Become a Web Professional – Get Certified!

Ein teurer Spaß – der neue Datenschutz-Bußgeldkatalog

Michael Rohrlich

05.06.2020 12:00 von Michael Rohrlich

Der Datenschutz-Bußgeldkatalog

Verstöße gegen das Datenschutzrecht werden in aller Regel entdeckt und auch geahndet. Zum einen gibt es die in erster Linie zuständigen Datenschutzaufsichtsbehörden, zum anderen droht auch von Seiten der Konkurrenz Ungemach. Es ist zwar noch nicht ganz klar, ob ein Datenschutzverstoß zugleich auch ein unlauteres Verhalten darstellt und somit kostenpflichtig abmahnbar ist. Eine Vielzahl von Gerichten, darunter beispielsweise die Oberlandesgerichte in Hamburg, Naumburg und Stuttgart, erkennen eine wettbewerbsrechtliche Abmahnung aufgrund von Datenschutzverstößen durch Mitbewerber aber als zulässig an. Allerdings steht eine abschließende Klärung durch den Bundesgerichtshof derzeit noch aus. Weiterhin besteht die Möglichkeit, dass auch bestimmte Verbraucherschutzverbände, wie etwa die Verbraucherschutzzentrale oder der Mieterschutzbund, Unternehmen im Datenschutzbereich abmahnen können. Aber auch das befindet sich noch in der Klärung. Und zu guter Letzt sieht die EU-Datenschutzgrundverordnung (DSGVO) in Art. 82 Abs. 1 S. 1 vor, dass betroffene Personen unter bestimmten Voraussetzungen Schadensersatz bzw. Schmerzensgeld geltend machen können.

Unter dem Strich wird klar: Es ist heutzutage wichtiger denn je, den Schutz von personenbezogenen Daten und insbesondere auch die DSGVO-Vorgaben ernst zu nehmen. Andernfalls drohen nicht nur massive finanzielle Einbußen, sondern beispielsweise auch ein Imageverlust. Aber nicht nur das: Ein schöner »Nebeneffekt« von wirksamen Datenschutzmaßnahmen ist letztlich der Schutz aller Daten im Unternehmen. So werden eben auch Geschäftsgeheimnisse gesichert. Und mehr noch: Das Geschäftsgeheimnisgesetz (GeschGehG) macht es erforderlich, wirksame Schutzmaßnahmen vorzuhalten, damit bei einer etwaigen Schädigung überhaupt Schadensersatzansprüche geltend gemacht werden können. So gehen GeschGehG und DSGVO letztlich »Hand in Hand« und sorgen dafür, dass Unternehmen die für sie wichtigen Daten schützen. Das zentrale Risiko dürfte jedoch eindeutig von den drohenden Geldbußen nach Maßgabe der DSGVO ausgehen.

Sanktionen durch die Aufsichtsbehörden

In Deutschland existieren insgesamt 18 Datenschutzaufsichtsbehörden: Eine pro Bundesland, mit Ausnahme von Bayern, wo es für den öffentlichen und den privaten Sektor je eine zuständige Behörde gibt, plus Bundesdatenschutzbeauftragter. Um ein möglichst einheitliches Vorgehen zu gewährleisten, haben sich die Behörden in der sog. Datenschutzkonferenz (DSK) zusammengeschlossen und geben u. a. regelmäßig Beschlüsse und Orientierungshilfen heraus.

Allen Aufsichtsbehörden stehen zahlreiche Sanktionsmöglichkeiten zur Verfügung. Die sind unterteilt in Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse (Art. 58 Abs. 1-3 DSGVO):

Untersuchungsbefugnisse Abhilfebefugnisse Genehmigungsbefugnisse
Erteilung von Anweisungen Erteilung von Warnungen Beratung von Verantwortlichen
Durchführung von Untersuchungen Ausspruch von Verwarnungen Veröffentlichung von Stellungnahmen
Überprüfung von Zertifizierungen Erteilung von Anweisungen Genehmigung von Verarbeitungsvorgängen
Erteilung von Hinweisen Verhängung von temporären oder permanenten Beschränkungen von Verarbeitungsvorgängen Akkreditierung von Zertifizierungsstellen
Zugang zu allen erforderlichen Daten und Informationen Anordnung der Löschung oder Berichtigung von Daten Erteilung von Zertifizierungen
Zutritt zu Geschäftsräumen, EDV-Anlagen etc. Widerruf von Zertifizierungen Genehmigung von Vertragsklauseln etc.
  Verhängen von Geldbußen  
  Anordnung der Aussetzung einer Datenübermittlung in Drittstaaten  

