Datenschutz : Die Jagd ist eröffnet
1 Einleitung
Die deutschen Datenschutzaufsichtsbehörden haben sich kürzlich auf ein Konzept zur Bußgeldberechnung geeinigt.[1] In der Folge ist mit deutlich höheren Bußgeldern zu rechnen. Verfolgt man Mitteilungen über Datenschutz-Bußgelder in der Presse, so erhält man den Eindruck, dass die Aufsichtsbehörden jetzt Ernst machen. Während bis Mitte 2019 noch vermehrt geringere Bußgelder im bis zu fünfstelligen Bereich (bspw. über 5.000 Euro für die Firma Kolibri Image wegen eines fehlenden Auftragsverarbeitungsvertrags
[2]bis hin zu 80.000 Euro für ein Unternehmen aus Baden-Württemberg wegen nicht ausreichender Sicherung von Gesundheitsdaten[3]) von den Aufsichtsbehörden verhängt wurde, überraschte nun der große Sprung zu Bußgeldern in Millionenhöhe – etwa 14,5 Mio. Euro für die Deutsche Wohnen SE[4] und 9,55 Mio. Euro für die 1&1 Telecom GmbH[5]. Um zu verstehen, wie neuerdings Bußgelder in solcher Höhe entstehen können, und um einen Eindruck davon zu erhalten, in welcher Höhe sie das eigene Unternehmen im Falle eines entdeckten Datenschutz-Verstoßes treffen könnten, lohnt sich ein Blick auf die im Konzept zur Bußgeldberechnung dargelegte Berechnungsweise und die daraus berechenbaren Bußgeldkategorien.
2 Faktoren zur Berechnung eines Bußgeldes
Das Konzept basiert im Kern auf einer Berechnung von „Tagessätzen“. „Tagessätze“ bilden die wirtschaftliche Leistungsfähigkeit ab und sollen erreichen, dass ein Bußgeld für einen armen Menschen genauso schmerzhaft ist wie für einen reichen. Deshalb gibt es keinen nach Verstößen gestaffelten Katalog, wie man ihn aus dem Straßenverkehr kennt. Die Bußgeldhöhe hängt vom weltweiten Konzernumsatz des Vorjahres sowie der Schwere des Verstoßes und fallspezifischen Ermessensfaktoren wie Kooperationsbereitschaft ab. Konzernumsatz bedeutet, dass der gemeinsame Umsatz aller verbundenen Unternehmen zu Grunde gelegt wird. Der Umsatz des Konzernunternehmens, gegen das das Bußgeld verhängt wird, ist nicht maßgeblich. Damit gehen auch von kleinen Konzerngesellschaften erhebliche Risiken aus. Aufgrund der Umsatzorientierung kann ein Bußgeld durchaus auch den Gewinn überschreiten.
Das Konzept macht keine Angaben darüber, wie schwer die einzelnen Verstöße gewichtet werden. Die Beurteilung der Schwere liegt weiterhin im Ermessen der Aufsichtsbehörde. Deshalb werden im vorliegenden Artikel nur die Bußgelder für den minimalen („leicht“) und zweithöchsten Schweregrad („schwer“) wiedergegeben. Bußgelder des höchsten Schweregrads „sehr schwer“ liegen zwischen dem max. Bußgeld für „schwer“ und der individuellen max. Bußgeldgrenze von 4% des weltweiten Konzernvorjahresumsatzes. Die Darstellung will primär die Größenordnung verdeutlichen, weshalb auf die Unterscheidung zwischen den Arten von Verstößen, die unterschiedliche Höhen pro Schweregrad vorsehen, verzichtet wird.
