Missachtung der DSGVO: Welches Bußgeld droht?

Bußgeldkatalog zur DSGVO

Weitere Bußgelder zum Datenschutz: Sanktionen gemäß BDSG

Neben den Bußgeldvorschriften der DSGVO, die für alle EU-Staaten gilt, existieren noch die Bußgeldvorschriften des Bundesdatenschutzgesetzes (BDSG), welches nur in Deutschland relevant ist:

Wie werden Geldbußen gemäß DSGVO festgelegt?

Seit Mai 2018 gilt in der gesamten EU die Datenschutz-Grundverordnung (DSGVO). Diese legt Regeln für die Verarbeitung personenbezogener Daten fest und zwar sowohl innerhalb der einzelnen Mitgliedsstaaten als auch grenzübergreifend. Gleichzeitig finden sich in der DSGVO Vorschriften, welche Sanktionen verhängt werden sollen, wenn ein Verantwortlicher gegen die Regeln der DSGVO verstößt. Das Bußgeld, das in einem solchen Fall droht, kann je nach Verstoß bis zu 20 Millionen Euro betragen. Für Unternehmen besteht auch die Möglichkeit, ein Bußgeld von bis zu 4 Prozent ihres weltweiten Vorjahresumsatzes aufgebrummt zu bekommen. So legt es Art. 83 DSGVO fest.

Die dort genannten Beträge stellen wohlgemerkt die Obergrenze für die Geldbußen dar und müssen keinesfalls ausgereizt werden. In der Realität kommt es also durchaus vor, dass deutlich niedrigere Beträge verhängt werden. Das heißt jedoch nicht, dass die verhängten Bußgelder den Verantwortlichen nicht wehtun sollen. Die Aufsichtsbehörden sind angehalten, die Höhe einer Geldbuße stets nach den Umständen des Einzelfalls festzulegen. Dabei sollen sie gemäß Art. 83 II DSGVO Folgendes berücksichtigen:

• Art, Schwere und Dauer des Verstoßes
• Art, Umfang und Zweck der betreffenden Datenverarbeitung
• Zahl der von der Datenverarbeitung betroffenen Personen
• Ausmaß des erlittenen Schadens
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
• getroffene Maßnahmen des Verantwortlichen oder des Auftragsverarbeiters, um den entstandenen Schaden zu mindern
• Grad der Verantwortlichkeit des Verantwortlichen oder des Auftragsverarbeiters
• etwaige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
• Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um den Verstoß zu revidieren und dessen Auswirkungen abzumildern
• die Kategorie der personenbezogenen Daten, die von dem Verstoß betroffen sind
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde (Bsp.: Hat der Verantwortliche den Verstoß selbst mitgeteilt?)
• Einhaltung der von der Aufsichtsbehörde früher angeordneten Maßnahmen durch den Verantwortlichen oder den Auftragsverarbeiter
• Einhalten von genehmigten Verhaltensregeln oder Zertifizierungsverfahren gemäß DSGVO
• weitere erschwerende oder mildernde Umstände im jeweiligen Fall (Bsp.: Hat der Verantwortliche durch den Verstoß Vorteile erlangt oder Verluste erlitten?)

Unter Berücksichtigung dieser Umstände soll der Bußgeldbetrag so gewählt werden, dass er wirksam, verhältnismäßig und abschreckend ist. Bei geringfügigen Verstößen oder wenn der Datenverantwortliche eine natürliche Person ist, kann die Aufsichtsbehörde außerdem erwägen, das Bußgeld durch eine Verwarnung zu ersetzen. Diese Entscheidung liegt im Ermessen der Behörde. Würde die verhängte Geldbuße für eine natürliche Person eine unverhältnismäßige Belastung darstellen, muss diese üblicherweise nur mit einer Verwarnung rechnen.

Verstöße gegen DSGVO: Konzept zur Bußgeldbemessung für Unternehmen

Die Bestimmungen der DSGVO gelten für die gesamte EU, wie sie jedoch konkret umzusetzen sind, muss jeder Mitgliedsstaat selbst regeln. Deutschland beispielsweise hat dafür u. a. das Bundesdatenschutzgesetz (BDSG). Außerdem existiert bei uns die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder” – kurz: „Datenschutzkonferenz” oder einfach „DSK”. Dieses Gremium kommt mehrmals im Jahr zusammen und diskutiert, wie die nationalen und internationalen Datenschutzbestimmungen in Deutschland umgesetzt werden können.

