Das Modell der Aufsichten zur Berechnung von Bußgeldern
Die Datenschutzkonferenz (DSK), das Gremium der deutschen Aufsichtsbehörden, hat am 16.10.2019 ihr „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“ vorgestellt.
Bußgeldregelung der DSGVO
Um das Konzept zu verstehen, ist zunächst ein Blick auf die Bußgeldregelung in der Datenschutz-Grundverordnung (DSGVO) geboten.
Die zentrale Bußgeldregelung in der DSGVO ist Art. 83 DSGVO. Welcher Verstoß gegen die DSGVO zu welcher Geldbuße führt, regeln die Absätze 3 bis 5.
Vereinfacht unterscheidet das Gesetz so:
- Verstöße gegen „formelle“ Regelungen sind nach Abs. 4 mit einer Geldbuße bis 10 Mio. Euro oder im Fall eines Unternehmens bis 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belegt, je nachdem, welcher Betrag höher ist. Dazu gehören z.B. die Art. 8, 11, 25 bis 39, 42 und 43 DSGVO.
- Verstöße gegen „materielle“ Pflichten und die Nichtbefolgung einer Anweisung der Aufsichtsbehörde ist nach Abs. 5 und 6 mit einer Geldbuße bis 20 Mio. Euro oder im Fall eines Unternehmens bis 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs belegt, je nachdem, welcher Betrag höher ist. Das betrifft beispielsweise Art. 5, 6, 7 und 9, aber auch Art. 12 bis 22 DSGVO.
Die Begriffe „formell“ und „materiell“, wie sie das Bußgeldmodell der Aufsichtsbehörden verwendet, sind nicht ganz trennscharf. So ist etwa auch ein Verstoß gegen die Rechenschaftspflicht oder gegen die Betroffenenrechte mit dem „großen“ Bußgeld belegt.
Im Ergebnis droht also bei fast jedem Verstoß gegen eine Regelung der Datenschutz-Grundverordnung eine Geldbuße.
Und: Die Systematik der DSGVO, materielle Pflichten mit Dokumentationspflicht zu flankieren und Handlungspflichten mit Organisationspflichten zu verknüpfen, führt dazu, dass dieselbe Handlung bzw. dasselbe Unterlassen gleichzeitig gegen mehrere Regelungen verstößt.
Aus diesem Grund müssen Verantwortliche bei einer Meldung nach Art. 33 DSGVO, also bei einer Datenpanne bzw. Datenschutzverletzung, aber auch wenn sie Anfragen der Aufsichtsbehörden beantworten, stets bedenken, dass sich das Thema in einem Bußgeldverfahren fortsetzen könnte.
Das soll und darf jedoch nicht als Aufruf verstanden werden, sich im Kontakt mit den Aufsichtsbehörden destruktiv zu verhalten!
Die Bemessung eines Bußgelds nach der DSGVO
Der Gesetzgeber hat in Art. 83 DSGVO einen Maximalrahmen beschrieben. Diesen gilt es auszufüllen. Hierzu enthält Art. 83 Abs. 2 DSGVO eine Vielzahl an Kriterien.
Wer sich mit diesen Kriterien näher befasst – auch unter Heranziehung der „Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der Verordnung (EU) 2016/679“ (WP 253) der Art.-29-Gruppe vom 03.10.2017 –, stellt sich früher oder später die Frage, ob diese Kriterien die Bemessung wirklich leichter machen. Sie geben zwar Anhaltspunkte für die Bewertung.
Doch der Spielraum ist immer noch recht umfassend. Weitere Anhaltspunkte sieht die DSGVO nicht vor.
Die Verweise des deutschen Bundesdatenschutzgesetzes (BDSG) auf das Ordnungswidrigkeitenrecht führen zwar zur Anwendung des „deutschen Verfahrensrechts“, aber nicht zwingend zur Anwendung der deutschen Bemessungsregeln (vgl. § 41 Abs. 1 Satz 2 BDSG).
Aus rechtsstaatlichen Gründen verbietet sich aber ein „Auswürfeln“ der Bußgeldhöhe – und auch der Eindruck eines solchen „Auswürfelns“.
Hinzu kommt, dass die Geldbußen-Praxis EU-weit einheitlich erfolgen muss. Das macht EU-weit konsensfähige Ansätze erforderlich.