Die Maßnahmen, die Unternehmen wohl am meisten fürchten (sollten), sind zum einen die Möglichkeit der Verhängung von temporären oder permanenten Beschränkungen von Verarbeitungsvorgängen und zum anderen die Bußgelder. Im Fokus stehen allerdings immer wieder die Bußgelder, was u. a. an den im Vergleich zur alten Rechtslage massiven gestiegenen Obergrenzen liegt. Früher drohten — je nach Verstoß — bis max. 50.000 bzw. 300.000 Euro. Diese Höchstbeträge sind unter der DSGVO auf 10 Mio. (für leichte Verstöße) bzw. 20 Mio. Euro (für schwere Verstöße) gestiegen; alternativ können auch 2% bzw. 4% des im Vorjahr weltweit erzielten Konzernumsatzes erhoben werden! Je nach Umsatzgröße des jeweiligen Unternehmens kann man hier schnell über die 10 bzw. 20 Mio. Euro kommen. Denn die Aufsichtsbehörden haben im Rahmen von Bußgeldverfahren die Möglichkeit, sich für den jeweils höheren Betrag zu entscheiden. In jedem Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein, so will es der europäische Gesetzgeber (Art. 83 Abs. 9 S. 2 DSGVO).

Es muss generell zwischen leichten (eher formellen) und schweren (materiellen) Verstößen differenziert werden. Nach Art. 83 Abs. 4 DSGVO zählen die Verstöße gegen folgende Normen zur Kategorie »leicht«:

  • Privacy by design, Privacy by default (Art. 25)
  • Bestellung eines Vertreters (Art. 27)
  • Auftragsverarbeiter (Art. 28)
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
  • Sicherheit der Verarbeitung (Art. 32)
  • Meldung von Verletzungen (Art. 33)
  • Benachrichtigung der Betroffenen (Art. 34)
  • Datenschutz-Folgenabschätzung (Art. 35)
  • Benennung eines Datenschutzbeauftragten (Art. 37)

Als »schwer« werden hingegen Verstöße gegen folgende Vorschriften eingeordnet (Art. 83 Abs. 5 DSGVO):

  • Datenschutzgrundsätze (Art. 5-7)
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9)
  • Rechte der Betroffenen (Art. 12-22)
  • Datenübermittlung an Drittstaaten (Art. 44-49)
  • Anweisungen etc. von Aufsichtsbehörden (Art. 58)

Einzig Behörden und andere öffentliche Stellen haben hierzulande keine Geldbußen zu befürchten, weil der deutsche Gesetzgeber das »linke Tasche, rechte Tasche«-Prinzip vermeiden wollte und daher eine entsprechende Norm ins Bundesdatenschutzgesetz aufgenommen hat (§ 43 Abs. 3 BDSG).

Einheitliche Bußgeldregelungen

Um eine einheitliche Vorgehensweise auch und gerade bei Bußgeldverfahren zu gewährleisten, hat die DSK am 14. Oktober 2019 ein einheitliches Bußgeldmodell vorgestellt. Daran halten sich alle deutschen Aufsichtsbehörden, jedenfalls bei Geldbußen gegenüber Unternehmen. Dieses Modell bezieht sich ausdrücklich nicht auf Sanktionen gegen Behörden, Vereine oder natürliche Personen. Zudem ist es für Gerichte nicht bindend. Auch die Aufsichtsbehörden anderer EU-Staaten müssen sich nicht an diese Vorgaben halten.

Anhand des DSK-Modells wird ein Bußgeld in folgenden 5 Schritten ermittelt:

  1. Kategorisierung der Unternehmen nach Größenklassen
  2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
  3. Ermittlung des wirtschaftlichen Grundwertes
  4. Multiplikation des Grundwertes nach Schweregrad der Tat
  5. Anpassung des Grundwertes anhand aller sonstigen für und gegen den Betroffenen sprechenden Umstände

In Schritt 1 wird das Unternehmen auf Grundlage seines Jahresumsatzes in eine Größenklasse eingestuft:

Bussgeldkatalog-Tabelle2

Hier werden auch den einzelnen Größenklassen jeweils konkrete Umsatzwert bzw. -rahmen zugeordnet (z. B. 2-5 Mio. Euro in Klasse B.I).

Im 2. Schritt wird anhand der betreffenden Größenklasse der mittlere Jahresumsatz ermittelt:

Bussgeldkatalog-tabelle3

In der Klasse B.I beträgt der errechnete Mittelwert also beispielsweise 3,5 Mio. Euro.

Der 3. Schritt legt einen wirtschaftlichen Grundwert in Form eines Tagessatzes (also 1/360) fest:

Bussgeldkatalog-tabelle4

In der Klasse B.I beträgt der Grundwert / Tagessatz exemplarisch 9.722 Euro.

