In den vergangenen Wochen gab es bereits einige - für deutsche Verhältnisse - aufsehenerregend hohe Bußgelder wegen Datenschutzverstößen. So wurde gegen Delivery Hero ein Bußgeld von circa 200.000 Euro verhängt, ein weiteres Bußgeld in zweistelliger Millionenhöhe gegen ein noch unbekanntes Unternehmen soll folgen.
Foto: Andrii Yalanskyi - shutterstock.com
Das Besondere an diesen Strafen: Sie übersteigen in ihrem Umfang die bisherige Praxis der Behörden deutlich. Dies zog diverse Diskussionen und Gerüchte um ein neues Berechnungsmodell für Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO/GDPR) nach sich. Hielt sich die Verwaltung bisher mit konkreten Informationen zu den höheren Strafen zurück, veröffentlichte die Datenschutzkonferenz (DSK) als Abstimmungsgremium aller deutschen Datenschutzaufsichtsbehörden nun das neue Bußgeld-Berechnungsmodell.
GDPR-Praxis - deutsche Behörden ziehen nach
In der Vergangenheit haben sich die deutschen Behörden bei der Verhängung von Bußgeldern wegen GDPR-Verstößen eher zurückgehalten. Andere EU-Länder haben hingegen von dem hohen Bußgeldrahmen, den die DSGVO ermöglicht, umfassend Gebrauch gemacht. In diesem Jahr hat die britische Datenschutzbehörde ICO bereits Bußgelder in Höhe von circa 200 Millionen Euro gegen die Fluggesellschaft British Airways und rund 100 Millionen Euro gegen die Hotelkette Marriott verhängt. Schon zuvor forderte die Aufsichtsbehörde in Frankreich von Google ein Bußgeld in Höhe von 50 Millionen Euro.
Nach dem neuen Berechnungsmodell werden Bußgelder wegen Datenschutzverstößen künftig auch in Deutschland weitaus höher ausfallen. Ziel des neuen Datenschutz-Bußgeldmodells ist es, den Aufsichtsbehörden eine einheitliche Methode zur Verfügung zu stellen, die eine systematische, transparente und nachvollziehbare Form der Bemessung von Geldbußen bei DSGVO-Verstößen von Unternehmen ermöglicht. Gleichzeitig soll sichergestellt werden, dass Unternehmen durch wirksamere und abschreckendere Bußgelder den Datenschutz ernst nehmen.
Die neue Berechnungsgrundlage ist von nun an für alle deutschen Datenschutzaufsichtsbehörden verbindlich. Allerdings entfaltet das Modell keine Bindungswirkung gegenüber Gerichten und europäischen Behörden. Es besteht jedoch die Möglichkeit, dass sich das deutsche Modell - zumindest teilweise - auch auf europäischer Ebene etablieren wird. Denn die Festlegung auf ein Berechnungsmodell oder gar die Vorstellung eines selbst entwickelten Berechnungsmodells durch das Abstimmungsgremium der europäischen Datenschutzbehörden steht noch aus. Die DSK hat jedoch bereits angekündigt, dass ein solches Konzept bei Inkrafttreten das nun geltende Modell verdrängen würde.
DSGVO-Bußgelder - das ist neu
Das neue Modell zur Bußgeldbemessung orientiert sich im Wesentlichen an den Vorgaben des Art. 83 DSGVO und unterteilt sich in fünf Schritte:
Zunächst wird das verantwortliche Unternehmen in eine Größenklasse kategorisiert, die sich nach dem weltweit erzielten Jahresumsatz des vorangegangen Geschäftsjahres richtet.
Anschließend wird der mittlere Jahresumsatz der jeweiligen Untergruppe (Kleinstunternehmen, kleine und mittlere Unternehmen oder Großunternehmen)bestimmt, in die das Unternehmen eingeordnet wurde.
Auf dieser Grundlage wird der wirtschaftlichen Grundwert des Unternehmens ermittelt: Die Behörden errechnen einen sogenannten Tagessatz indem sie den weltweiten Vorjahresumsatz des Unternehmens durch 360 teilen.