Das Berechnungsmodell der DSK im Detail
Der Pressemitteilung der DSK zu ihrem Konzept ist u.a. zu entnehmen: Die Datenschutzkonferenz möchte einen Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts leisten.
Das Modell soll Verantwortliche und Auftragsverarbeiter in die Lage versetzen, die Entscheidungen der Aufsichtsbehörden nachzuvollziehen.
Das Konzept unterstützt dadurch, dass es bei der Zumessung an den Umsatz eines Unternehmens anknüpft, den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung von Geldbußen sicherzustellen.
Das veröffentlichte Modell zur Bestimmung des Bußgelds gilt nur für Geldbußen gegen Unternehmen.
Den Begriff „Unternehmen“ will die DSK gemäß dem Erwägungsgrund 150 DSGVO entsprechend dem im EU-Kartellrecht entwickelten sogenannten funktionalen Unternehmensbegriff im Sinne der Artikel 101 und 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) auslegen.
Die Berechnung erfolgt in fünf Schritten, wobei die ersten drei Schritte aus Gründen der Nachvollziehbarkeit nicht in einem Schritt zusammengefasst sind.
Die einzelnen Schritte seien hier nur kurz vorgestellt. Denn es geht im Anschluss v.a. um die Bewertung.
Nachvollziehbarer wird das Modell übrigens, wenn Sie sich das lediglich achtseitige Dokument der DSK ausdrucken und die erwähnten Tabellen direkt anschauen.
Schritt 1: Das Unternehmen einer Größenklasse zuordnen
Die Größenklassen richten sich nach dem gesamten weltweit erzielten Vorjahresumsatz der Unternehmen (vgl. Art. 83 Abs. 4–6 DSGVO).
Sie sind unterteilt in Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie Großunternehmen. Die Größeneinordnung der KMU orientiert sich hinsichtlich des Vorjahresumsatzes grundsätzlich an der Empfehlung der Kommission vom 6. Mai 2003 (2003/361/EG).
Die Größenklassen A (Jahresumsatz bis 2 Mio. Euro), B (Jahresumsatz über 2 Mio. Euro bis 10 Mio. Euro), C (Jahresumsatz über 10 Mio. Euro bis 50 Mio. Euro) und D (Jahresumsatz über 50 Mio. Euro) werden wiederum zur konkreteren Einordnung nochmals in Untergruppen unterteilt (A.I bis A.III, B.I bis B.III, C.I bis C.VII, D.I bis D.VII).
Die sich daraus ergebenden 20 Kategorien sind im Konzept tabellarisch benannt.
Schritt 2: Mittleren Jahresumsatz ermitteln
Dieser Wert ist der Tabelle 2 des Konzepts zu entnehmen. Er dient dazu, den nächsten Schritt zu veranschaulichen.
Dieser Ausgangswert beträgt in der niedrigsten Gruppe A.I 350.000 Euro und ist in der höchsten Gruppe D.VII der konkrete Jahresumsatz des Unternehmens.
Schritt 3: Wirtschaftlichen Grundwert / Tagessatz ermitteln
Um den wirtschaftlichen Grundwert festzusetzen, wird der mittlere Jahresumsatz aus Schritt 2 durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet (Tabelle 3 des Konzepts).
Schritt 4: Grundwert multiplizieren, abhängig von den Tatumständen
In Schritt 4 kommen erstmals die tatbezogenen Umstände des Einzelfalls zum Tragen. Es erfolgt eine Einordnung des Schweregrads der Tat in leicht, mittel, schwer oder sehr schwer.
Für diese Einordnung ziehen die Aufsichtsbehörden den Kriterienkatalog von Art. 83 Abs. 2 DSGVO heran.
Dem Schweregrad ist jeweils ein Faktor zugeordnet, mit dem sie den Grundwert (siehe Schritt 3 des Models) multiplizieren.
Aufgrund der unterschiedlichen Bußgeldrahmen unterscheiden die Behörden zwischen Verstößen gegen „formelle“ Regelungen (Art. 83 Abs. 4 DSGVO) und gegen „materielle“ Regelungen der DSGVO (Art. 83 Abs. 5, 6 DSGVO) und legen in zwei Spalten der Tabelle unterschiedliche Faktoren fest.
