„Das neue Bußgeldkonzept der deutschen Datenschutzaufsichtsbehörden lässt entscheidende Punkte offen“

Dr. Markus Lang erläutert das von den deutschen Datenschutzaufsichtsbehörden im Oktober 2019 beschlossene Modell zur Berechnung von Bußgeldern. Einen ausführlichen Beitrag von ihm hierzu lesen Sie in CB 1-2/2020.

» Ist das Konzept der deutschen Datenschutzbehörden auf sämtliche Datenschutzverstöße anwendbar? Wer ist die Zielgruppe?

« Das Konzept gilt nur für die Festlegung von Bußgeldern gegen Unternehmen. Es findet keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit.

» Wie sieht es mit grenzüberschreitenden Fällen aus?

« Auch hierauf wird das neue Bußgeldkonzept nicht angewendet. Das betrifft z.B. datenschutzrechtliche Verstöße im Zusammenhang mit Datenübermittlungen ins Ausland.

» Wie müssen wir uns die Berechnung der Bußgelder vorstellen?

« Die Berechnung geschieht in fünf Schritten: Zunächst wird das betroffene Unternehmen einer bestimmten Größenklasse zugeordnet. Danach wird der mittlere Jahresumsatz der Größenklasse bestimmt und anschließend ein sogenannter wirtschaftlicher Grundwert ermittelt. Dieser Grundwert wird mit einem von der Schwere der Tatumstände abhängigen Faktor multipliziert. Schließlich wird der im vierten Schritt ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst.

» Was sind diese „sonstigen noch nicht berücksichtigten Umstände“?

« Es sollen nicht nur täterbezogene Umstände wie z.B. fahrlässiges oder vorsätzliches Handeln und die Zusammenarbeit des datenschutzrechtlich Verantwortlichen mit der Behörde, sondern auch sonstige Umstände wie eine etwaige lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens berücksichtigt werden. Die Aufsichtsbehörden wollen hier also nicht nur Umstände einbeziehen, die möglicherweise zu einer Erhöhung des Bußgeldes führen, sondern auch solche Aspekte, die eine Reduzierung begründen können. Das Bemessungsmodell wirft aber bereits bei der Bestimmung des sog. wirtschaftlichen Grundwertes, den Schritten 1 bis 3, als Ausgangsbasis der Bußgeldbemessung Fragen auf.

» Inwiefern ist das Modell hier problematisch?

« Beispielsweise werden Kleinstunternehmen selbst bei einem Jahresumsatz von lediglich 100.000 Euro in die Kategorie mit einem Jahresumsatz von bis zu 700.000 Euro eingeordnet.

Das hat zur Folge, dass für die Ermittlung des wirtschaftlichen Grundwertes ein relativ hoher mittlerer Jahresumsatz von 350.000 Euro zugrunde gelegt wird, was in keiner Weise der Realität entspricht.

» Könnte dieses Problem nicht im letzten Schritt bei der Anpassung anhand der „noch nicht berücksichtigten Umstände“ ausgeglichen werden?

« Eine Korrektur wäre hier zwar grundsätzlich möglich, aber systemwidrig und ist hinsichtlich dieses Aspekts auch nicht vorgesehen. Letztlich ist diese Ungleichbehandlung grundsätzlich gewollt. Auf diese Weise wird sichergestellt, dass das kleinste denkbare Bußgeld, das bei einem leichten Verstoß ohne Anpassung aufgrund sonstiger noch nicht berücksichtigter Umstände verhängt werden kann, eine Höhe von 972 Euro hat.

» Sie sehen das neue Konzept also eher kritisch?

« Das neue Bußgeldkonzept der deutschen Aufsichtsbehörden bringt wenig praktischen Nutzen, da entscheidende Punkte offenbleiben. Dem Konzept lässt sich nicht entnehmen, wie und in welchem Umfang die Schwere eines Verstoßes bewertet und der Schweregrad sowie der jeweils anzuwendende Faktor bestimmt werden. Außerdem ergibt sich aus dem Zumessungsmodell nicht, in welchem Umfang die sonstigen Umstände bei der im letzten Schritt vorgesehenen Anpassung zu berücksichtigten sind.

» Trotzdem müssen Unternehmen sich auf dieses Konzept der Bußgeldzumessung gefasst machen.

« Das Konzept zur Bußgeldzumessung ist nicht in Stein gemeißelt. Die Aufsichtsbehörden weisen darauf hin, dass es jederzeit aufgehoben, geändert oder erweitert werden kann. Zudem hat das Konzept eine – zumindest vorläufig – begrenzte Gültigkeitsdauer bis der Europäische Datenschutzausschuss gem. Art. 70 Abs. 1 lit. e und k DSGVO abschließende Leitlinien zur Methodik der Festsetzung von Geldbußen erlassen hat. Ob und welche Elemente des deutschen Modells dabei übernommen werden, ist nicht absehbar.