die Deutsche Wohnen ein Bußgeld von 14,5 Millionen EUR.

Dieses hat sich wohl wie folgt errechnet:

Die Deutsche Wohnen ist ein Großunternehmen mit einem Umsatz im Jahr 2018 von 1,1 Milliarde EUR. Bei Unternehmen der Untergruppe D.VII wird der eigene Umsatz (und nicht nach Schritt 2 der mittlere Umsatz der Gruppe) herangezogen. Als Tagessatz ergibt sich damit 3.055.555 €. Dem Unternehmen wird ein Verstoß gegen Art. 25 DSGVO vorgeworfen, nämlich dass ein Archivsystem verwendet wurde, dass keine Möglichkeit der Löschung vorsah. Dieser Verstoß ist ein Verstoß gegen formelles Recht im Sinne von Art. 83 Abs. 4 DSGVO. Daneben wird ein Verstoß gegen Art. 5 DSGVO (Grundsätze der Datenverarbeitung) also gegen materielles Recht verfolgt. Offensichtlich bewertet die Behörde diesen Verstoß als mittleren bis schweren Verstoß, so dass 5 – 6 Tagessätze angemessen waren. Zugunsten des Unternehmens war berücksichtigt worden, dass das Unternehmen mit der Aufsichtsbehörde zusammengearbeitet habe und erste Maßnahmen zur Verbesserung des Zustands ergriffen habe.

Kritik

Über die Einzelfallgerechtigkeit des Systems kann gestritten werden. Hat ein Unternehmen 680.000 EUR Umsatz (bei einem Gewinn von 250.000 EUR) beträgt der Tagessatz 972 EUR. Bei einem Unternehmen mit einem Jahresumsatz von 710.000 EUR (bei einem Gewinn von 125.000 EUR) beträgt der Tagessatz 2.917, immerhin der dreifache Betrag, obwohl der Gewinn nur halb so hoch ist.

Außerdem besteht weiterhin Unsicherheit über die Frage, mit welcher Schwere die Verstöße bewertet werden. Ist ein Fehler in der Datenschutzerklärung einer Website bereits ein mittlerer oder schwerer Verstoß gegen materielles Recht, weil die Informationspflichten nicht ordnungsgemäß erfüllt werden. Ist das versehentliche Versenden einer E-Mail an einen falschen Empfänger ein leichter Verstoß? Diese Fragen können derzeit weder Rechtsberater noch die Behörden selbst beantworten. Es wird immer auf den Einzelfall ankommen und darauf welche Kategorien von Daten wie vieler Personen betroffen waren, ob der Verstoß oft oder einfach passieren kann, welche Maßnahmen dagegen unternommen werden usw.

Als Tipp können wir nun immer wieder aussprechen: Setzen Sie die Vorgaben der DSGVO um!

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay


Services

Aktuelle Beiträge