VDIV Die Stimme
26.03.2020 - News

Wie errechnet sich das Bußgeld im Datenschutzrecht?

Die Höhe der in Aussicht gestellten und verhängten Bußgelder bereitet Sorgen, ist aber auch manchmal nicht leicht nachzuvollziehen. Die Datenschutzkonferenz hat im Oktober 2019 ein Bußgeldkonzept veröffentlicht und dort die Kriterien der Bußgeldberechnung benannt. Das Konzept soll eine transparente, nachvollziehbare und einzelfallgerechte Bußgeldzumessung garantieren. Es ist jedoch für die Gerichte nicht bindend.

Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden der Länder und des Bundes. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des Europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Das im Folgenden kurz dargestellte Bußgeldkonzept der Datenschutzkonferenz soll eine transparente, nachvollziehbare und einzelfallgerechte Bußgeldzumessung garantieren. Es ist aber für die Gerichte nicht bindend. Es verliert zudem seine Gültigkeit, wenn die Europäische Datenschutzbehörde (EDSA) Leitlinien zur Methodik der Festsetzung von Geldbußen erlässt.

Das Bußgeld wird in fünf Schritten ermittelt.

Stufe 1: Größenklasse

Das Unternehmen wird in eine Größenklasse eingeordnet. Es gibt vier Größenklassen: Kleinstunternehmen (bis 2 Millionen Euro Umsatz), kleine Unternehmen (2 bis 10 Millionen Euro Umsatz), mittlere Unternehmen (10 bis 50 Millionen Euro Umsatz) und Großunternehmen (über 50 Millionen Euro Umsatz). Die Größenklassen werden anhand des gesamten weltweiten Umsatzes des Vorjahres ermittelt. Innerhalb der Größenklassen gibt es Untergruppen, wiederum gestaffelt nach dem Jahresumsatz. So gibt es bei den Kleinstunternehmen die Untergruppen A.I (bis 700.000 Euro), A.II (700.000 bis 1,4 Millionen Euro) und A.III (1,4 bis 2 Millionen Euro).

Stufe 2: Mittlerer Jahresumsatz der Größenklasse

Für jede Untergruppe innerhalb der Größenklasse wird der mittlere Jahresumsatz bestimmt. Dies sind bei den Kleinstunternehmen in der Untergruppe A.I 350.000 Euro, A.II 1.050.000 Euro und A.III 1,7 Millionen Euro.

Stufe 3: Wirtschaftlicher Grundwert

Der unter Stufe 2 ermittelte Wert wird durch 360 Tage geteilt, so ergibt sich ein Tagessatz von 972 Euro für A.I, 2.917 Euro für A.II und 4.722 Euro für A.III.

Stufe 4: Schwere des Tatbestands

Die Anzahl der Tagessätze bestimmt sich nach der Schwere des Vorwurfs. Leichte Taten werden mit ein bis zwei Tagessätzen bemessen, mittlere mit zwei bis vier, schwere mit vier bis sechs und sehr schwere mit mehr als sechs Tagessätzen. Dies gilt aber nur für formelle Verstöße gemäß Artikel 83 Absatz 4 DSGVO (wie ein Verstoß gegen die Bestellpflicht eines Datenschutzbeauftragten oder der fehlende Abschluss von Verträgen mit Auftragsverarbeitern oder gemeinsam Verantwortlichen). Für materielle Verstöße gemäß Artikel 83 Absatz 5 und 6 DSGVO verdoppelt sich die Anzahl der Tagessätze. Dies sind Verstöße gegen Artikel 5 DSGVO (Rechenschaftspflicht) oder Artikel 6 DSGVO (Rechtmäßigkeit). Wenn also Daten ohne Rechtsgrundlage verarbeitet werden, liegt ein materieller Verstoß vor, der zu höheren Bußgeldern führt.

Stufe 5: Berücksichtigung weiterer Umstände

Das so ermittelte Bußgeld wird noch angepasst. Zu berücksichtigen sind hier die Maßnahmen zur Schadensbeseitigung, Verfahrensdauer, eine drohende Zahlungsunfähigkeit, Zusammenarbeit mit der Behörde und ähnliches.

Problematisch ist nach wie vor, dass es zumindest bislang nur wenig Anhaltspunkte dafür gibt, wann Behörden einen leichten oder schweren Verstoß annehmen. Insoweit wird die Unsicherheit über die Höhe der Bußgelder weiter anhalten.

Nachfolgend sollen zwei Beispiele erläutern, wie sich das Bußgeld errechnen kann:

Beispiel 1 (fiktiv):

Die WEG-Verwaltung hat keinen Vertrag nach Artikel 26 DSGVO mit der Gemeinschaft geschlossen. Nach dem Urteil des Amtsgerichtes Mannheim vom 11. September 2019 sind Gemeinschaft der Wohnungseigentümer und WEG-Verwalter gemeinsam Verantwortliche für die Datenverarbeitung im Sinne der DSGVO. Nach Artikel 26 DSGVO ist hierüber ein Vertrag zu schließen. Wenn ein solcher Vertrag nicht geschlossen wird, ist der Bußgeldtatbestand des Artikels 83 DSGVO erfüllt.