Danach wird der Verstoß mithilfe tatbezogener Einzelfallumstände einem bestimmten Schweregrad zugeordnet und mit einem entsprechenden Faktor multipliziert.
Zuletzt erfolgt eine Anpassung des Grundwertes anhand aller sonstigen, bisher nicht berücksichtigten Umstände des Einzelfalls. Dabei müssen alle für und gegen das verantwortliche Unternehmen sprechenden, täterbezogenen sowie sonstigen Umstände, berücksichtigt werden.
GDPR-Bußgeld-Berechnung - die Folgen des neuen Modells
Nach den viel beachteten Strafen in Frankreich und Großbritannien war zu erwarten, dass die deutschen Behörden nicht mehr lange an ihrer nachsichtigen Bußgeldpraxis festhalten werden. Das neue Berechnungsmodell für DSGVO-Bußgelder wurde zu diesem Zweck bereits durch einzelne Behörden getestet. Die konsequente, deutschlandweite Anwendung dürfte in den nächsten Monaten intensiviert werden.
Dadurch sind deutlich höhere Strafen für Unternehmen zu erwarten, die nicht im Einklang mit der Datenschutzgrundverordnung agieren. Gravierende Rechtsunsicherheiten können sich aus dem erheblichen Spielraum der Aufsichtsbehörden bei der Bewertung der Umstände des jeweiligen Einzelfalls ergeben. So liegt es weiterhin im Ermessen der Behörde, einen Verstoß einem Schweregrad zuzuordnen.
Die transparentere Bußgeldberechnung kann aber auch Vorteile für Unternehmen haben: Sie können nun im Fall von Verstößen gegen die GDPR gemeinsam mit Datenschutzbeauftragen und Risikomanagern zu erwartende Bußgelder deutlich präziser als bisher bestimmen. Eine genaue Berechnung ist jedoch weiterhin nicht möglich. Weiterhin sieht die DSGVO grundsätzlich keine Ermäßigung bei mehreren Datenschutzverstößen vor.
Die Aufsichtsbehörden beabsichtigen daher, jeden Verstoß individuell zu bewerten und den Gesamtbetrag aus der Summe der einzelnen Bußgelder zu bestimmen. Das mag zunächst für die Annahme von sehr hohen Bußgeldern sprechen. Es besteht aber auch die Möglichkeit, dass der so bestimmte Betrag aufgrund der individuellen Umstände geringer ausfällt als die Gesamtsumme der für jeden einzelnen Verstoß ermittelten Bußgelder.
DSGVO-Strafen - das sollten Unternehmen jetzt beachten
Noch mehr als bisher gilt der Grundsatz "Vorsorge statt Nachsorge". Unternehmen sollten das neue Berechnungsmodell zum Anlass nehmen, ihre Datenschutzorganisation kritisch zu hinterfragen. Durch eine durchdachte und an der DSGVO orientierten Datenschutzorganisation können Bußgelder in Millionenhöhe am effektivsten vermieden werden.
Doch auch wenn bereits eine Untersuchung wegen eines Datenschutzvorfalls läuft und die Verhängung eines Bußgeldes im Sinne der DSGVO konkret droht, bestehen noch Möglichkeiten, dieses zu reduzieren. Insbesondere eine umfassende und transparente Kooperation und Kommunikation mit den Aufsichtsbehörden dürfte wohlwollend aufgenommen werden und gegebenenfalls mildernd in die Berechnung einfließen.
Im Ernstfall besteht zudem immer die Möglichkeit, noch gerichtlich gegen das Bußgeld vorzugehen. Dies dürfte insbesondere dann sinnvoll sein, wenn die Berechnung des Bußgelds anhand des Modells zu erheblichen finanziellen Nachteilen führt. Denn mangels Bindungswirkung des Modells können die Gerichte die Höhe des Bußgeldes im Verfahren selbst bestimmen und den Betrag gegebenenfalls anpassen.
Die Anwendung des neuen Berechnungsmodells für DSGVO-Bußgelder auf deutscher Ebene sowie die Entwicklungen für ein abgestimmtes Modell auf europäischer Ebene sind jedenfalls mit Spannung zu erwarten. (fm)