Es wird teuer: Das neue Berechnungsmodell für Geldbußen nach der DS-GVO
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat das Konzept zur Bemessung von Geldbußen veröffentlicht (Pressemitteilung vom 16. Oktober 2019). Das Berechnungsmodell greift, wenn Unternehmen gegen die Datenschutzgrundverordnung (DS-GVO) verstoßen; es soll eine einheitliche Auslegung von Art. 83 DS-GVO sicherstellen. Das Modell gilt nicht für Geldbußen gegen Vereine oder natürliche Person. Es bindet zudem ausschließlich die deutschen Datenschutzaufsichtsbehörden.
Wie sich das Modell in der Praxis bewähren wird, bleibt abzuwarten. Zurzeit erhöht es das Risiko gravierender Geldbußen jedoch enorm.
Sanktionen sollen „wirksam, verhältnismäßig und abschreckend“ sein
Seit Geltung der DS-GVO besteht für Unternehmen ein hohes Risiko bei datenschutzrechtlichen Verstößen massiven Sanktionen ausgesetzt zu sein (vgl. Blog-Beitrag vom 24. September 2019). Jede Aufsichtsbehörde muss sicher stellen, dass die Verhängung von Geldbußen nach Art. 83 DS-GVO „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend" ist. Unternehmen müssen schlimmstenfalls mit Geldbußen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs rechnen.
Berechnungsmodell für Geldbußen in fünf Schritten
Nach dem neuen Konzept erfolgt die Berechnung der zu verhängenden Geldbuße in fünf Schritten.
Schritt 1:
Zunächst wird das Unternehmen anhand des gesamten weltweit erzielten Vorjahresumsatzes in eine von vier Größenklassen (A bis D) einsortiert. Zugrunde gelegt wird dabei ein funktionaler Unternehmensbegriff. So ist beispielsweise ein Kleinst-Unternehmen (Kategorie A) bis zu einem Jahresumsatz von 2 Million € gegeben. Die jeweiligen Kategorien untergliedern sich nochmals in Untergruppen. Bis 700.000 € Umsatz, gehört ein Unternehmen der Untergruppe A. I an.
Schritt 2:
In einem zweiten Schritt wird im Rahmen der jeweiligen Untergruppe der mittlere Jahresumsatz bestimmt. Dieser ist beispielsweise bei einem Unternehmen, das der Untergruppe A. I angehört, 350.000 € (siehe hierzu die Tabelle im Berechnungsmodell).
Schritt 3:
Nunmehr wird für die Festsetzung des wirtschaftlichen Grundwertes der soeben ermittelte mittlere Jahresumsatz durch 360 (Tage) geteilt, um auf diese Weise einen durchschnittlichen, auf die Vorkommastelle aufgerundeten Tagessatz zu errechnen. In dem vorliegenden Beispiel eines Unternehmens der Untergruppe A. I, ergibt sich somit ein Tagessatz von 972 €.
Schritt 4:
Der auf diese Weise errechnete Tagessatz (Grundwert) wird mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert. Hierbei erfolgt eine Berechnung anhand des Schweregrads der Tat, der anhand der Kategorien leicht, mittel, schwer oder sehr schwer bestimmt wird. Dabei wird zwischen formellen Verstößen gemäß Art. 83 Abs. 4 DSGVO und materiellen Verstößen gemäß § 83 Abs. 5 und 6 DS-GVO differenziert. Zur Bestimmung des jeweiligen Faktors für die Multiplikation, sind die konkreten tatbezogenen Umstände des Einzelfalls (Art. 83 Abs. 2 S. 2 DS GVO) maßgeblich.
Schritt 5:
In einem letzten Schritt wird der ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände, die für oder gegen die Betroffenen sprechen, angepasst.
Wenig Raum für Berücksichtigung der Umstände im Einzelfall
Die Umstände im Einzelfall werden somit erst auf den letzten beiden Stufen berücksichtigt.
Unternehmen sollten mit Blick auf die massiven Bußgelder und die umsatzgekoppelte Berechnung in den Auf- oder Ausbau ihrer Compliance-Systeme investieren. Angesicht der hohen Bußgeldrisiken ist es wichtig, dass sie alle datenschutzrechtlichen Vorgaben umgesetzen und eingehalten.