Aus Kreisen der Datenschutzbehörden war zu hören, dass derartige Verstöße zunächst mit Verwarnungen geahndet werden. Bei leichten Verstößen führt der erste Verstoß (wohl noch) nicht zu einem Bußgeld. Sollte sich dies aber wiederholen oder die WEG-Verwaltung auch weiterhin keinen Vertrag abschließen, wäre dieses Verhalten bußgeldbewährt.

Angenommen, der WEG-Verwalter macht einen Jahresumsatz von 850.000 Euro. Dann ist er in die Untergruppe A.II einzuordnen. Der Tagessatz beläuft sich dann auf 2.917 Euro. Für den leichten Verstoß und eine gute Zusammenarbeit mit der Behörde – und wenn kein anderer Verstoß erkennbar ist – könnte die Behörde ein Bußgeld von 2.500 Euro errechnen.

Beispiel 2 Deutsche Wohnen:

Bei der Deutschen Wohnen wurden (ausweislich der Pressemitteilung der Berliner Datenschutzbehörde) Datenfriedhöfe gefunden. Das Archivsystem sah keine Löschungsmöglichkeit der Daten der Mieter vor. Dazu gehörten auch Daten aus den Selbstauskünften wie Lohnbescheinigungen und Kontoauszüge. Diese Daten wurden jahrelang gespeichert und nicht gelöscht. Die Deutsche Wohnen ließ dazu mitteilen, dass diese Daten nicht missbräuchlich verwendet wurden und auch nicht von unbefugten ausgespäht wurden. Die Berliner Datenschutzbeauftragte verhängte gegen die Deutsche Wohnen ein Bußgeld von 14,5 Millionen Euro.

Dieses hat sich wohl wie folgt errechnet:

Die Deutsche Wohnen ist ein Großunternehmen mit einem Umsatz im Jahr 2018 von 1,1 Milliarde Euro. Bei Unternehmen der Untergruppe D.VII wird der eigene Umsatz (und nicht nach Schritt 2 der mittlere Umsatz der Gruppe) herangezogen. Als Tagessatz ergeben sich damit 3.055.555 Euro. Dem Unternehmen wird ein Verstoß gegen Artikel 25 DSGVO vorgeworfen, nämlich dass ein Archivsystem verwendet wurde, dass keine Möglichkeit der Löschung vorsah. Dieser Verstoß ist ein Verstoß gegen formelles Recht im Sinne von Artikel 83 Absatz 4 DSGVO. Daneben wird ein Verstoß gegen Artikel 5 DSGVO (Grundsätze der Datenverarbeitung) also gegen materielles Recht verfolgt. Offensichtlich bewertet die Behörde diesen Verstoß als mittleren bis schweren Verstoß, so dass fünf bis sechs Tagessätze angemessen waren. Zugunsten des Unternehmens war berücksichtigt worden, dass das Unternehmen mit der Aufsichtsbehörde zusammengearbeitet habe und erste Maßnahmen zur Verbesserung des Zustands ergriffen habe.

Kritik:

Über die Einzelfallgerechtigkeit des Systems kann gestritten werden. Hat ein Unternehmen 680.000 Euro Umsatz (bei einem Gewinn von 250.000 Euro) beträgt der Tagessatz 972 Euro. Bei einem Unternehmen mit einem Jahresumsatz von 710.000 Euro (bei einem Gewinn von 125.000 Euro) beträgt der Tagessatz 2.917, immerhin der dreifache Betrag, obwohl der Gewinn nur halb so hoch ist.

Außerdem besteht weiterhin Unsicherheit über die Frage, mit welcher Schwere die Verstöße bewertet werden. Ist ein Fehler in der Datenschutzerklärung einer Website bereits ein mittlerer oder schwerer Verstoß gegen materielles Recht, weil die Informationspflichten nicht ordnungsgemäß erfüllt werden? Ist das versehentliche Versenden einer E-Mail an einen falschen Empfänger ein leichter Verstoß? Diese Fragen können derzeit weder Rechtsberater noch die Behörden selbst beantworten. Es wird immer auf den Einzelfall ankommen und darauf, welche Kategorien von Daten wie vieler Personen betroffen waren, ob der Verstoß oft oder einfach passieren kann, welche Maßnahmen dagegen unternommen werden usw.

Als Tipp können wir nun immer wieder aussprechen: Setzen Sie die Vorgaben der DSGVO um!

Autor: Steffen Groß

Groß Rechtsanwälte

www.gross.team