Bei der Wahl des Multiplikationsfaktors bei einer sehr schweren Tat ist – so das Konzept – zu beachten, den einzelfallbezogenen Bußgeldrahmen nicht zu überschreiten.
Schritt 5: Täterbezogene und sonstige Umstände berücksichtigen
Den bis hierhin berechneten Betrag bewerten die Aufsichtsbehörden anhand aller für und gegen das Unternehmen sprechenden Umstände, soweit sie sie noch nicht in Schritt 4 berücksichtigt haben.
Das sollen insbesondere sämtliche täterbezogenen Umstände des Kriterienkatalogs in Art. 83 Abs. 2 DSGVO sowie sonstige Umstände, wie z.B. eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens, sein.
Da drei von fünf Schritten rechnerische Zuordnungen sind und auch im vierten Schritt eine Multiplikation erfolgt, könnte auf den ersten Blick der Eindruck entstehen, dass die Bußgeldbemessung v.a. eine Rechenaufgabe ist.
Dieser Eindruck trügt allerdings! Die Schritte 1 bis 3 ließen sich auch zu einem zusammenfassen.
Denn es geht nur darum, dem Umsatz differenziert einen Grundwert zuzuordnen.
Das Berliner Bußgeld von 14,5 Mio. Euro
Die Berliner Datenschutzaufsichtsbehörde hat wesentlich an der Entwicklung des Konzepts mitgewirkt.
Es liegt daher nahe, dass die am 05.11.2019 veröffentlichte – nicht rechtskräftige – Geldbuße gegen die Deutsche Wohnen SE das Konzept bereits berücksichtigt.
Der Pressemitteilung ist zu entnehmen:
- „… Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, …“
- „… Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend. …“
- „… Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei ca. 28 Millionen Euro …“
Neben der Höhe ist der Bußgeldbescheid wegen der sanktionierten Verstöße – Datenminimierung und Privacy by Design – interessant.
Denn nur wenige Unternehmen dürften gerade diese Regelungen mit Blick auf Bußgelder im Auge gehabt haben.
Entscheidend ist auch, dass die Sanktion nicht „aus heiterem Himmel“ kam. Die Behörde hatte anscheinend zuvor schon deutlich gemacht, was sie für datenschutzrechtswidrig hielt.
Eine erste Einschätzung
Dieses Berechnungsmodell macht zunächst plakativ deutlich, was der neue Bußgeldrahmen der DSGVO in der Praxis bedeuten kann – aber nicht zwingend muss.
Bei einem Jahresumsatz zwischen 2 und 5 Mio. Euro und einem unterstellten Verstoß mittlerer Schwere gegen eine „materielle“ Regelung (z.B. Art. 6 Abs. 1 DSGVO) ohne weitere Besonderheiten liegt ein Bußgeld zwischen 38.888 Euro (Faktor 4 des Schritts 4) und 97.228 Euro (Faktor 8 des Schritts 4).
Solche Tabellen und Schemen sind in der Praxis der Sanktionierung durchaus üblich. Positiv ist auch, dass die Aufsichtsbehörden versuchen, Transparenz in die Berechnung zu bringen, und damit für eine gewisse Gleichheit sorgen – sowohl nach oben als auch nach unten.
Wer sich gegen eine Geldbuße verteidigen möchte, sollte sich von vornherein auf die Schritte 4 und 5, also auf die Beurteilung der einzelnen Umstände des Verstoßes, konzentrieren.
Bei den vorhergehenden Schritten lässt sich – in beschränktem Maß – lediglich über die Anwendung des sogenannten funktionalen Unternehmensbegriffs und die Mitwirkung bei der Feststellung des Umsatzes diskutieren.
Kritikpunkte
Bei rein mathematischer Betrachtung ergibt sich vielleicht kein Unterschied danach, ob die Aufsicht zunächst eine Art Grundwert bzw. einen Tagessatz festlegt oder zuerst die tatbezogenen Kriterien bewertet.
Für den Rechtsanwalt, der mit der Verteidigung in Bußgeldsachen befasst ist, drängt sich dennoch der Impuls auf, dass die Aufsichtsbehörde allein aufgrund der Konzeption des Modells zu einem anderen Ergebnis kommt, als wenn sie zuerst Tat und Schuld gewichtet.
