Liebe Nutzer,
für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.
Liebe Grüße,
Ihr ifb-Team
Spätestens nach dem Bußgeldbescheid in Höhe von 35,3 Millionen Euro gegen den Bekleidungsriesen H&M hört man oft die Frage: „Wie kommt ein so hoher Betrag eigentlich zustande?“ Eine berechtigte Frage. Hierzu sollte man wissen, dass Bußgelder unter anderem am Umsatz des Unternehmens bemessen werden. Es gibt aber auch noch andere Kriterien: Neu ist ein Konzept zur Bußgeldbemessung der Aufsichtsbehörden.
Stephan Sägmüller
ifb Bildungsreferent und Jurist
© AdobeStock_3dkombinat
Rechtsgrundlage für die Verhängung von Geldbußen bei Verstößen gegen den Datenschutz ist Art. 83 DSGVO (Datenschutzgrundverordnung). Dort heißt es in Absatz 1: „Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“
Liest man diese Formulierung, kann man zunächst den Eindruck gewinnen, dass die Strafen eher Pi mal Daumen ermittelt werden als anhand von bestimmten Kriterien. Auch beim Blick in die weiteren Vorschriften wird es nur wenig konkret: Bei Verstößen gegen die Grundsätze der Verarbeitung oder gegen Rechte betroffener Personen droht ein Bußgeld in Höhe von 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für weniger schwerwiegende Verstöße bemisst der Rahmen 10 Millionen Euro bzw. 2 % des Jahresumsatzes.
Ein Konzept zur Bußgeldbemessung soll für eine größere Transparenz sorgen .
Die Spannweite von drohenden Bußgeldern wird damit zwar auf Höchstsummen begrenzt, bietet aber immer noch viel Raum für Spekulationen und schafft damit eine große Rechtsunsicherheit. Vor einigen Monaten entwickelten die Aufsichtsbehörden daher ein Konzept zur Bußgeldbemessung, das für eine größere Transparenz sorgen soll.
Nach diesem Konzept wird ein zu verhängendes Bußgeld in vier wesentlichen Schritten ermittelt:
1. Festlegung der Höhe des Tagessatzes
Um den sogenannten Tagessatz zu ermitteln, wird der weltweit erzielte Umsatz des Unternehmens durch 365 Tage dividiert.
2. Ermittlung der Schwere des Verstoßes bzw. des Schweregrades
Je nach Schwere des Verstoßes verringert oder vergrößert sich die Basissumme um einen bestimmten Faktor. In die Beurteilung fließen insbesondere Kriterien wie die Dauer des Verstoßes, die Anzahl der betroffenen Personen, das Schadensausmaß oder auch eine spätere Schadensminimierung sowie eine Zusammenarbeit mit der Aufsichtsbehörde ein.
Die Basissumme wird dann multipliziert mit einem Faktor
· von 1 bis 4 bei einem leichten Verstoß,
· 4 bis 7 bei einem mittleren,
· 8 bis 11 bei einem schweren oder
· 12 bis 14,4 bei einem sehr schweren Verstoß.
Ein sehr schwerer Verstoß kann vorliegen, wenn Mitarbeiter unerlaubt überwacht werden.
Beispiele: Ein leichter Verstoß kann z. B. bei einem unerlaubten Versand von Werbemails vorliegen. Von einem mittleren Verstoß ist u.a. auszugehen, wenn keine Datenschutzerklärung für eine Website existiert. Ein schwerer oder sogar sehr schwerer Verstoß kann vorliegen, wenn Mitarbeiter unerlaubt überwacht werden bzw. unerlaubter Handel mit sensiblen Daten betrieben wird.
3. Ermittlung des Verschuldensgrades
Bei diesem Schritt der Bußgeldbemessung ist eine Erhöhung oder Minderung der Bußgeldsumme aufgrund des Verschuldensgrades möglich. Die Anpassung erfolgt in Prozentschritten, die Spanne beträgt zwischen minus 25 % und plus 50 %. So können von der Bußgeldsumme z.B. 25 % abgezogen werden, wenn die Datenschutzverletzung erst bei genauerer Betrachtung erkennbar wurde (geringe Fahrlässigkeit). Die Summe bleibt gleich, wenn der Verstoß bei näherer Kontrolle erkennbar gewesen wäre (normale Fahrlässigkeit). Und sie erhöht sich, wenn der Verstoß offensichtlich oder dem Verantwortlichen sogar bekannt war (Vorsatz bzw. Absicht). Die Abgrenzung der Verschuldensgrade ist nicht immer einfach, sondern kann nur durch eine detaillierte Gesamtschau aller vorliegenden Umstände ermittelt werden.
4. Erhöhung bei Wiederholung
Schließlich wird in einem letzten Schritt noch ein eventueller Wiederholungszuschlag berücksichtigt. Das heißt, es kann zu einer prozentualen Anrechnung bisheriger Datenschutzverstöße kommen. Bei einer einmaligen Wiederholung können z.B. 50%, bei einer mehrmaligen sogar bis zu 300 % hinzukommen. Ein erstmaliger Verstoß ist für den Verantwortlichen also regelmäßig günstiger als ein zweiter oder gar dritter Verstoß gegen den Datenschutz.
Ein Stück Willkür bleibt also bestehen.
Wichtig: Wie eingangs bereits erwähnt, sollen Bußgelder nach § 83 DSGVO „wirksam, verhältnismäßig und abschreckend“ sein. Das bedeutet, dass es in Einzelfällen auch zu einer Anpassung bzw. Erhöhung des Bußgeldes kommen kann – nämlich dann, wenn die Behörde der Meinung ist, dass ein nach den vier Kriterien errechnetes Bußgeld z.B. zu gering ist.Ein Stück Willkür bleibt also bestehen. Für die Verantwortlichen ist die Bußgeldfrage nun aber dennoch deutlich transparenter. Schließlich ist es gut zu wissen, wie sich ein Bußgeld im Einzelfall zusammensetzt.
Selbstverständlich haben Unternehmen darüber hinaus auch weiterhin die Möglichkeit, ein Bußgeld vor Gericht überprüfen zu lassen. Wie eine aktuelle Entscheidung des Landgerichts Bonn zeigt (Urteil vom 11.11.2020, Az.: 29 OWi 1/20), muss ein Bußgeldbescheid auch nicht immer das letzte Wort in einer Sache sein: Das Gericht erklärte ein verhängtes Bußgeld gegen die 1&1 Telecom GmbH zwar für rechtmäßig, verminderte die Bußgeldsumme jedoch von ursprünglich 9,55 Millionen Euro auf 900.000 Euro. Eine Überprüfung vor Gericht kann sich also durchaus lohnen.
Unabhängig von dieser Entscheidung sollte aber jedem klar sein: Datenschutzverstöße sind keine Bagatelldelikte, sondern sie können ganz schnell sehr teuer werden. Es gilt deshalb, frühzeitig tätig zu werden, bestehende Prozesse auf den Prüfstand zu stellen, Mitarbeiter zu schulen, und für eine entsprechende Sensibilisierung in den Abteilungen zu sorgen. Nur so lässt sich Rechtssicherheit im Datenschutz wirklich gewinnen: Nämlich dann, wenn es gar nicht erst zu einer Verhängung von Bußgeldern kommt.
Kontakt zur Redaktion
Haben Sie Fragen oder Anregungen? Wenden Sie sich gerne direkt an unsere Redaktion. Wir freuen uns über konstruktives Feedback!