2019 waren dabei auch die Bußgeldvorschriften der DSGVO Thema. Die DSK legte im Oktober desselben Jahres ein Konzept vor, wie sich Bußgelder bei Verstößen gegen die DSGVO konkret bemessen lassen könnten. Dieses gilt ausschließlich für Verfahren gegen Unternehmen, nicht gegen Vereine oder natürliche Personen, und soll erreichen, dass die Bußgeldzumessung in ganz Deutschland auf gleiche Weise erfolgt. Allerdings muss betont werden, dass das Konzept keinerlei Verbindlichkeit besitzt und die Gerichte nicht verpflichtet sind, sich daran zu halten.

Das Konzept besteht aus einer fünfstufigen Vorgehensweise:

1. Das Unternehmen wird anhand seines Jahresumsatzes in eine von 4 Kategorien eingeordnet (Kleinstunternehmen, kleines Unternehmen, mittleres Unternehmen, Großunternehmen). Innerhalb dieser erfolgt eine weitere Unterteilung in eine von insgesamt 20 Untergruppen.
2. Gehört das Unternehmen zu einer der ersten 19 Untergruppen, wird dessen mittlerer Jahresumsatz bestimmt. Nur in Untergruppe 20 (jährlicher Umsatz von über 500 Mio. €) wird der tatsächliche Jahresumsatz herangezogen.
3. Der in Schritt 2 ermittelte Jahresumsatz wird durch 360 geteilt und das Ergebnis auf die Vorkommastelle aufgerundet. So ergibt sich der wirtschaftliche Grundwert des Unternehmens.
4. Es wird der Schweregrad des Datenschutzverstoßes ermittelt (leicht, mittel, schwer, sehr schwer). Entsprechend der Einschätzung wird der wirtschaftliche Grundwert (s. Schritt 3) mit einem bestimmten Faktor (zwischen 1 und 12) multipliziert. Allerdings erklärt das Konzept teilweise nur sehr vage, wann welcher Faktor herangezogen werden soll.
5. Der in Schritt 4 errechnete Euro-Betrag wird nun unter Berücksichtigung individueller Umstände angepasst. Hier sind die gleichen Kriterien heranzuziehen, die wir auch schon oben genannt haben, aber auch weitere Umstände, wie z. B. eine drohende Zahlungsunfähigkeit des Unternehmens. Der korrigierte Betrag soll dann als Bußgeld verhängt werden.

Dieses Konzept der DSK geriet seit seiner Veröffentlichung mehrfach in die Kritik. So wurde es z. B. ohne Einbeziehung der zuständigen Aufsichtsbehörden entwickelt und besitzt auch keinerlei Verbindlichkeit. Obendrein ist nicht nachvollziehbar, warum in Schritt 2 lediglich für Unternehmen der letzten Untergruppe der konkrete Jahresumsatz herangezogen wird, während bei allen anderen Untergruppen ein fiktiver Mittelwert genutzt wird. Auch fehlt es an Anhaltspunkten, wie die Einteilung des Schweregrades des Verstoßes in Schritt 4 vorgenommen werden soll. Ohne konkrete Kriterien scheint hier nur eine Bauchgefühl-Entscheidung der jeweiligen Behörde möglich zu sein, was dem Zweck des gesamten Konzepts widerspricht.

Angesichts dieser Mängel ist es angebracht, das Konzept der DSK lediglich als Orientierungshilfe zu verstehen und die Bußgeldentscheidung nicht hundertprozentig danach auszurichten. Immerhin räumte die DSK selbst ein, dass das Konzept nur so lange Gültigkeit haben solle, bis entsprechende Leitlinien des Europäischen Datenschutzausschusses verabschiedet werden.

Quellen und weiterführende Links

• Art. 83 DSGVO - Bußgeldvorschriften gemäß Datenschutzgrundverordnung
• § 43 BDSG - Bußgeldvorschriften gemäß Bundesdatenschutzgesetz
• Bußgeldkonzept der DSK (.pdf)

Über den Autor

Gitte H.

Gitte erhielt ihren Master-Abschluss in Germanistik und Kommunikationswissenschaften. Als Redakteurin schreibt sie Ratgeber im Bereich Verkehrsrecht und unterstützt die bussgeldkatalog.org-Redaktion tatkräftig im Lektorat. Außerdem zählen die Pflege und Kontrolle unseres YouTube-Kanals zu ihren Kernaufgaben.

Bildnachweise