Ausgehend von dem nach Schweregrad gewichteten Bußgeld werden entlastende Faktoren abgezogen und belastende Faktoren hinzuaddiert. Entlastende und belastende Faktoren ergeben sich aus dem Ermessen im Einzelfall, wie z.B. Kooperationsbereitschaft, Wiederholung des Verstoßes, Verstöße in der Vergangenheit („Serientäter“) usw. Deshalb lässt sich eine exakte Bußgeldhöhe nicht vorhersagen. Die Aufsichtsbehörden geben an, dass sie ein Bußgeld reduzieren wollen, um eine durch das Bußgeld verursachte Zahlungsunfähigkeit zu vermeiden.
3 Formel zur Berechnung eines Bußgeldes
Das Bußgeld berechnet sich wie folgt: Bußgeld = min (Umsatz / 360 * Schweregrad + Faktor, 4% * Umsatz) Umsatz = weltweiter Vorjahresumsatzes des Konzerns (vermutlich wird der in der Bilanz ausgewiesene Umsatz verwendet). Die Division durch „360“ dient der Umrechnung auf Tagessätze.
Schweregrad liegt zwischen 1 und unendlich (siehe 1). Die Zuweisung von der Tat zum Schweregrad liegt im Ermessen der Aufsichtsbehörde.
Faktor = fallspezifische Justierung nach Ermessen der Aufsichtsbehörde, um entlastende und belastende Faktoren zu berücksichtigen.
Das verhängte Bußgeld darf gemäß Art. 83 DS-GVO 2% bzw. 4% des weltweiten Konzernvorjahresumsatz nicht überschreiten. Ob 2% oder 4% zum Tragen kommen, hängt von der Art des Verstoßes ab.
4 Anwendungsbereich
Das Konzept gilt für Unternehmen, jedoch nicht Vereine und natürliche Personen. Bußgelder für Vereine und Privatpersonen werden weiterhin im Ermessen der jeweiligen Aufsichtsbehörde verhängt, d.h. es fehlt lediglich ein gemeinsamer Ansatz. Die Aufsichtsbehörden haben bei dem Begriff „Vereine“ Sportvereine im Blick, d.h. es ist aktuell unklar, ob wirtschaftlich tätige Vereine den Unternehmen zugerechnet werden. Eine solche Zurechnung wäre jedoch sachlogisch, insbesondere wenn Umsätze im Millionenbereich erzielt werden.
Bußgelder gegen natürliche Personen werden tatsächlich verhängt. Bspw. um eine private Nutzung von dienstlichen Daten zu bestrafen, wie Polizisten inzwischen erfahren durften. Auch sind Bußgelder gegen Privatpersonen möglich, wie ein Fall in Sachsen-Anhalt zeigte: für die Offenlegung zahlreicher persönlicher E-Mail-Adressen wurde ein Mann mit einem Bußgeld in Höhe von 2.000 Euro bestraft[6]. Ob das Konzept vor Gericht bestand hat, muss die Zukunft zeigen. Das Konzept verliert seine Gültigkeit, sobald sich alle europäischen Datenschutzaufsichtsbehörden auf eine gemeinsame und dann für die EU verbindliche Berechnungsmethode geeinigt haben. Es liegen verschiedene Konzepte auf dem Tisch. Im Unterschied zu Deutschland setzen bspw. die Niederlande auf umsatzunabhängige fixe Bußgelder zwischen 0 bis 1 Mio. Euro, die – soweit erkennbar – keine Rücksicht auf die wirtschaftliche Tragfähigkeit eines Unternehmens nehmen.
Gerade mittelständischen Unternehmen drohen fixe hohe Bußgeldsummen die wirtschaftliche Existenz zu beenden. Gegen das umsatzbasierte Konzept wird vorgebracht, dass der gleiche Verstoß unterschiedlich stark – gemessen an der Bußgeldhöhe – bestraft wird. Dieses Argument verliert an Gewicht, wenn die wirtschaftliche Leistungsfähigkeit mit betrachtet wird.