Ein Kritikpunkt ist, dass Schritt 2, also die Heranziehung eines Durchschnittswerts, diejenigen benachteiligt, die an der unteren Grenze der jeweiligen Gruppe stehen.
Das ist ein Aspekt, den Schritt 5 ausgleichen muss.
Den Unterschied zwischen Umsatz und Gewinn müssen die Behörden ebenfalls in Schritt 5 stark berücksichtigen. Denn gerade in margenschwachen Branchen wirkt sich eine umsatzbezogene Berechnung des Grundwerts härter aus.
Ein wesentlicher Kritikpunkt ist, dass die Schritte 1 bis 3 keinen Wert für einen mittleren Verstoß berechnen, von dem ausgehend dann schuld- und tatangemessen Ab- und Aufschläge gebildet werden, sondern einen Mindestwert festlegen.
Schritt 4 sieht dann nur erhöhende Multiplikatoren vor. Erst Schritt 5 betrachtet, dass auch Abstriche von dem bis dahin ermittelten Wert möglich sind. Hierdurch entsteht ein Störgefühl, dessen Berechtigung hinterfragt und untersucht werden muss.
Bei der Verteidigung gegen Bußgelder liegt der Kern in den Schritten 4 und 5. Denn hier erfolgt die tat- und schuldangemessene Bußgeldbemessung.
Auch die Aufsichtsbehörden scheinen dies nicht anders zu sehen. Denn diese individuellen Aspekte vernachlässigt ihr Konzept keineswegs.
Allerdings bleiben all die Schwierigkeiten im Umgang mit den Kriterien.
Ist die Bußgeldregelung bestimmt genug?
Die Diskussion, ob die Bußgeldregelung der DSGVO dem sogenannten Bestimmtheitsgrundsatz genügt, ist etwas in den Hintergrund getreten.
Vereinfacht geht es darum, dass eine Regelung nur dann zu einer Strafe führen darf, wenn dem zu Bestrafenden aufgrund der Regelung klar war, was er tun muss, um nicht gegen seine Pflichten zu verstoßen.
Die Umsetzungsprobleme in der Praxis sprechen durchaus für solche Bedenken. Diese Unsicherheit müssen die Aufsichtsbehörden im Rahmen der Bewertung, ob und in welcher Höhe sie ein Bußgeld verhängen, berücksichtigen.
Die zukünftige Praxis wird allerdings dazu führen, dass diese Unsicherheit in der Handhabung abnimmt. Das spricht gegen einen Verstoß gegen den Bestimmtheitsgrundsatz.
Diese Frage wird sicherlich dennoch in vielen Bußgeldverfahren eine Rolle spielen. Insofern wird es noch eine Zeit lang das Argument „Das kann man auch anders sehen“ geben. Doch das muss dann schon sehr gut begründet sein.
Erste Tipps zur Verteidigung gegen Bußgelder
Aus der Sicht der Verteidigung gegen Geldbußen bleibt aufgrund des Berechnungsmodells das Gefühl, gegen einen hohen Ausgangswert „ankämpfen“ zu müssen.
Wichtig ist dabei aber, dass die Aufsichtsbehörden den Multiplikator in Schritt 4 nicht mehr rein mathematisch auswählen können. Gerade in den Schritten 4 und 5 wird zukünftig (wie bisher) die „Musik spielen“.
Natürlich wird das Berechnungsmodell – im Einzelfall und generell – nicht kritiklos bleiben (können). Das betroffene Unternehmen muss aktiv anhand der Kriterien von Art. 83 Abs. 2 DSGVO und weiterer Faktoren wie z.B. Zahlungsfähigkeit darstellen, welche Kriterien die Aufsichtsbehörde berücksichtigen sollte und – aus der Sicht der Verteidigung – wie sie sich strafreduzierend auswirken.
Die beste Verteidigung gegen eine Geldbuße besteht allerdings weiterhin darin, möglichst keinen schuldhaften oder jedenfalls keinen sanktionswürdigen Verstoß zu begehen.
Gerade an diesem Punkt können die Unternehmen durch Datenschutz-Compliance ihr Bußgeldrisiko im Vorfeld reduzieren.