In Schritt 4 wird der ermittelte Grundwert, je nach Schweregrad der Tat, mit einem bestimmten Faktor multipliziert:

Bussgeldkatalog-tabelle5

Der 5. und letzte Schritt umfasst alle sonstigen für bzw. gegen das Unternehmen sprechende Umstände nach Maßgabe von Art. 83 Abs. 2 DSGVO. Dazu zählen insbesondere folgende Aspekte:

  • Art, Schwere und Dauer des Verstoßes
  • Anzahl der von der Verarbeitung betroffenen Personen
  • Ausmaß des erlittenen Schadens
  • Vorsatz oder Fahrlässigkeit
  • jegliche vom Verantwortlichen getroffenen Maßnahmen zur Minderung des entstandenen Schadens
  • Grad der Verantwortung des Verantwortlichen
  • etwaige einschlägige frühere Verstöße
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde
  • Kategorien der betroffenen Daten
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
  • Einhaltung von früher gegen den Verantwortlichen in Bezug auf denselben Gegenstand angeordneten Maßnahmen
  • Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste

Angenommen, ein Unternehmen begeht einen leichten Verstoß, indem es nach einer Datenpanne diese nicht an die zuständige Aufsichtsbehörde meldet. Das Unternehmen hatte im Vorjahr einen Umsatz von 3 Mio. Euro, ist nach dem DSK-Modell also in Gruppe B.I einzustufen. Folglich beträgt der für diese Klasse einschlägige mittlere Jahresumsatz 3,5 Mio., und zwar auch dann, wenn der tatsächliche Umsatz des Unternehmens niedriger lag. Der dementsprechende Tagessatz beträgt dann immerhin 9.722 Euro. Je nachdem, wie die zuständige Aufsichtsbehörde den konkreten Verstoß einstuft, kann dieser Tagessatz mit einem Faktor zwischen 1 und 6 oder höher multipliziert werden. Im »günstigsten« Fall werden also »nur« fast 10.000 Euro fällig! Eine Reduzierung der Summe ist zwar prinzipiell möglich, kommt aber in der Praxis wohl nicht so häufig vor. Es ist wahrscheinlicher, dass noch etwas draufgeschlagen wird, wenn irgendwelche strafschärfende Umstände hinzutreten, weil z. B. nicht das Unternehmen, sondern ein Dritter den Verstoß bekannt gemacht hat.

Tipp:

Der »Datenschutz-Bußgeldkatalog« der DSK sowie eine entsprechende Pressemeldung findet sich online (z. B. unter https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/konzept-der-datenschutzkonferenz-zur-zumessung-von-geldbussen). Anhand des DSK-Modells lässt sich zwar nicht exakt bestimmen, welches Bußgeld für welchen Verstoß fällig wird. Man kann hiermit aber zumindest eine »grobe Hausnummer« bestimmen bzw. den »best case« und den »worst case« durchrechnen. Auf Grundlage des DSK-Konzepts gibt es inzwischen die ersten Bußgeldrechner, z. B. von werning.com oder auch von Christopher Schmidt. Dort werden ein paar Informationen abgefragt und anschließend die zu erwartende Höhe der Geldbuße berechnet. Einen Überblick über die bislang in Europa wegen Datenschutzverstößen verhängten Geldbußen bietet das Online-Tool »GDPR Enforcement Tracker« von C/M/S.

Über Michael Rohrlich:

Michael Rohrlich ist Mitglied im WE-Expertenrat. Als Rechtsanwalt liegen seine Tätigkeitsschwerpunkte in den Bereichen Online-, IT- und Datenschutzrecht sowie E-Commerce. Neben seiner anwaltlichen Tätigkeit ist er regelmäßig als Fachautor für div. Print- und Online-Publikationen tätig. Weiterhin ist er Buchautor (z.B. »Recht für Webshop-Betreiber: Das umfassende Handbuch«) und Kursentwickler des WE-Curriculums zum Thema »Online-Recht — Rechtssichere Websites, Online-Shops und Onlinemarketing-Kampagnen«, welches Teil der WE-Zertifizierungen zum Digital Marketing Manager, Social Media Manager und Content Marketing Manager ist. Darüber hinaus konzipiert und präsentiert Michael Rohrlich Video-Trainings mit juristischen Inhalten für LinkedIn Learning / Microsoft (ehem. video2brain).

Kontakt:

Kategorien: Online-Recht, Expertenrat

Kommentare

    Hinterlasse einen Kommentar:

    *

    (notwendig)
    *

    (notwendig, wird nicht angezeigt)



    (optional, Spam und Werbe-Links werden gelöscht)
    *