5 Wege zum Bußgeld
Die unterschiedlichsten Wege, auf denen eine Aufsichtsbehörde auf ein Unternehmen aufmerksam werden kann, verdeutlichen: die Entdeckung eines Datenschutz-Verstoßes wird wahrscheinlicher. Bei einer Vor-OrtPrüfung bei der Deutschen Wohnen SE hat die Aufsichtsbehörde festgestellt, dass nicht mehr erforderliche Daten gespeichert wurden und keine Überprüfungen stattfanden, ob die Datenspeicherung zulässig oder erforderlich ist[7]. Die Firma Kolibri Image war es selbst, die einer Aufsichtsbehörde eine Beratungsfrage stellte – und wegen Nichtbefolgung der Empfehlung zur Kasse gebeten wurde[8]. Auch durch die erforderliche Anzeige eines Sicherheitsvorfalls mit voraussichtlich bestehendem Risiko für betroffene Personen macht sich das Unternehmen bei der Aufsichtsbehörde aktenkundig. Im Fall der Chat-Plattform Knuddels.de führte diese verpflichtende Selbstanzeige“ letztendlich zu einem Bußgeld über 20.000 Euro[9] verhängt vor Inkrafttreten des Bußgeldkonzepts – es fiel so gering aus, da das Unternehmen bei der Aufklärung und Maßnahmenimplementierung gut mit der Aufsichtsbehörde kooperierte. Viele Aufsichtsbehörden haben bereits angekündigt, vermehrt auch anlasslose Kontrollen von Unternehmen durchzuführen. Weiterhin müssen sie jeder Beschwerde eines Betroffenen nachgehen. Im Zuge der Aufklärung der Beschwerde treten nicht selten weitere Datenschutzverstöße zutage. Beschwerden können von jeder Person, deren personenbezogene Daten vom Unternehmen verarbeitet werden, eingehen – das beinhaltet (Mitarbeiter von) Kunden und Lieferanten ebenso wie Bewerber und eigene Mitarbeiter.
6 Fazit
Da die DS-GVO für nahezu jede Vorschrift ein Bußgeld vorsieht, kann jeder Datenschutz-Verstoß teuer werden. Datenschutzverstöße stellen daher ein ernstzunehmendes finanzielles Risiko für Unternehmen dar. Dass die Aufsichtsbehörden sich auf ein Konzept zur Bußgeldberechnung geeinigt haben, bedeutet, dass es bundesweit in der Bußgeldberechnung keine starken Abweichungen mehr geben wird.
Dr. Niels Lepperhoff Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH (einem Gemeinschaftsunternehmen des BvD e.V. und der GDD e.V.).
Viktoria Maria Bien Datenschutzberaterin der Xamit Bewertungsgesellschaft mbH
[1] Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, abrufbar unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf [letzter Abruf am 10.01.2020]
[2] ) https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html [letzter Abruf am 13.01.2020]
[3] 34. Tätigkeitsbericht Datenschutz des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg, abrufbar auf https://www.baden-wuerttemberg.datenschutz.de/ wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf [letzter Abruf am 13.01.2020]
[4] Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 05.11.2019, abrufbar auf https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf [letzter Abruf am 13.01.2020]
[5] Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 09.12.2019, abrufbar auf https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html [letzter Abruf am 13.01.2020] 6) DataAgenda-Arbeitspapier
[6] DataAgenda-Arbeitspapier 06: DS-GVO Bußgelder, abrufbar auf https://dataagenda.de/wp-content/uploads/2019/09/190926_Arbeitspapier_06.pdf [letzter Abruf am 10.01.2020]
[7] ) Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 05.11.2019, abrufbar auf https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf [letzter Abruf am 13.01.2020
[8] https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html [letzter Abruf am 13.01.2020]
[9] https://www.heise.de/newsticker/meldung/Passwoerter-im-Klartext-20-000-Euro-Bussgeld-nach-DSGVO-gegen-Knuddels-de-4229798.html [letzter Abruf am 13.01.2020]
